Passer au contenu principal
W&B Secret Manager vous permet de stocker, gérer et injecter de manière sécurisée et centralisée des secrets, c’est-à-dire des chaînes de caractères sensibles telles que des jetons d’accès, des bearer tokens, des clés API ou des mots de passe. Configurez et gérez les secrets d’équipe dans les paramètres de l’équipe. Les fonctionnalités W&B peuvent lire les valeurs des secrets d’équipe, ce qui évite d’avoir à les coller ou à les stocker dans le code, les scripts d’entraînement ou la configuration d’automatisation en texte brut. Les secrets sont stockés et gérés dans le Secret Manager de chaque équipe, dans la section Secrets d’équipe des paramètres de l’équipe.
  • Seuls les administrateurs W&B peuvent créer, modifier ou supprimer un secret.
  • Les secrets font partie intégrante de W&B, y compris dans les déploiements W&B Server que vous hébergez sur Azure, Google Cloud ou AWS. Contactez l’équipe W&B en charge de votre compte pour discuter de l’utilisation des secrets dans W&B si vous utilisez un autre type de déploiement.
  • Dans W&B Server, il vous incombe de configurer des mesures de sécurité adaptées à vos besoins.
    • W&B recommande vivement de stocker les secrets dans le gestionnaire de secrets cloud de votre instance W&B, fourni par AWS, Google Cloud ou Azure, et configuré avec des fonctionnalités de sécurité avancées.
    • W&B déconseille d’utiliser un cluster Kubernetes comme backend de votre magasin de secrets, sauf si vous ne pouvez pas utiliser une instance W&B d’un gestionnaire de secrets cloud (AWS, Google Cloud ou Azure) et que vous savez comment éviter les vulnérabilités de sécurité pouvant survenir avec un cluster.

Où les secrets d’équipe sont utilisés

Les secrets d’équipe peuvent être utilisés dans W&B dans plusieurs contextes. Après avoir ajouté un secret, une fonctionnalité comme W&B Automations peut accéder au secret par son nom.
  • Automatisations webhook : Lorsqu’une automatisation envoie une requête HTTP à un webhook, vous pouvez associer des secrets d’équipe aux en-têtes d’authentification et aux valeurs référencées dans la charge utile. Les automatisations peuvent être limitées à un projet ou à un Registry. Les automatisations limitées au Registry qui appellent un webhook utilisent les mêmes webhooks d’équipe et les mêmes secrets d’équipe que les automatisations webhook limitées au projet.
  • Weave Playground : Les identifiants du fournisseur sont fournis sous forme de secrets d’équipe nommés. Voir Ajouter les identifiants et les informations du fournisseur.
  • Sandboxes : Fournissez des secrets d’équipe à vos sandboxes de manière sécurisée afin de les rendre disponibles comme variables d’environnement. Voir Secrets dans les sandboxes.
  • Tâches d’évaluation LLM : Certains benchmarks nécessitent des clés API ou des jetons stockés comme secrets d’équipe. Voir le catalogue des benchmarks d’évaluation.

Ajouter un secret

Pour ajouter un secret :
  1. Si un service externe vous fournit un token ou une clé API, obtenez cette valeur via le processus habituel de ce service. Si nécessaire, conservez cette chaîne sensible en lieu sûr, par exemple dans un gestionnaire de mots de passe, avant de la coller dans W&B Secret Manager.
  2. Connectez-vous à W&B, puis accédez à la page Settings de l’équipe.
  3. Dans la section Secrets d’équipe, cliquez sur New secret.
  4. À l’aide de lettres, de chiffres et de traits de soulignement (_), indiquez un nom pour le secret.
  5. Collez la chaîne sensible dans le champ Secret.
  6. Cliquez sur Add secret.
Lorsque vous configurez un webhook pour une automatisation, sélectionnez les secrets d’équipe que le webhook peut utiliser. Pour les noms de champ, les jetons d’accès et les variables de charge utile, voir Créer une automatisation webhook.
Une fois le secret créé, vous pouvez y accéder dans la charge utile d’une webhook automation au format ${SECRET_NAME}.

Faire pivoter un secret

Pour faire pivoter un secret et mettre à jour sa valeur :
  1. Cliquez sur l’icône en forme de crayon sur la ligne du secret pour ouvrir ses détails.
  2. Définissez Secret sur la nouvelle valeur. Vous pouvez aussi cliquer sur Reveal secret pour vérifier la nouvelle valeur.
  3. Cliquez sur Add secret. La valeur du secret est mise à jour et ne correspond plus à la valeur précédente.
Après la création ou la mise à jour d’un secret, vous ne pouvez plus afficher sa valeur actuelle. À la place, faites pivoter le secret vers une nouvelle valeur.
Faire pivoter ou remplacer un secret peut affecter toutes les fonctionnalités qui utilisent encore l’ancienne valeur. Mettez à jour les automatisations webhook, les sandboxes qui injectent le secret, les jobs d’évaluation, Weave Playground ou tout autre composant qui l’utilise avant de vous appuyer partout sur la nouvelle valeur.

Supprimer un secret

Pour supprimer un secret :
  1. Cliquez sur l’icône de corbeille sur la ligne du secret.
  2. Lisez la boîte de dialogue de confirmation, puis cliquez sur Delete. Le secret est supprimé immédiatement et de façon permanente.

Gérer l’accès aux secrets

Les secrets d’une équipe peuvent être référencés par leur nom dans les automatisations webhook, Weave Playground, les sandboxes, les tâches d’évaluation LLM et d’autres fonctionnalités au niveau de l’équipe où les secrets sont sélectionnés par nom. Avant de supprimer un secret, mettez à jour ou supprimez chaque automatisation, job, configuration de sandbox ou flux Playground qui l’utilise afin d’éviter qu’ils ne cessent de fonctionner.