Déploiements sécurisés

Un déploiement sécurisé est un déploiement classique dont l'enregistrement des workflows est restreint. Seul un ensemble prédéfini de clés API peut enregistrer des workflows dans un déploiement sécurisé. Dès qu'au moins une clé API est associée à un déploiement, celui-ci devient sécurisé.

Le routage de l'exécution des workflows s'effectue au niveau du déploiement. Plusieurs workers peuvent enregistrer des workflows — y compris plusieurs versions d'un même workflow — dans un même déploiement. Dès que deux workflows différents sont enregistrés sous le même nom dans un déploiement, le routage devient non déterministe. Il n'est alors pas possible de prévoir quelle version sera exécutée pour un prompt donné.

Ce comportement non déterministe présente des risques en production, où la fiabilité est essentielle. Une mauvaise configuration ou une réinscription accidentelle peut perturber les déploiements et compromettre l'intégrité des workflows.

Les workflows « on-behalf-of » (OBO) — qui s'exécutent sous l'identité de l'utilisateur déclencheur et accèdent à ses fichiers ou connecteurs personnels — sont particulièrement sensibles. Si l'enregistrement des workflows OBO n'est pas contrôlé, les ressources utilisateur risquent d'être exposées involontairement ou de façon malveillante.

Les administrateurs d'espace de travail et d'organisation gèrent les déploiements sécurisés via le panneau Paramètres de la console Mistral. Un déploiement devient sécurisé dès qu'au moins une clé API y est associée. À partir de ce moment, seules les clés API autorisées peuvent enregistrer des workflows dans ce déploiement.

• Déploiements de production fiables : les administrateurs peuvent sécuriser un déploiement de production pour garantir que seuls des détenteurs de clés API de confiance peuvent y enregistrer des workflows. Cela évite par exemple qu'une erreur dans le nom du déploiement perturbe la production.
• Contrôle de l'enregistrement des workflows OBO : les workflows OBO ne peuvent pas être enregistrés dans des déploiements non sécurisés, ce qui garantit que les workflows sensibles sont d'abord validés par des administrateurs de confiance.
• Enregistrement non autorisé limité : sauf en cas de compromission d'un compte administrateur, il n'est pas possible d'enregistrer des workflows OBO malveillants dans des déploiements sécurisés.

Une fois le déploiement créé, c'est-à-dire lors de l'enregistrement de son premier worker, un administrateur peut le sécuriser dans le panneau Paramètres de l'espace de travail, section Déploiements sécurisés.

Les administrateurs peuvent :

• Consulter la liste des déploiements sécurisés existants
• Ajouter des clés API autorisées à un déploiement
• Supprimer des clés API autorisées d'un déploiement

Un déploiement peut disposer de plusieurs clés API autorisées, par exemple pour permettre la rotation des clés ou l'utilisation de plusieurs workers.

La sécurisation du déploiement est une condition préalable à l'enregistrement d'un workflow OBO. Si vous tentez d'enregistrer un workflow OBO dans un nouveau déploiement, l'opération échoue, car les déploiements ne sont pas sécurisés par défaut. Le déploiement est toutefois préenregistré pendant cette étape.

Le worker signale une erreur contenant un lien vers un modèle préconfiguré dans le panneau d'administration. Ce modèle permet à un administrateur d'espace de travail d'associer la bonne clé API au déploiement afin de le sécuriser. Une fois la clé API associée au déploiement, le réenregistrement du worker aboutit.

1. Enregistrez le worker avec votre workflow OBO. L'enregistrement échoue, mais le déploiement est créé.
2. Ouvrez le lien indiqué dans le message d'erreur. Il mène au panneau d'administration avec un modèle de sécurisation prérempli.
3. Un administrateur d'espace de travail associe la clé API au déploiement.
4. Réenregistrez le worker. Le workflow OBO s'enregistre avec succès.