\n<synced_block url="https://www.notion.so/288403a7adf380cf82c0dabbe105472c#288403a7adf380469073d365f375342a">\n\t# Introduction \n\t---\n\tLes bulles sécurisées Arkhn sont des espaces de travail qui permettent de manipuler les données (notamment les données issues de l’EDS) dans un cadre collaboratif qui garantit leur sécurité.\n\tElles vous offrent le plus haut niveau de conformité au référentiel EDS de la CNIL, tout en permettant à tous les utilisateurs d’avoir les outils qui leur conviennent.\n\tElles assurent aussi la collaboration entre utilisateurs, dans le cadre de projets de recherche comme de pilotage.\n\t# Rôles et droits utilisateurs \n\t---\n\t### Les 3 rôles dans Arkhn Admin\n\t| | Data User | Data Manager | Le Data Engineer |
|---|---|---|---|
| A accès à toutes les bulles | ❌ | ❌ | ✅ |
| A accès aux bulles auxquelles il a été invité | ✅ | ✅ | ✅ |
| Peut créer des bulles | ❌ | ✅ | ✅ |
| Peut avoir des droits de modification | ❌ | ✅ | ✅ |
| Peut restaurer la sauvegarde d’une bulle | ❌ | ✅ | ✅ |
| Peut mettre en veille et rallumer une bulle | ✅ | ✅ | ✅ |
| Peut consulter l’historique de la bulle | ✅ | ✅ | ✅ |\n\t### Les types de droit\n\t| | Droits de lecture | Droits de modification |
|---|---|---|
| Peut accéder à la bulle | ✅ | ✅ |
| Peut importer des fichiers externes | ✅ | ✅ |
| Peut exporter des fichiers externes | ✅ | ✅ |
| Peut accéder à l’historique | ✅ | ✅ |
| Peut télécharger le contenu des imports ou des exports validés | ✅ | ✅ |
| Peut ajouter ou modifier des collaborateurs | ❌ | ✅ |
| Peut archiver une bulle | ❌ | ✅ |\n\t# Utilisateur simple \n\t---\n\t## 1. Connexion au portail Arkhn Admin {toggle="true"}\n\t\tPortail Web\n\t\tPour accéder aux bulles sécurisés Arkhn, il faut passer par le portail Arkhn Admin.\n\t\tLe portail est accessible via un navigateur et une adresse web communiquée par votre administrateur système.\n\t\t\n\t\tCompte individuel\n\t\tLa connexion se fait avec un compte individuel.\n\t\tLes comptes sont** fédérés avec l’annuaire de l’hôpital** : vous utilisez votre nom d’utilisateur et mot de passe de l’hôpital.\n\t\t\n\t\tDouble authentification\n\t\tAfin de répondre aux exigences de sécurités du référentiel de la CNIL, vous devez vous munir d’un double facteur d’authentification : cela se fait grâce à l’application FreeOTP qu’il faut télécharger sur votre smartphone.\n\t\tA votre première connexion, vous verrez des instructions pour initialiser votre OTP.\n\t\t\n\t\tConnexion au portail Arkhn Admin\n\t\tLe référentiel EDS de la CNIL impose que les profils de connexion soient différenciés selon l’accès de l’utilisateur à des données identifiantes ou non.\n\t\tIl faut donc déclarer quel est le profil utilisé en se connectant à Arkhn Admin.
\n\t\t\n\t## 2. Connexion à une bulle sécurisée {toggle="true"}\n\t\tDepuis Arkhn Admin\n\t\t\n\t\t\t
\n\t\t\t\t
\n\t\t\t
\n\t\t\t
\n\t\t\t\t
\n\t\t\t
\n\t\t\n\t\t1 - Dans le Menu de gauche, choisissez « Bulles sécurisées »\n\t\t2**** - La liste des bulles sécurisées auxquelles vous avez accès apparaît sur la gauche de l’écran. Sélectionnez celle à laquelle vous voulez vous connecter\n\t\t3**** - Cliquez sur « Accéder à la bulle » - un nouvel écran va s’ouvrir\n\t\t4**** - À la première connexion, vous serez d’abord connecté à l’interface de Guacamole, qui vous demandera à nouveau de sélectionner une bulle. Cliquez simplement sur la bulle choisie\n\t\t\n\t\tInterface Guacamole\n\t\tCliquez sur la bulle choisie\n\t\t
\n\t\tDans cet exemple, les deux bulles disponibles sont : “Demo MRC” (en haut) et “CKD demo” (en bas)\n\t\tÀ cette étape, l’utilisateur ne verra que les bulles sur lesquelles il a les droits d’accès.\n\t\t\n\t## 3. Import et Export de Fichiers {toggle="true"}\n\t\t### Demande d’Import de Fichiers via le portail Arkhn Admin \n\t\tPour importer un fichier dans une bulle sécurisée, vous devez faire une demande dans Arkhn Admin.\n\t\tAttention : pour certains types de bulles, les demandes d’import seront soumises à validation par un administrateur.\n\t\t
\n\t\t1 - Sélectionnez dans le menu la bulle concernée\n\t\t2 & 3**** - Ouvrez le menu d’import, puis cliquez sur le bouton “Importer des fichiers”\n\t\t4**** - Une fenêtre s’ouvre pour faire la demande d’import. Vous devez sélectionner un ou plusieurs fichiers depuis votre ordinateur\n\t\t5**** - Le “Statut” indique si la demande a été acceptée. Pour les bulles EDS, la demande devra être validée par un administrateur. Pour les bulles Externe, elle sera automatiquement acceptée\n\t\t6 **- Une fois la demande acceptée, connectez-vous à la bulle pour récupérer vos fichiers\n\t\t\n\t\t### Import et Export de Fichiers Dans la bulle\n\t\tUne fois connecté à la bulle sécurisée, vous avez accès à une instance d’Arkhn Admin en local.\n\t\tVia cette page, vous pourrez :\n\t\t1. Télécharger dans la bulle les fichiers pour lesquels vous avez fait une demande d’import\n\t\t2. Faire une demande d’export pour sortir un fichier de la bulle\n\t\t\n\t\t
\n\t\t1 - Sélectionnez l’icône Arkhn dans le menu du bas. Cela ouvre Arkhn Admin en local (si vous recevez un message “risque de sécurité” voir slide 16)\n\t\t2 **** - Dans l’onglet d’import, vous retrouvez les fichiers qui ont fait l’objet d’une demande d’import. Vous pouvez les télécharger dans votre espace.\n\t\t\n\t\t
\n\t\t3**** - ** Une fois le fichier téléchargé, utilisez l’explorateur de fichiers pour le retrouver dans les téléchargements\n\t\t4**** - L’onglet d’export permet de faire une demande d’export d’un ou plusieurs fichiers depuis la bulle. Pour une bulle EDS, la demande sera soumise à validation\n\t\t\n\t\t### Récupérer un fichier après une demande d’Export via Arkhn Admin (hors de l’espace de la bulle)\n\t\tUne fois que votre demande d’export depuis la bulle a été acceptée, vous sortez de l’espace de la bulle et revenez sur le portail Arkhn Admin depuis votre poste de travail.\n\t\tVous pouvez alors utiliser le menu d’Export pour télécharger les fichiers qui ont été exporté.\n\t\t
\n\t\t1 - Assurez-vous que vous êtes sur le portail Arkhn Admin, hors de la bulle sécurisée\n\t\t2**** - Dans l’onglet d’export, vous trouverez les fichiers pour lesquels une demande est en cours\n\t\tPour une bulle Externe, les demandes sont automatiquement acceptées. Pour une bulle EDS, elles sont soumises à validation d’un administrateur.\n\t\t3**** - Si le statut est accepté, vous pouvez télécharger le fichier sur votre poste de travail\n\t\t\n\t\t\n\t## 4. Travailler dans la bulle sécurisée {toggle="true"}\n\t\t### Les outils de la bulle sécurisée \n\t\tCertains outils de la bulle sécurisée sont accessibles depuis des raccourcis sur le bureau.\n\t\tPour accéder à toutes les applications, utilisez le menu “Applications” en haut à gauche de l’écran.\n\t\t
\n\t\tDéveloppement :\n\t\t- Jupyter Lab\n\t\t- RStudio\n\t\t- Visual Studio Code\n\t\tBureautique :\n\t\t- LibreOffice Calc (tableur)\n\t\t- LibreOffice Writer (éditeur de texte)\n\t\tAutre :\n\t\t- Terminal\n\t\t- Gestionnaire de fichiers\n\t\t\n\t\t### Copier-Coller dans la bulle\n\t\tTous les navigateurs ne donnent pas accès au presse-papier (copier-coller) dans les bulles sécurisées.
Pour pouvoir utiliser le copier-coller, connectez-vous à Arkhn Admin et aux bulles sécurisées depuis l’un de ces navigateurs: \n\t\t- Chrome (autoriser l’accès au presse-papier quand le navigateur vous fait la demande)\n\t\t- Microsoft Edge\n\t\tLe Copier-Coller ne fonctionne pas sur le navigateur Firefox.\n\t\t\n\t\t### Partage de fichiers avec les autres utilisateurs\n\t\tUn dossier /Public existe dans la bulle sécurisée. Il permet de partager des fichiers avec d’autres utilisateurs de la bulle. \n\t\t
\n\t\tTous les fichiers enregistrés sur la bulle sont par défaut sur votre session personnelle, les autres utilisateurs de la bulle n’y ont donc par accès. Seuls les fichiers enregistrés sur /Public sont partagés avec l’ensemble des utilisateurs de la bulle. \n\t\tUn raccourci est présent depuis le bureau pour accéder au dossier Public\n\t\t
\n\t\t\n\t\t### Utilisation des packages R et librairies Python\n\t\tLes bulles sécurisées ne sont pas connectées à internet. Un proxy sécurisé est utilisé pour pouvoir télécharger des librairies python et des packages R. Le proxy ne sert de passerelle que vers quelques destinations choisies. \n\t\t\n\t\tLe proxy permet une connexion sécurisée à :\n\t\t- https://pypi.org/\n\t\t- https://cran.r-project.org\n\t\t- http://deb.debian.org/debian\n\t\t\n\t\tInstaller une librairie python :\n\t\tVous pouvez utiliser les mêmes commandes que dans un environnement classique, la commande pip install fonctionnera. Le passage par le proxy est transparent.\n\t\tInstaller un package R :\n\t\tLe proxy pointe vers cran. Vous pourrez dont récupérer des packages sur cran avec vos commandes habituelles. En revanche, d’autres sources seront indisponibles pour des raisons de sécurité.\n\t\tAttention : la compilation des packages R peut prendre beaucoup de temps dans les bulles sécurisées. Privilégiez donc l’installation avec la commande sudo arkhn_apt install\n\t\t\n\t\tInstallation des paquets apt avec sudo arkhn_apt install\n\t\tVous avez la possibilité d’installer des dépendances systèmes nécessaires aux packages R, ou bien les packages R pré-compilés.
\n\t\tAttention: Il faut toujours utiliser sudo avec arkhn_apt\n\t\tjavascript\nUsage:\nsudo arkhn_apt [-h] {update,install,list,remove} [packages ...]\nScript to allow a secure install of apt packages inside of a DCR.\n\nPositional arguments:\n\n{update,install,list,remove} : the operation to perform.\nCan be either 'update','install','list' or 'remove'.\n\npackages : the packages to install or remove.\n\nOptions: -h, --help : show this help message and exit\n\t\t\n\t\t### Utilisation de TensorFlow dans les DCR\n\t\tLa dernière version de Tensorflow(2.20.0) utilise une version spécifique de CUDA ( 12.5 )
Les DCR contiennent CUDA 13 par défaut, Tensorflow n’arrivera donc pas à communiquer avec le GPU.
Pour pallier cela, il suffit d’installer dans votre environnement python la version de CUDA correspondant à celle chargée par Tensorflow.
Dans votre environnement:pip install tensorflow[and-cuda] \n</synced_block>\nIl faudra alors utiliser ce meme environnement Python pour utiliser Tensorflow.\n# Administrateur \n---\n## 1. Gestion des Utilisateurs {toggle="true"}\n\t### Ajout d’un nouvel utilisateur\n\tPour importer un nouvel utilisateur, le compte doit être déjà configuré dans Keycloak (gestionnaire d’identité utilisé parArkhn)\n\tDans la configuration classique Arkhn, Keycloak est automatiquement synchronisé avec l’annuaire (LDAP/AD) de l’hôpital. Quand ce n’est pas le cas, les comptes sont créés manuellement dans keycloak.\n\tPour ajouter un nouvel utilisateur, il faut donc le rajouter au dossier LDAP correspondant (gestion de l’annuaire par le client), puis on pourra trouver cet utilisateur dans la liste des mails ici pour lui donner des droits d’accès.\n\t
\n\t### Modification des Droits \n\t
\n## 2. Création d’une bulle sécurisée {toggle="true"}\n\tLes data manager et les data engineer ont le droit de créer une bulle sécurisée**\n\t1 - Depuis le menu des Bulles sécurisées, cliquez sur le bouton en haut à gauche :”Nouvelle bulle sécurisée “.\n\tEntre chaque étape, utilisez le bouton “Étape suivante” en haut à droite de l’écran\n\t2 - Renseignez un nom pour la bulle et une date d’expiration (obligatoire)\n\t3 - Choisissez le type de bulle dans “Source(s) de données”** (voir détails sur la slide suivante)\n\t4** - Pour l’attribution des ressources (Stockage et puissance), voir détails dans la slide 24\n\t5 - Choisissez des collaborateurs.\n\tPar défaut, tous les “data Engineer” auront les droits de modification sur la bulle. Cela ne peut pas être changé.\n\tVous pourrez à tout moment de la vie de la bulle modifier la liste des personnes ayant accès, et leurs droits (lecture ou modification)\n\t6 - Consultez le résumé, et cliquez sur “Créer la bulle” en haut à droite de l’écran\n\t7 - Votre bulle apparaîtra comme “en préparation” pendant quelques instants, avant d’apparaître comme “disponible”; Cela peut prendre plusieurs minutes.\n\t\n\t### Les Types de Bulles (Sources de Données)\n\t
\n\tLes bulles peuvent être du type EDS ou Externe.\n\tPour une bulle de type EDS , les demandes d’import ou d’export de fichiers seront soumises à validation par un administrateur. Pour activer cette option, cochez la case “utiliser les données de l’EDS”\n\tSi cette option n’est pas cochée, la bulle sera de type Externe. Les demandes d’import et d’export de fichier pour ce type de bulle sont automatiquement acceptées, peu importe le rôle de la personne ayant fait la demande.\n\t\n\t### Attribution des ressources\n\tLors de la création d’une bulle, vous pouvez choisir les ressources allouées à la bulle : CPU, RAM, espace disque\n\t
\n\tModifier les ressources allouées\n\tUne fois allouées, les ressources ne seront pas modifiable via Arkhn Admin. Il faudra faire une demande à un administrateur Arkhn.\n\tConsulter les ressources allouées\n\tVous pourrez consulter les ressources allouées à une bulle en allant dans l’interface de gestion d’une bulle, en cliquant sur les trois points en haut à droite, et en sélectionnant le menu “résumé des paramètres”\n\tUtilisation des ressources disponibles\n\tSi vous allouez à la bulle plus de ressources que celles qui sont encore disponibles sur la machine, vous obtiendrez un message d’erreur à la création de la bulle.\n\tArkhn vous propose un Dashboard Grafana (voir slide suivante) pour surveiller l’utilisation des ressources, et déterminer si il reste assez de ressources pour la bulle que vous voulez créer\n\t\n\t### Dashboard Grafana\n\tLe Dashboard est accessible depuis la page Arkhn Admin via le lien “Grafana”\n\t
\n\t1. En haut à gauche, cliquez sur le bouton “Home”, puis “Dashboards”\n\t2. Dans la liste des dashboards, sélectionner “Arkhn Data Clean Rooms”\n\t
\n\t1. Les deux premiers graphes représentent les CPU et les RAM qui sont déjà réservés pour des DCR, (en vert) comparé à ce qui est disponible sur la machine (en jaune)\n\t2. Si vous avez plusieurs VM sur le cluster, vous avez une vue par VM via ce menu déroulant\n\t\n## 3. Gestion de la Bulle {toggle="true"}\n\tEn cliquant sur chaque bulle, on accède à l’espace de gestion de la bulle\n\t \n\t
\n\tSelon les droits de l’utilisateur, on peut:\n\t1 - Gérer les collaborateurs,\n\t2 - Importer des fichiers\n\t3 - Télécharger les imports et les exports.\n\t4 - Consulter l’historique de la bulle et Archiver la bulle\n\t5 - Se connecter à la bulle\n## 4. Gestion des droits d’accès {toggle="true"}\n\tPour gérer les collaborateurs, il faut avoir les droits de modifications sur la bulle. (voir section “Rôles et droits d’utilisation”)\n\tUn data user ne peut jamais avoir les droits de modification, et un data engineer a les droits de modification sur toutes les bulles par défaut.\n\t
\n\t1** - Vous pouvez sélectionner un nouvel utilisateur dans la liste pour lui donner les droits de lecture sur la bulle. Il n’y a pas besoin d’enregistrer, l’action est effective à partir du moment où vous avez cliqué sur le nom de l’utilisateur\n\t2** - Vous pouvez modifier ou révoquer les droits d’un utilisateur. De la même façon, pas besoin d’enregistrer une décision.\n## 5. Validation des imports/exports {toggle="true"}\n\t
\n\t1 **- La Gestion des demandes se fait dans un menu séparé du menu “Bulles sécurisées”\n\t2** - La “provenance” indique le nom de la bulle sécurisée concerné par la demande d’import ou d’export - ici la bulle s’appelle CKD demo\n\t3**** - L’utilisateur ayant fait la demande est un data user : sa demande doit donc être validée par un data manager ayant les droits sur la bulle, ou par un data engineer\n\t4**** - Consulter la demande, visualiser le fichier dont l’import ou l’export depuis la bulle a été demandé, et valider ou rejeter la demande, avec un commentaire en option. L’utilisateur verra le statut de sa demande mis à jour dans l’interface de gestion de la bulle.\n## 6. Historique de la bulle {toggle="true"}\n\t
\n\t1 **- Depuis l’interface de gestion de la bulle, cliquez sur les trois points en haut à droite\n\t2 - Puis sélectionnez “Historique et mise à jour”\n\t3** - L’historique décrit les évènements de la bulle, ainsi que l’utilisateur qui a fait chaque action :\n\t- Création de la bulle\n\t- Demande d’import, demande d’export,\n\t- Connexion à la bulle\n\t- Archivage\n## 7. Mise en veille ou redémarrage d’une bulle {toggle="true"}\n\tLe re-démarrage de la bulle peut permettre de la débloquer en cas de bug.\n\tLa mise en veille de la bulle (”Arrêt de la bulle”) permet de libérer temporairement les ressources CPU et RALM attribuées à cette bulle. \n\tLa bulle pourra ensuite être re-démarrée (”Démarrer la bulle”) avec le même bouton pour re-prendre le travail. \n\t
\n## 8. Restauration d’une sauvegarde de la bulle {toggle="true"}\n\tLa bulle sécurisée est sauvegardée automatiquement toutes les 4h. \n\tCliquez sur les trois points en haut à gauche, puis “Restaurer”\n\t
\n\tPuis sélectionner la sauvegarde voulue pour la restauration\n\t
\n## 9. Archivage d’une bulle {toggle="true"}\n\t
\n\tUne bulle peut être archivée de deux manières:\n\t1 - Manuellement (trois petits points en haut à droite)\n\t2 - À l’atteinte de la date d’expiration de la bulle\n\tL’archivage rend la bulle inaccessible mais permet de continuer à consulter l’historique des événements et télécharger les imports et exports validés pendant une durée de minimum 6 mois.\n\n\n"}