- AWS S3 の署名付き URL(CoreWeave AI Object Storage などの S3 互換ストレージにも適用されます)
- Google Cloud Storage の署名付き URL
- Azure Blob Storage の Shared Access Signature
- 必要に応じて、ネットワーク内の AI ワークロードまたはユーザーブラウザクライアントが W&B に署名付き URL をリクエストします。
- W&B は、リクエストに応じて blob ストレージにアクセスし、必要な権限を持つ署名付き URL を生成して応答します。
- W&B はクライアントに署名付き URL を返します。
- クライアントは署名付き URL を使用して、blob ストレージへの読み取りまたは書き込みを行います。
- 読み取り: 1 時間
- 書き込み: 24 時間(大きな オブジェクト をチャンクに分けてアップロードするための時間を確保するため)
Team レベルのアクセス制御
各署名付き URL は、W&B プラットフォームにおける team レベルのアクセス制御 に基づき、特定の バケット に制限されます。ユーザーが secure storage connector を使用してストレージ バケット にマッピングされた Team に所属しており、かつその ユーザー がその Team にのみ所属している場合、そのリクエストに対して生成される署名付き URL は、他の Team にマッピングされたストレージ バケット にアクセスする権限を持ちません。W&B では、ユーザー を本来所属すべき Team にのみ追加することを推奨しています。
ネットワーク制限
W&B では、IAM ポリシーを使用して、署名付き URL を利用して外部ストレージにアクセスできるネットワークを制限することを推奨しています。これにより、W&B 専用の バケット へのアクセスを、AI ワークロードが実行されているネットワーク、または ユーザー のマシンにマッピングされたゲートウェイ IP アドレスからのみに限定することができます。- CoreWeave AI Object Storage については、CoreWeave ドキュメントの Bucket policy reference を参照してください。
- AWS S3 またはオンプレミスでホストされている MinIO などの S3 互換ストレージについては、S3 ユーザーガイド、MinIO ドキュメント、またはご利用の S3 互換ストレージプロバイダーのドキュメントを参照してください。
監査ログ
W&B では、W&B 監査ログ と blob ストレージ固有の監査ログを併用することを推奨しています。blob ストレージの監査ログについては、各クラウドプロバイダーのドキュメントを参照してください。 管理者およびセキュリティチームは、監査ログを使用して、どの ユーザー が W&B 製品内でどのような操作を行っているかを追跡し、特定の ユーザー に対して一部の操作を制限する必要があると判断した場合に適切な措置を講じることができます。W&B において、署名付き URL はサポートされている唯一の blob ストレージアクセス手法です。組織のニーズに応じて、上記のセキュリティ制御の一部またはすべてを設定することを推奨します。
署名付き URL をリクエストしたユーザーの特定
W&B が署名付き URL を返す際、URL 内のクエリ パラメータ にリクエストした ユーザー のユーザー名が含まれます。| ストレージプロバイダー | 署名付き URL クエリ パラメータ |
|---|---|
| CoreWeave AI Object Storage | X-User |
| AWS S3 storage | X-User |
| Google Cloud storage | X-User |
| Azure blob storage | scid |