メインコンテンツへスキップ
W&B は、AI ワークロードやユーザーのブラウザーから Blob Storage へ簡単にアクセスできるようにするため、事前署名付き URL を使用します。事前署名付き URL の基本情報については、各クラウドプロバイダーのドキュメントを参照してください。 仕組み:
  1. 必要に応じて、ネットワーク内の AI ワークロードまたはユーザーのブラウザークライアントが、W&B に事前署名付き URL をリクエストします。
  2. W&B はそのリクエストに応答し、必要な権限を持つ事前署名付き URL を生成するために Blob Storage にアクセスします。
  3. W&B は事前署名付き URL をクライアントに返します。
  4. クライアントは事前署名付き URL を使用して、Blob Storage を読み書きします。
事前署名付き URL の有効期限は次のとおりです。
  • 読み取り: 1 時間
  • 書き込み: 24 時間。大きなオブジェクトをチャンク単位でアップロードするために、より長い時間が確保されています。

チーム単位のアクセス制御

各事前署名付き URL は、W&B プラットフォームのチームレベルのアクセス制御に基づき、特定のバケットにのみ制限されます。あるユーザーが、secure storage connectorを使用してストレージバケットに関連付けられたチームに所属しており、かつそのチームにしか所属していない場合、そのユーザーのリクエストに対して生成される事前署名付き URL には、他のチームに関連付けられたストレージバケットへアクセスする権限は含まれません。
W&B では、ユーザーは実際に所属すべきチームにのみ追加することを推奨しています。

ネットワーク制限

W&B では、IAM ポリシーを使用して、事前署名付き URL による外部ストレージへのアクセスを許可するネットワークを制限することを推奨しています。これにより、W&B 専用のバケットには、AI ワークロードが実行されているネットワーク、またはユーザーの端末に対応するゲートウェイ IP アドレスからのみアクセスできるようになります。
  • CoreWeave AI Object Storage については、CoreWeave のドキュメントにある Bucket policy reference を参照してください。
  • AWS S3、またはオンプレミスでホストされる MinIO のような S3 互換ストレージについては、S3 userguideMinIO documentation、または利用中の S3 互換ストレージプロバイダーのドキュメントを参照してください。

監査ログ

W&B では、W&B 監査ログを blob storage 固有の監査ログとあわせて使用することを推奨しています。blob storage の監査ログについては、各クラウドプロバイダのドキュメントを参照してください。 管理チームおよびセキュリティチームは、監査ログを使用して W&B プロダクト内でどのユーザーが何をしているかを把握し、特定のユーザーに対して一部の操作を制限する必要があると判断した場合は、必要な対応を取ることができます。
事前署名付き URL は、W&B でサポートされる唯一の blob storage へのアクセス手段です。W&B では、組織のニーズに応じて、上記のセキュリティ制御の一部またはすべてを設定することを推奨しています。

事前署名付き URL をリクエストしたユーザーを特定する

W&B が事前署名付き URL を返す際、URL のクエリパラメーターには、リクエストしたユーザーのユーザー名が含まれます。
ストレージプロバイダー署名付き URL のクエリパラメーター
CoreWeave AI Object StorageX-User
AWS S3 ストレージX-User
Google Cloud ストレージX-User
Azure blob storagescid