メインコンテンツへスキップ
W&B は、AI ワークロードやユーザーのブラウザから BLOB ストレージへのアクセスを簡素化するために、事前署名付き URL を使用します。事前署名付き URL の基本情報については、各クラウドプロバイダーのドキュメントを参照してください: 動作の流れ:
  1. 必要に応じて、ネットワーク内の AI ワークロードまたはユーザーのブラウザクライアントが W&B に事前署名付き URL を要求します。
  2. W&B は要求に応じて BLOB ストレージへアクセスし、必要な権限を持つ事前署名付き URL を生成します。
  3. W&B は生成した事前署名付き URL をクライアントに返します。
  4. クライアントはその事前署名付き URL を使用して、BLOB ストレージの読み取りまたは書き込みを行います。
事前署名付き URL の有効期限:
  • 読み取り:1 時間
  • 書き込み:24 時間(大きなオブジェクトをチャンクに分割してアップロードできるよう、より長い時間を確保するため)

チームレベルのアクセス制御

各事前署名付き URL は、W&B プラットフォームにおけるチームレベルのアクセス制御に基づいて、特定のバケットに対してのみ有効になります。あるユーザーが、secure storage connector を使用してストレージバケットにマッピングされているチームに所属しており、かつそのユーザーがそのチームにしか所属していない場合、そのユーザーのリクエストに対して生成される事前署名付き URL には、他のチームにマッピングされているストレージバケットへアクセスする権限は付与されません。
W&B では、ユーザーを本来所属すべきチームのみに追加することを推奨します。

ネットワーク制限

W&B では、IAM ポリシーを使用して、事前署名付き URL を使って外部ストレージにアクセスできるネットワークを制限することを推奨します。これにより、W&B 専用バケットには、AI ワークロードが実行されているネットワーク、またはユーザーのマシンに対応するゲートウェイ IP アドレスからのみアクセスできるようにできます。
  • CoreWeave AI Object Storage の場合は、CoreWeave ドキュメントの Bucket policy reference を参照してください。
  • AWS S3 や、オンプレミスでホストされる MinIO などの S3 互換ストレージの場合は、S3 userguideMinIO documentation、または利用している S3 互換ストレージプロバイダのドキュメントを参照してください。

監査ログ

W&B は、W&B audit logs と、BLOB ストレージ固有の監査ログを併用することを推奨します。BLOB ストレージの監査ログについては、各クラウドプロバイダのドキュメントを参照してください。 管理者およびセキュリティチームは監査ログを使用して、W&B 製品内でどのユーザーが何を行っているかを把握し、特定のユーザーに対して一部の操作を制限する必要があると判断した場合に、必要な対応を取ることができます。
Pre-signed URL は、W&B でサポートされている唯一の BLOB ストレージアクセスメカニズムです。W&B は、組織の要件に応じて、上記のセキュリティコントロールの一部またはすべてを構成することを推奨します。

署名付きURLをリクエストしたユーザーを特定する

W&B が署名付きURLを返すとき、URL 内のクエリパラメータにリクエストしたユーザーのユーザー名が含まれます。
ストレージプロバイダー署名付きURLのクエリパラメータ
CoreWeave AI Object StorageX-User
AWS S3 storageX-User
Google Cloud storageX-User
Azure blob storagescid