> ## Documentation Index
> Fetch the complete documentation index at: https://wb-21fd5541-docs-hivemind-launch.mintlify.site/llms.txt
> Use this file to discover all available pages before exploring further.
# 事前署名付き URL を使用して BYOB にアクセスする
> W&B が Blob Storage へのアクセスに事前署名付き URL をどのように使用するかについて、チームレベルのアクセス制御や監査ログを含めて説明します。
W\&B は、AI ワークロードやユーザーのブラウザーから Blob Storage へ簡単にアクセスできるようにするため、事前署名付き URL を使用します。このページでは、W\&B における事前署名付き URL の仕組みを説明します。また、Blob Storage へのアクセスを保護するために管理者が設定すべきアクセス制御、ネットワーク制限、監査ログについても概説します。
事前署名付き URL の背景については、各クラウドプロバイダーのドキュメントを参照してください。
* [AWS S3 の事前署名付き URL](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-presigned-url.html)。これは、[CoreWeave AI Object Storage](https://docs.coreweave.com/docs/products/storage/object-storage) のような S3 互換ストレージにも適用されます。
* [Google Cloud Storage の署名付き URL](https://cloud.google.com/storage/docs/access-control/signed-urls)。
* [Azure Blob Storage の Shared Access Signature](https://learn.microsoft.com/azure/storage/common/storage-sas-overview)。
事前署名付き URL の仕組みは次のとおりです。
1. 必要に応じて、ネットワーク内の AI ワークロードまたはユーザーのブラウザークライアントが、W\&B に事前署名付き URL をリクエストします。
2. W\&B はそのリクエストに応答し、必要な権限を持つ事前署名付き URL を生成するために Blob Storage にアクセスします。
3. W\&B は事前署名付き URL をクライアントに返します。
4. クライアントは事前署名付き URL を使用して、Blob Storage の読み取りまたは書き込みを行います。
事前署名付き URL の有効期限は次のとおりです。
* **読み取り操作**: 1 時間。
* **書き込み操作**: 24 時間。大きなオブジェクトをチャンク単位でアップロードするために、より長い時間が確保されています。
## チームレベルのアクセス制御
各事前署名付き URL は、W\&B プラットフォームの[チームレベルのアクセス制御](/ja/platform/hosting/iam/access-management/manage-organization#add-and-manage-teams)に基づき、特定のバケットにのみ制限されます。1 つのチームにのみ所属するユーザーを考えてみてください。そのチームが [secure storage connector](./secure-storage-connector) を使用してストレージバケットに関連付けられている場合、そのユーザーのリクエストに対して生成される事前署名付き URL には、他のチームに関連付けられたストレージバケットへアクセスする権限は含まれません。
W\&B では、ユーザーは実際に所属すべきチームにのみ追加することを推奨しています。
## ネットワーク制限
W\&B では、IAM ポリシーを使用して、事前署名付き URL による外部ストレージへのアクセスを許可するネットワークを制限することを推奨しています。これにより、W\&B 専用のバケットには、AI ワークロードが実行されているネットワーク、またはユーザーの端末に対応するゲートウェイ IP アドレスからのみアクセスできるようになります。
これらの IAM ポリシーの設定方法については、利用しているクラウドプロバイダーのドキュメントを参照してください。
* CoreWeave AI Object Storage については、CoreWeave のドキュメントにある [Bucket policy reference](https://docs.coreweave.com/docs/products/storage/object-storage/reference/bucket-policy#condition) を参照してください。
* AWS S3、またはオンプレミスでホストされる MinIO のような S3 互換ストレージについては、[Amazon S3 User Guide](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-presigned-url.html#PresignedUrlUploadObject-LimitCapabilities)、[MinIO documentation](https://github.com/minio/minio)、または利用中の S3 互換ストレージプロバイダーのドキュメントを参照してください。
## 監査ログ
W\&B では、[W\&B 監査ログ](../monitoring-usage/audit-logging)を blob storage 固有の監査ログとあわせて使用することを推奨しています。blob storage の監査ログについては、各クラウドプロバイダのドキュメントを参照してください。
* [CoreWeave 監査ログ](https://docs.coreweave.com/docs/products/storage/object-storage/concepts/audit-logging#audit-logging-policies)。
* [AWS S3 アクセスログ](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ServerLogs.html)。
* [Google Cloud Storage 監査ログ](https://cloud.google.com/storage/docs/audit-logging)。
* [Azure Blob Storage の監視](https://learn.microsoft.com/azure/storage/blobs/monitor-blob-storage)。
管理チームおよびセキュリティチームは、監査ログを使用して W\&B で各ユーザーが何をしているかをトラッキングし、特定のユーザーに対して一部の操作を制限する必要がある場合は、対応を取ることができます。
事前署名付き URL は、W\&B でサポートされる唯一の blob storage へのアクセス手段です。W\&B では、組織のニーズに応じて、前述のセキュリティ制御の一部またはすべてを設定することを推奨しています。
## 事前署名付き URL をリクエストしたユーザーを特定する
監査ログを確認する際に、事前署名付き URL のアクティビティを特定の W\&B ユーザーに関連付けるには、W\&B が各 URL に追加するクエリパラメーターを確認します。W\&B が事前署名付き URL を返す際、URL のクエリパラメーターには、リクエストしたユーザーのユーザー名が含まれます。
| ストレージプロバイダー | 署名付き URL のクエリパラメーター |
| --------------------------- | ------------------- |
| CoreWeave AI Object Storage | `X-User` |
| AWS S3 | `X-User` |
| Google Cloud Storage | `X-User` |
| Azure Blob Storage | `scid` |