> ## Documentation Index
> Fetch the complete documentation index at: https://wb-21fd5541-wbdocs-1882.mintlify.site/llms.txt
> Use this file to discover all available pages before exploring further.

# 事前署名付き URL を使用して BYOB にアクセスする

> W&B が Blob Storage へのアクセスに事前署名付き URL をどのように使用するかについて、チームレベルのアクセス制御や監査ログを含めて説明します。

W\&B は、AI ワークロードやユーザーのブラウザーから Blob Storage へ簡単にアクセスできるようにするため、事前署名付き URL を使用します。事前署名付き URL の基本情報については、各クラウドプロバイダーのドキュメントを参照してください。

* [AWS S3 の事前署名付き URL](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-presigned-url.html)。これは、[CoreWeave AI Object Storage](https://docs.coreweave.com/docs/products/storage/object-storage) のような S3 互換ストレージにも適用されます。
* [Google Cloud Storage の署名付き URL](https://cloud.google.com/storage/docs/access-control/signed-urls)
* [Azure Blob Storage の Shared Access Signature](https://learn.microsoft.com/azure/storage/common/storage-sas-overview)

仕組み:

1. 必要に応じて、ネットワーク内の AI ワークロードまたはユーザーのブラウザークライアントが、W\&B に事前署名付き URL をリクエストします。
2. W\&B はそのリクエストに応答し、必要な権限を持つ事前署名付き URL を生成するために Blob Storage にアクセスします。
3. W\&B は事前署名付き URL をクライアントに返します。
4. クライアントは事前署名付き URL を使用して、Blob Storage を読み書きします。

事前署名付き URL の有効期限は次のとおりです。

* **読み取り**: 1 時間
* **書き込み**: 24 時間。大きなオブジェクトをチャンク単位でアップロードするために、より長い時間が確保されています。

<div id="team-level-access-control">
  ## チーム単位のアクセス制御
</div>

各事前署名付き URL は、W\&B プラットフォームの[チームレベルのアクセス制御](/ja/platform/hosting/iam/access-management/manage-organization#add-and-manage-teams)に基づき、特定のバケットにのみ制限されます。あるユーザーが、[secure storage connector](./secure-storage-connector)を使用してストレージバケットに関連付けられたチームに所属しており、かつそのチームにしか所属していない場合、そのユーザーのリクエストに対して生成される事前署名付き URL には、他のチームに関連付けられたストレージバケットへアクセスする権限は含まれません。

<Note>
  W\&B では、ユーザーは実際に所属すべきチームにのみ追加することを推奨しています。
</Note>

<div id="network-restriction">
  ## ネットワーク制限
</div>

W\&B では、IAM ポリシーを使用して、事前署名付き URL による外部ストレージへのアクセスを許可するネットワークを制限することを推奨しています。これにより、W\&B 専用のバケットには、AI ワークロードが実行されているネットワーク、またはユーザーの端末に対応するゲートウェイ IP アドレスからのみアクセスできるようになります。

* CoreWeave AI Object Storage については、CoreWeave のドキュメントにある [Bucket policy reference](https://docs.coreweave.com/docs/products/storage/object-storage/reference/bucket-policy#condition) を参照してください。
* AWS S3、またはオンプレミスでホストされる MinIO のような S3 互換ストレージについては、[S3 userguide](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-presigned-url.html#PresignedUrlUploadObject-LimitCapabilities)、[MinIO documentation](https://github.com/minio/minio)、または利用中の S3 互換ストレージプロバイダーのドキュメントを参照してください。

<div id="audit-logs">
  ## 監査ログ
</div>

W\&B では、[W\&B 監査ログ](../monitoring-usage/audit-logging)を blob storage 固有の監査ログとあわせて使用することを推奨しています。blob storage の監査ログについては、各クラウドプロバイダのドキュメントを参照してください。

* [CoreWeave 監査ログ](https://docs.coreweave.com/docs/products/storage/object-storage/concepts/audit-logging#audit-logging-policies)
* [AWS S3 アクセスログ](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ServerLogs.html)
* [Google Cloud Storage 監査ログ](https://cloud.google.com/storage/docs/audit-logging)
* [Azure blob storage の監視](https://learn.microsoft.com/azure/storage/blobs/monitor-blob-storage).

管理チームおよびセキュリティチームは、監査ログを使用して W\&B プロダクト内でどのユーザーが何をしているかを把握し、特定のユーザーに対して一部の操作を制限する必要があると判断した場合は、必要な対応を取ることができます。

<Note>
  事前署名付き URL は、W\&B でサポートされる唯一の blob storage へのアクセス手段です。W\&B では、組織のニーズに応じて、上記のセキュリティ制御の一部またはすべてを設定することを推奨しています。
</Note>

<div id="determine-the-user-that-requested-a-pre-signed-url">
  ## 事前署名付き URL をリクエストしたユーザーを特定する
</div>

W\&B が事前署名付き URL を返す際、URL のクエリパラメーターには、リクエストしたユーザーのユーザー名が含まれます。

| ストレージプロバイダー                 | 署名付き URL のクエリパラメーター |
| --------------------------- | ------------------- |
| CoreWeave AI Object Storage | `X-User`            |
| AWS S3 ストレージ                | `X-User`            |
| Google Cloud ストレージ          | `X-User`            |
| Azure  blob storage         | `scid`              |
