- AWS S3용 미리 서명된 URL. CoreWeave AI Object Storage와 같은 S3 호환 스토리지에도 적용됩니다.
- Google Cloud Storage용 서명된 URL
- Azure Blob Storage용 공유 엑세스 서명 (SAS)
- 필요한 경우, 네트워크 내의 AI 워크로드 또는 사용자 브라우저 클라이언트가 W&B에 미리 서명된 URL을 요청합니다.
- W&B는 blob 스토리지에 엑세스하여 필요한 권한이 포함된 미리 서명된 URL을 생성하고 요청에 응답합니다.
- W&B는 생성된 미리 서명된 URL을 클라이언트에 반환합니다.
- 클라이언트는 이 URL을 사용하여 blob 스토리지를 읽거나 씁니다.
- 읽기: 1시간
- 쓰기: 24시간 (대용량 오브젝트를 여러 청크로 나누어 업로드할 수 있도록 충분한 시간을 제공합니다.)
팀 수준 엑세스 제어
각 미리 서명된 URL은 W&B 플랫폼의 팀 수준 엑세스 제어에 따라 특정 버킷으로 제한됩니다. 사용자가 secure storage connector를 사용하여 스토리지 버킷에 매핑된 Teams 의 일원이고, 해당 사용자가 오직 그 팀에만 속해 있다면, 해당 사용자의 요청으로 생성된 미리 서명된 URL은 다른 Teams 에 매핑된 스토리지 버킷에 엑세스할 수 있는 권한을 갖지 않습니다.W&B는 사용자를 실제로 소속되어야 하는 Teams 에만 추가할 것을 권장합니다.
네트워크 제한
W&B는 IAM 정책을 사용하여 미리 서명된 URL로 외부 스토리지에 엑세스할 수 있는 네트워크를 제한할 것을 권장합니다. 이를 통해 W&B 전용 버킷이 AI 워크로드가 실행 중인 네트워크 또는 사용자 머신에 매핑된 게이트웨이 IP 주소에서만 엑세스되도록 보장할 수 있습니다.- CoreWeave AI Object Storage의 경우, CoreWeave 문서의 Bucket policy reference를 참조하세요.
- AWS S3 또는 사내에 호스팅된 MinIO와 같은 S3 호환 스토리지의 경우, S3 가이드, MinIO 문서 또는 해당 S3 호환 스토리지 제공업체의 문서를 참조하세요.
감사 로그 (Audit logs)
W&B는 W&B 감사 로그를 blob 스토리지 전용 감사 로그와 함께 사용할 것을 권장합니다. blob 스토리지 감사 로그는 각 클라우드 제공업체의 문서를 참조하세요: 관리자 및 보안 팀은 감사 로그를 사용하여 W&B 제품 내에서 어떤 사용자가 어떤 작업을 수행하는지 추적하고, 특정 사용자에 대해 일부 작업의 제한이 필요하다고 판단되는 경우 필요한 조치를 취할 수 있습니다.미리 서명된 URL은 W&B에서 지원하는 유일한 blob 스토리지 엑세스 메커니즘입니다. W&B는 조직의 요구 사항에 따라 위의 보안 제어 항목 중 일부 또는 전체를 구성할 것을 권장합니다.
미리 서명된 URL을 요청한 사용자 확인
W&B가 미리 서명된 URL을 반환할 때, URL의 쿼리 파라미터에는 요청자의 사용자 이름이 포함됩니다:| 스토리지 제공업체 | 서명된 URL 쿼리 파라미터 |
|---|---|
| CoreWeave AI Object Storage | X-User |
| AWS S3 storage | X-User |
| Google Cloud storage | X-User |
| Azure blob storage | scid |