메인 콘텐츠로 건너뛰기
W&B는 AI 워크로드나 사용자 브라우저에서 blob 저장소에 더 쉽게 액세스할 수 있도록 사전 서명된 URL을 사용합니다. 이 페이지에서는 W&B에서 사전 서명된 URL이 작동하는 방식을 설명합니다. 또한 관리자가 blob 저장소 액세스를 보호하기 위해 구성해야 하는 액세스 제어, 네트워크 제한, 감사 로깅도 간략히 설명합니다. 사전 서명된 URL에 대한 배경 정보는 클라우드 제공업체 문서를 참고하세요. 사전 서명된 URL은 다음과 같이 작동합니다.
  1. 필요할 때 네트워크 내 AI 워크로드 또는 사용자 브라우저 클라이언트가 W&B에 사전 서명된 URL을 요청합니다.
  2. W&B는 요청에 응답하면서 blob 저장소에 액세스해 필요한 권한이 포함된 사전 서명된 URL을 생성합니다.
  3. W&B는 사전 서명된 URL을 클라이언트에 반환합니다.
  4. 클라이언트는 사전 서명된 URL을 사용해 blob 저장소를 조회하거나 blob 저장소에 씁니다.
사전 서명된 URL은 다음 기간 후 만료됩니다.
  • 조회 오퍼레이션: 1시간.
  • 쓰기 오퍼레이션: 24시간, 큰 객체를 청크 단위로 업로드할 수 있도록 더 긴 시간을 제공합니다.

팀 수준 액세스 제어

각 사전 서명된 URL은 W&B 플랫폼의 팀 수준 액세스 제어에 따라 특정 버킷으로 제한됩니다. 오직 하나의 팀에만 속해 있고, 그 팀이 secure storage connector를 통해 저장소 버킷에 매핑된 사용자를 생각해 보세요. 이 경우, 해당 사용자의 요청에 대해 생성된 사전 서명된 URL에는 다른 팀에 매핑된 저장소 버킷에 액세스할 권한이 부여되지 않습니다.
W&B는 사용자를 실제로 속해야 하는 팀에만 추가할 것을 권장합니다.

네트워크 제한

W&B는 IAM 정책을 사용해 사전 서명된 URL로 외부 저장소에 액세스할 수 있는 네트워크를 제한할 것을 권장합니다. 이렇게 하면 AI 워크로드가 실행되는 네트워크나 사용자 머신에 매핑된 게이트웨이 IP 주소에서만 W&B 전용 버킷에 액세스할 수 있도록 할 수 있습니다. 이러한 IAM 정책을 구성하는 방법에 대한 안내는 클라우드 제공업체의 문서를 참고하세요.
  • CoreWeave AI Object Storage의 경우, CoreWeave 문서의 Bucket policy reference를 참고하세요.
  • AWS S3 또는 온프레미스에서 호스팅되는 MinIO와 같은 S3 호환 저장소의 경우, Amazon S3 User Guide, MinIO documentation, 또는 사용 중인 S3 호환 저장소 제공업체의 문서를 참고하세요.

감사 로그

W&B에서는 W&B 감사 로그를 blob 저장소별 감사 로그와 함께 사용할 것을 권장합니다. blob 저장소 감사 로그는 각 클라우드 제공업체의 문서를 참고하세요. 관리자 및 보안 팀은 감사 로그를 사용해 각 사용자가 W&B에서 무엇을 하는지 추적하고, 특정 사용자에 대해 일부 오퍼레이션을 제한해야 하는 경우 조치를 취할 수 있습니다.
사전 서명된 URL은 W&B에서 지원되는 유일한 blob 저장소 접근 메커니즘입니다. W&B에서는 앞서 언급한 보안 제어의 일부 또는 전부를 조직의 요구 사항에 맞게 구성할 것을 권장합니다.

사전 서명된 URL을 요청한 사용자 확인

감사 로그를 검토할 때 사전 서명된 URL 활동을 특정 W&B 사용자와 연관시키려면 W&B가 각 URL에 추가하는 쿼리 매개변수를 확인하세요. W&B가 사전 서명된 URL을 반환할 때 URL의 쿼리 매개변수에는 요청한 사용자의 사용자 이름이 포함됩니다:
저장소 공급자서명된 URL 쿼리 매개변수
CoreWeave AI Object StorageX-User
AWS S3X-User
Google Cloud StorageX-User
Azure Blob Storagescid