Studio は、既存の認証情報を使用してすべての Treasure AI 操作を実行します。組織の PBP ポリシーおよび IP Allowlist は、これらの操作に自動的に適用されます。Studio 自体には独自のアクセス制御レイヤーはありません。
Studio は Treasure AI SSO を通じて認証を行い、すべてのデータ操作に TD の認証情報を使用します。データベース、テーブル、および API へのアクセスは、組織の Treasure AI ポリシーによって管理されます。Studio は認証情報をそのまま渡すだけであり、独自のアクセス制御を適用することはありません。
組織の Treasure AI アクセス制御が Treasure AI Studio とどのように連携するかを理解します。
- Treasure AI アカウント
- セキュリティと権限 に関する基本的な知識
Studio は新たな権限レイヤーを導入しません。AI が実行するすべてのクエリ、セグメントプッシュ、および API 呼び出しは、ユーザーの認証情報を使用して Treasure AI アカウントを通じて行われます。組織の ポリシーベース権限(Policy-Based Permissions) によって、AI がアクセスできるリソースとできないリソースが決まります。
AI はユーザーの認証情報で動作します。PBP によってデータベースへのアクセスが制限されている場合、AI もコンソールで表示されるのと同じ「権限拒否」エラーを受け取ります。Studio はユーザーの権限を昇格させたり、バイパスしたりすることはありません。
サインイン時、Studio は Treasure AI から OAuth アクセストークンを取得します。このトークンはサーバーサイドに保存され、AI が行うすべての Treasure AI API リクエストの認証に使用されます。Studio 内部では権限ロジックは実行されません。適用はすべて Treasure AI API レイヤーで行われます。
組織が Treasure AI の IP Allowlist を使用して API アクセスを承認済みネットワークに制限している場合、Studio のアーキテクチャはその制約内で動作するよう設計されています。ほとんどのユーザーはここで何も操作する必要はありません。これは管理者が行う設定作業です。
Studioは、固定されたアウトバウンド IP アドレスのセットから Treasure AI API に接続します。これらのアドレスは静的であり、セッションやデプロイメントをまたいで変更されることはありません。
組織に Treasure AI IP Allowlist が設定されている場合、Studio のアウトバウンド IP を Allowlist に追加する必要があります。この手順を行わないと、AI のクエリおよび API 呼び出しが Treasure AI のネットワークポリシーによってブロックされます。
以下は Studioが使用するアウトバウンド IP アドレスです。 IP Allowlistが設定されている場合は、ご利用のリージョンのアドレスを追加してください。
34.199.15.172
100.51.233.143
54.175.7.102Studio 自体は IP アドレスによるインバウンドアクセスの制限を行いません。Treasure AI SSO を通じて認証されると、任意のネットワークから Studio ウェブアプリケーションにアクセスできます。
組織が Treasure AI の IP Allowlist とネットワークベースのアクセス制御の両方を使用している場合、ネットワークの変更がセッションに与える影響に注意してください。
| シナリオ | Studio UI | TD 操作(クエリ、API 呼び出し) |
|---|---|---|
| 同じ許可済みネットワークに留まっている場合 | 正常に動作します | 正常に動作します |
| ログイン後に許可されていないネットワークに移動した場合 | 正常に動作します(Studio UI は IP 制限なし) | 正常に動作します(Studio ワーカーはクライアント IP ではなく固定アウトバウンド IP を使用) |
| IdP によってブロックされているネットワークからログインを試みた場合 | ログイン失敗(TD SSO が IdP のネットワークポリシーを適用) | 該当なし — セッションが確立されていません |
Treasure AI は Studio のアイデンティティプロバイダー(IdP)です。IP Allowlist のチェックは OAuth 認証フロー中に適用されます。組織の IdP ポリシーによって、ログインを開始できるネットワークが決まります。認証後、Studio は、クライアントのネットワーク位置に関係なく、固定のアウトバウンド IP アドレスからすべての Treasure AI API 呼び出しを行います。Studio はログイン後にクライアントの IP アドレスを再チェックすることはありません。
有効な Treasure AI アカウントを持つ認証済みユーザーは全員、Studio の AI 機能にフルアクセスできます。現在のリリースでは、ユーザーごとの機能制限、エンタイトルメント、または使用量クォータはありません。カスタマーサクセスマネージャーを通じたアカウントレベルの無効化が、唯一利用可能なオプトアウト手段です。
| アクセス制御 | 現在の動作 |
|---|---|
| AI および LLM アクセス | 認証済みユーザー全員 — 制限なし |
| ユーザーごとの機能制限 | なし — すべてのユーザーがすべての機能を利用可能 |
| アカウントごとのオプトアウト | 利用可能 — アカウントの Studio を無効化するにはカスタマーサクセスマネージャーにお問い合わせください |
| 管理者専用機能 | ネットワーク Audit Log には account_admin ロールが必要です(詳細は セキュリティと権限 を参照) |
現在のリリースにおけるロールベースの制限は、ネットワーク Audit Log に対する account_admin のみです。ユーザーごとの機能フラグ、エンタイトルメント、またはクォータは存在しません。これは Treasure Studio Labs のプレリリースと一致しており、GA ローンチに向けて意図的なものです。ユーザーごとの制御は将来のリリースで導入される可能性があります。
| レイヤー | 制御対象 | 適用場所 | 必要なアクション |
|---|---|---|---|
| ポリシーベース権限(PBP) | ユーザー/グループごとのデータベース、テーブル、および API アクセス | Treasure AI API(サーバーサイド) | なし — 既存の PBP ポリシーが自動的に適用されます |
| TD IP Allowlist | Treasure AI API を呼び出せる IP アドレス | Treasure AI API(サーバーサイド) | Allowlist が設定されている場合は Studio のアウトバウンド IP を追加してください |
| Studio へのインバウンドアクセス | Studio ウェブアプリケーションに到達できる IP アドレス | 適用なし — IP 制限なし | なし |
| AI 機能へのアクセス | AI 機能を使用できるユーザー | 認証済みユーザー全員 | なし — すべてのユーザーがフルアクセス可能 |
| アカウントのオプトアウト | アカウント全体の Studio を無効化 | Treasure AI アカウント設定 | 必要に応じて CSM にお問い合わせください |
アクセス制御は Studio ではなく Treasure AI によって適用されます。Studio 固有の確認手順は不要です。
| 問題 | 解決策 |
|---|---|
| 組織が IP Allowlist を有効化した後にクエリが失敗する | Studio のアウトバウンド IP が Allowlist に含まれていない可能性があります。CSM に連絡して現在の IP アドレスを取得し、Treasure AI の IP Allowlist 設定に追加してください |
| 特定のネットワークからログインが失敗する | 組織のアイデンティティプロバイダーがネットワークベースのアクセスポリシーを適用している可能性があります。承認済みネットワークからログインを試みるか、IT 管理者に連絡して IdP ポリシーの更新を依頼してください |