Vercel プライベートブロブが一般提供開始
Vercel は機密ファイルの保存とアクセス制御を強化した「Private Blob」機能を一般提供し、OIDC 認証や署名付き URL の導入によりセキュリティを向上させた。
キーポイント
機能の一般提供と対象範囲
Vercel Private Blob が全プランで利用可能となり、ユーザーアップロード写真や請求書、エージェントメモリなどの機密ファイルを安全に保存・管理できるようになった。
OIDC 認証によるセキュリティ強化
静的なトークンに依存せず、プロジェクトスコープで自動回転する短期 OIDC トークンを用いて認証を行うことで、環境変数への機密情報の漏洩リスクを排除した。
署名付き URL の新機能
単一操作や特定のパス名に限定し、最大 7 日間の有効期限を設定できる署名付き URL を生成可能になり、サーバーを介さずに安全な一時アクセス権限付与が実現した。
影響分析・編集コメントを表示
影響分析
この発表は、Vercel プラットフォーム上で扱うデータの機密性に対する信頼性を大幅に高めるものであり、特に SaaS アプリケーションや AI エージェントによるデータ処理において、コンプライアンス要件を満たすための重要な基盤を提供します。静的トークンの廃止は、開発者のセキュリティ運用負担を軽減し、クラウドネイティブなセキュリティベストプラクティスを標準化させる効果があります。
編集コメント
AI エージェントが機密データを扱うケースが増える中、サーバーサイドのトークン管理リスクを排除する OIDC 対応は実務的に極めて重要です。ただし、これは汎用的な AI モデルの進化というよりは、インフラ層のセキュリティ強化に焦点を当てたアップデートと言えます。
Vercel Private Blob がすべてのプランで一般提供されました。ユーザーアップロードされた写真、請求書、エージェントのメモリなどの機密ファイルを保存し、誰がそれらを読み取れるかを厳密に制御できます。プライベートストア、署名付き URL、OIDC 認証はすべて今回のリリースでベータ版から卒業します。
Vercel Private Blob は、パブリックブロブと同じ Blob API を使用します。ブロブをアップロードする際にアクセス権限を 'private' に指定してください:
OIDC 認証
Vercel で実行される関数は、プロジェクトにスコープされた短期間で自動ローテーションする OIDC トークンを使用して Vercel Private Blob に認証できるようになりました。環境内に静的な読み書きトークンを保持する必要はありません。
Vercel CLI も OIDC 認証をサポートしているため、長期有効なトークンなしでターミナルからプライベートストアへの読み取りと書き込みが可能になります。まだ静的トークンを使用しているストアがある場合は、OIDC にアップグレードし、ダッシュボードから古い資格情報を失効させることができます。
署名付き URL
単一の操作、パス名、および最大 7 日間の有効期限を指定して URL を発行し、クライアントに手渡すことで、ストアの認証情報を一切公開することなく、単一オブジェクトに対して PUT、GET、HEAD、または DELETE 操作を実行できます。
サーバーをデータパスに含めずに、プライベートオブジェクトへの一時的で限定的なアクセス権を付与したい場合に、署名付き URL は非常に効果的です:
有効期限付きのリンクを使用して、ユーザーが請求書やレポート、エクスポートなどのプライベートファイルをダウンロードできるようにする。
第三者または外部サービスに対して、固定された期間のみオブジェクトを共有する。
エージェントに一度限りの削除アクセス権を与え、特定のオブジェクトをクリーンアップさせる。
ドキュメントで Vercel Private Blob について詳しく学ぶことができます。
さらに読む
原文を表示
Vercel Private Blob is now generally available for all plans. Store sensitive files like user-uploaded photos, invoices, and agent memory, and control exactly who can read them. Private stores, Signed URLs, and OIDC authentication all graduate from beta with this release.
Vercel Private Blob uses the same Blob API as public blobs. Specify access: 'private' when uploading a blob:
OIDC authentication
Functions running on Vercel now authenticate to Vercel Private Blob with a short-lived, auto-rotating OIDC token scoped to the project, with no static read-write token in your environment.
The Vercel CLI also supports OIDC authentication, so you can read from and write to a private store from your terminal without a long-lived token. For stores still using a static token, you can upgrade to OIDC and revoke the old credential from the dashboard.
Signed URLs
Mint a URL scoped to a single operation, pathname, and an expiration date you choose for up to 7 days, then hand it to a client to perform a PUT, GET, HEAD, or DELETE operation on a single object, without ever exposing your store credentials.
Signed URLs work well when you want to grant temporary, narrow access to a private object without putting your server in the data path:
Let a user download a private file, like an invoice, a report, or an export, with a link that expires.
Share an object with a third party or external service for a fixed window.
Hand an agent one-off delete access to clean up a specific object.
Learn more about Vercel Private Blob in the documentation.
Read more
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み