Oracle Cloud Infrastructureドキュメント

オブジェクト・ストレージの専用エンドポイント

オブジェクト・ストレージの専用エンドポイントによって、ストレージ・バケットに安全にアクセスするための新しいエンドポイントがどのように提供されるかについて学習します。

テナント分離には、一意で不変、システム生成およびネームスペースに接頭辞が付いた専用エンドポイントがあります。URLに専用のネームスペース文字列を指定してこれらのテナンシ固有のエンドポイントを使用すると、組織のセキュリティおよびコンプライアンス要件を満たすための完全な分離が保証されます。

現在のオブジェクト・ストレージ・サービスAPIエンドポイントURLは引き続き機能します。新しいエンドポイントの使用は、オブジェクト・ストレージ・バケットにアクセスするために独自のクライアントを記述するテナントにとってオプションです。セキュリティ状態を改善するために、カスタム・クライアント・リクエストをこれらの新しいドメインのいずれかに設定できます。特定のドメインの使用を義務付けていません。ただし、customer-oci.comドメインでネームスペース接頭辞付きの専用エンドポイントを使用することをお薦めします。

新機能のメリットと、専用エンドポイントを使用する理由

  • 専用エンドポイント機能は、オブジェクト・ストレージの顧客を相互に分離し、悪意のあるAPIまたは不注意なAPIを顧客が使用できないようにし、共通URLをブロックして、他のすべての顧客に影響を与えます。
  • 新機能は、セキュリティ・ソフトウェアによるオブジェクト・ストレージ・エンドポイントのDNSベース・ブロッキングの影響を最小限に抑えるのに役立ちます。
  • また、悪意のあるサイバー攻撃からの保護と、テナントごとのレベルでのブロックも提供します。

前提条件

ネットワーク管理者がインターネットへのアクセスを制御するために使用するファイアウォール、プロキシ・サーバー、またはその他のデバイスは、新しいドメインへの接続に影響を及ぼす可能性があります。新しいURLへのアクセスを許可するには、新しい第2レベルのドメインをホワイトリストに登録する必要があります。

コンソールへのネットワーク・アクセスを許可するには、ネットワーク管理者が*.customer-oci.comをファイアウォールまたはプロキシ・サーバーの許可リストに追加する必要があります。

ノート

新しいURLの詳細は、次の表を参照してください。URLでのこれらの変更はOC1にのみ適用され、他の領域は既存のURLで続行されることに注意してください。

新規URL

オブジェクト・ストレージ・ユーザーが現在使用しているドメインURLが変更されます。専用URLを導入するために、オブジェクト・ストレージは、新しいOCI顧客ゾーンSLD (customer-oci.com)のワイルドカード接頭辞を使用してDNSレコードを登録するようになりました。次の表に、この新機能によるAPIエンドポイントでの変更内容を示します。変更は太字で示されています。

APIタイプ 現在のURL 新規URL
ネイティブ

objectstorage.$region.oraclecloud.com

objectstorage.$region.oci.customer-oci.com (ネームスペースが不明な場合にのみ使用されます。例: GetNamespace / WorkRequestsなど)

$namespace.objectstorage.$region.oci.customer-oci.com
S3互換

$namespace.compat.objectstorage.$region.oraclecloud.com

 $namespace.compat.objectstorage.$region.oci.customer-oci.com
Swift

swiftobjectstorage.$region。oraclecloud.com

swiftobjectstorage.$region.oci.customer-oci.com

$namespace.swiftobjectstorage.$region.oci.customer-oci.com
PAR objectstorage.$region.oraclecloud.com/p/<>/n/<>/b/<>/o/ $namespace.objectstorage.$region.oci.customer-oci.com/p/<>/n/<>/b/<>/o/
ノート

$namespaceは、オブジェクト・ストレージ・ネームスペースを指します。オブジェクト・ストレージ・ネームスペースの詳細は、オブジェクト・ストレージ・ネームスペースの理解を参照してください。

OCI UI (オブジェクト・ストレージコンソール)

OCIコンソールは、オブジェクト・ストレージの専用エンドポイントの使用を開始します。これにより、オブジェクト・ストレージの使用の全体的なフローは変更されません。

OCI SDK/CLI

SDK/CLIを使用した専用エンドポイントの取込みは、環境変数またはコマンドライン・フラグを設定することで実行できます。例は、SDKガイドのSDKおよびCLIごとに更新されます。専用エンドポイントへのアクセスは現在テナントではオプションですが、以降のリリースでは専用エンドポイントがデフォルトになります。これを行う前に、十分事前にアナウンスがあります。

既知の問題

この機能は、特殊文字を含まないオブジェクト・ストレージ・ネームスペース文字列を持つテナントに最適です。オブジェクト・ストレージコンソールではこれを自動的に処理しますが、SDK/CLIで専用エンドポイントを使用する場合、ネームスペース文字列に特殊文字が含まれているとテナントでエラーが発生することがあります。