オブジェクト・ストレージの専用エンドポイント
Object Storageの専用エンドポイントが新しいエンドポイントを提供して、ストレージ・バケットにセキュアにアクセスする方法をご紹介します。
テナント分離には、一意で不変、システム生成およびネームスペース接頭辞付きの専用エンドポイントがあります。URLに専用のネームスペース文字列を指定することで、これらのテナンシ固有のエンドポイントを使用すると、組織のセキュリティおよびコンプライアンス要件を満たすために完全な分離が保証されます。
現在のオブジェクト・ストレージ・サービスのAPIエンドポイントURLは引き続き機能します。新しいエンドポイントの使用は、オブジェクト・ストレージ・バケットにアクセスするために独自のクライアントを記述するテナントではオプションです。セキュリティ状況を改善するために、カスタム・クライアント・リクエストをこれらの新しいドメインのいずれかにポイントできます。特定のドメインの使用を義務付けていません。ただし、customer-oci.comドメインでは、ネームスペース接頭辞付きの専用エンドポイントを使用することをお薦めします。
新機能の利点と、専用エンドポイントを使用する理由
- 専用エンドポイント機能により、オブジェクト・ストレージの顧客が相互に分離され、顧客による悪意のあるAPIや不注意なAPIの使用が防止され、共通URLがブロックされるため、他のすべての顧客に影響が及びます。
- 新機能は、セキュリティ・ソフトウェアによるObject StorageエンドポイントのDNSベース・ブロックによる広範な影響を最小限に抑えるのに役立ちます。
- また、悪意のあるサイバー攻撃から保護し、テナンシ単位のレベルでブロックすることもできます。
前提条件
ネットワーク管理者がインターネットへのアクセスを制御するために使用するファイアウォール、プロキシ・サーバー、またはその他のデバイスは、新しいドメインへの接続に影響を及ぼす可能性があります。新しいURLへのアクセスを許可するには、新しい第2レベルのドメインをホワイトリストに登録する必要があります。
コンソールへのネットワーク・アクセスを許可するには、ネットワーク管理者がファイアウォールまたはプロキシ・サーバーの許可リストに*.customer-oci.comを追加する必要があります。
新しいURLを次の表に詳細に示します。URLでのこれらの変更はOC1にのみ適用され、他の領域は既存のURLで続行されます。
新規URL
オブジェクト・ストレージ・ユーザーが現在使用しているドメインURLが変更されます。専用URLを導入するために、Object Storageは、新しいOCI顧客ゾーンSLD (customer-oci.com)にワイルドカード接頭辞付きのDNSレコードを登録するようになりました。次の表に、この新機能によるAPIエンドポイントでの変更内容を示します。変更は太字で示されています。
| APIタイプ | 現在のURL | 新規URL |
|---|---|---|
| 固有 |
オブジェクト・ストレージ。$region.oraclecloud.com |
objectstorage.$region.oci.customer-oci.com (ネームスペースが不明な場合にのみ使用されます)。例: GetNamespace / WorkRequestsなど) $namespace.objectstorage.$region.oci.customer-oci.com |
| S3互換 |
$namespace.compat.objectstorage.$region.oraclecloud.com |
$namespace.compat.objectstorage.$region.oci.customer-oci.com |
| Swift |
swiftobjectstorage.$region.oraclecloud.com |
swiftobjectstorage.$region.oci.customer-oci.com $namespace.swiftobjectstorage.$region.oci.customer-oci.com |
| PAR | objectstorage.$region.oraclecloud.com/p/<>/n/<>/b/<>/o/ | $namespace.objectstorage.$region.oci.customer-oci.com/p/<>/n/<>/b/<>/o/ |
$namespaceは、オブジェクト・ストレージ・ネームスペースを示します。オブジェクト・ストレージ・ネームスペースの詳細は、オブジェクト・ストレージ・ネームスペースの理解を参照してください。
OCI UI (オブジェクト・ストレージ・コンソール)
OCIコンソールは、オブジェクト・ストレージの専用エンドポイントの使用を開始します。これにより、オブジェクト・ストレージの使用の全体的なフローは完全に変更されません。
OCI SDK/CLI
SDK/CLIを使用した専用エンドポイントの取込みは、環境変数またはコマンドライン・フラグの設定を介して実行できます。例は、SDKガイドのSDKおよびCLIごとに更新されます。専用エンドポイントへのアクセスは現在テナントではオプションですが、以降のリリースは専用エンドポイントにデフォルト設定されます。これを行う前に、十分な事前通知が行われます。
既知の問題
この機能は、特殊文字を含まないオブジェクト・ストレージ・ネームスペース文字列を持つテナントに最適です。Object Storageコンソールではこの処理が自動的に行われますが、SDKs/CLIで専用エンドポイントを使用する場合、ネームスペース文字列に特殊文字が含まれていると、テナントでエラーが発生することがあります。