オブジェクト・ストレージの概要
Object Storageを使用して、低コストで無制限のデータを保存し簡単にアクセスする方法をご紹介します。
オブジェクト・ストレージ・サービスは、信頼性のあるコスト効率の高いデータ耐久性を実現するインターネット規模の高パフォーマンス・ストレージ・プラットフォームです。オブジェクト・ストレージ・サービスでは、分析データ、およびイメージやビデオなどのリッチ・コンテンツを含む、あらゆるコンテンツ・タイプの非構造化データを無制限に格納できます。
オブジェクト・ストレージでは、インターネットまたはクラウド・プラットフォーム内から直接データを安全かつセキュアに格納したり、取得できます。オブジェクト・ストレージには、大規模なストレージを簡単に管理できる複数の管理インタフェースがあります。プラットフォームの拡張度により、パフォーマンスやサービスの信頼性を低下させることなく、小規模から始めてシームレスにスケール調整することができます。
オブジェクト・ストレージはリージョナル・サービスであり、特定のコンピュート・インスタンスには結び付けられていません。インターネット接続があり、いずれかのオブジェクト・ストレージ・エンドポイントにアクセスできる場合は、Oracle Cloud Infrastructureのコンテキストの内部または外部からデータにアクセスできます。認可およびリソース制限については、このトピックの後半で説明します。
Oracle Cloud Infrastructureは、コストおよびパフォーマンスの柔軟性を提供する複数のストレージ層をサポートしています。標準は、オブジェクト・ストレージ・バケットのデフォルト・ストレージ層です。
オブジェクト・ストレージでは、サービス・ゲートウェイを介したVCNのOracle Cloud Infrastructureリソースからのプライベート・アクセスもサポートされます。サービス・ゲートウェイを使用すると、プライベート・サブネット内のプライベートIPアドレスからオブジェクト・ストレージのパブリック・エンドポイントへの接続が可能になります。たとえば、インターネットを介してではなく、Oracle Cloud Infrastructureのバックボーンを介して、DBシステムをオブジェクト・ストレージ・バケットにバックアップできます。オプションで、IAMポリシーを使用して、オブジェクト・ストレージにアクセスできるVCNまたはIPアドレスの範囲を制御できます。詳細は、Oracle Servicesへのアクセス: サービス・ゲートウェイを参照してください。
オブジェクト・ストレージはAlways Free対象です。機能や制限など、Always Freeリソースの詳細は、Oracle Cloud InfrastructureのFree Tierを参照してください。
オブジェクト・ストレージのリソース
次のオブジェクト・ストレージのリソースを使用して、データを格納および管理します。認可およびリソース制限については、このトピックの後半で説明します。
バケット
バケットは、オブジェクトを格納するための論理コンテナです。ユーザーまたはシステムは、必要に応じてリージョン内でバケットを作成します。バケットは、バケットおよびバケット内のすべてのオブジェクトでユーザーが実行できるアクションを決定するポリシー を持つ1つのコンパートメント に関連付けられます。
オブジェクト
コンテンツ・タイプに関係なく、あらゆるタイプのデータがオブジェクトとして格納されます。オブジェクトは、オブジェクト自体と、そのオブジェクトに関するメタデータで構成されます。各オブジェクトは1つのバケットに格納されます。
ネームスペース
オブジェクト・ストレージ・ネームスペースは、すべてのバケットおよびオブジェクトの最上位のコンテナとして機能します。アカウント作成時に、各Oracle Cloud Infrastructureテナントには、システムによって生成された変更不可能な一意のオブジェクト・ストレージ・ネームスペース名が1つ割り当てられます。ネームスペースは、リージョン内のすべてのコンパートメントにまたがります。バケット名はユーザーが制御しますが、それらのバケット名は1つのネームスペース内で一意である必要があります。ネームスペースはリージョン固有ですが、ネームスペース名自体はすべてのリージョンで同じです。詳細は、オブジェクト・ストレージ・ネームスペースを参照してください(古いテナンシ名、ネームスペースの例、ネームスペース文字列の取得方法など)。
コンパートメント
コンパートメントは、クラウド・リソースの編成に使用する主要なビルディング・ブロックです。テナンシがプロビジョニングされると、ルート・コンパートメントが作成されます。その後、ルート・コンパートメントの下にコンパートメントを作成して、リソースを編成できます。ユーザー・グループがそのコンパートメントのリソースに対して実行できるアクションを指定するポリシーを作成することで、アクセスを制御します。オブジェクト・ストレージ・バケットは1つのコンパートメントにのみ存在できます。
オブジェクト・ストレージの特徴
オブジェクト・ストレージには、次の機能があります:
- 強力な一貫性
- 読取りリクエストが行われると、オブジェクト・ストレージは常に、システムに書き込まれたデータの最新コピーを提供します。
- 耐久性
- オブジェクト・ストレージはリージョナル・サービスです。データは複数のストレージ・サーバー間で重複して格納されます。オブジェクト・ストレージでは、チェックサムを使用してデータの整合性を積極的にモニターし、破損データを自動的に検出して修復します。オブジェクト・ストレージは、データの冗長性を積極的にモニターし、保証します。冗長性の損失が検出されると、オブジェクト・ストレージによって追加のデータ・コピーが自動的に作成されます。オブジェクト・ストレージの耐久性の詳細は、オブジェクト・ストレージのFAQを参照してください。
- カスタム・メタデータ
- 任意の目的のために、独自の拡張メタデータをキーと値のペアとして定義できます。たとえば、オブジェクトの説明タグを作成し、それらのタグを取得し、データをソートできます。Oracle Cloud Infrastructure CLIまたはSDKを使用して、オブジェクトおよびバケットにカスタム・メタデータを割り当てることができます。詳細は、SDKs and the CLIを参照してください。
- セキュリティ
- オブジェクト・ストレージは、データ暗号化を使用して格納データのセキュリティを保証します。データ暗号化は、データの機密性を保護するために使用される方法です。データには、バケットへのオブジェクトのアップロード中に作成された復号化キーを使用してアクセスできます。これは、タスクを実行するユーザーを認証するIAMポリシーとともに使用されます。詳細は、オブジェクト・ストレージ・データ暗号化を参照してください。
オブジェクト・ストレージへのアクセス方法
オブジェクト・ストレージには、ユーザーのプリファレンスおよび完了するタスクに対する適合性に基づいて、次のいずれかのオプションを使用してアクセスできます:
- コンソールは、使いやすいブラウザベースのインタフェースです。コンソールにアクセスするには、サポートされているブラウザを使用する必要があります。コンソールのサインイン・ページに移動するには、このページ上部のナビゲーション・メニューを開き、「インフラストラクチャ・コンソール」をクリックします。クラウド・テナント、ユーザー名およびパスワードの入力を求められます。
Oracle Cloud Infrastructureでは、次のブラウザとバージョンがサポートされています:
- Google Chrome 80以降
- Safari 12.1以降
- Firefox 62以降(プライベート・ブラウズ・モードはサポートされていません)*
- Edge 104以降
FirefoxでのサインインのトラブルシューティングFirefoxブラウザを使用してコンソールにサインインできない場合、次のいずれかの状況に該当する可能性があります:
-
プライベート・ブラウズ・モードを使用しています。コンソールでは、プライベート・ブラウズ・モードはサポートされていません。プライベート・ブラウズをオフにして、Firefoxの新しいセッションを開きます。プライベート・ブラウジングが必要な場合は、Firefoxの
dom.indexedDB.privateBrowsing.enabled
プリファレンスをtrue
に設定して、コンソールがログイン関連情報をローカル・ストレージに保存できるようにします。詳細は、https://support.mozilla.org/en-US/kb/about-config-editor-firefoxを参照してください。 -
Firefoxの最新バージョンを使用していません。最新バージョンにアップグレードしてください。最新バージョンであるかどうかを確認するには、次の手順に従います: https://support.mozilla.org/en-US/kb/find-what-version-firefox-you-are-using
バージョンを確認する際に、FirefoxとFirefox ESRのどちらを使用しているかをノートにとっておきます。
- Firefoxユーザー・プロファイルが破損しています。この問題に対処するには:
-
Firefoxの最新バージョンにアップグレードします。
- 新規ユーザー・プロファイルを作成し、その新規プロファイルを使用してFirefoxを開きます。新規ユーザー・プロファイルを作成する手順は、Mozillaサポートを参照してください: https://support.mozilla.org/en-US/kb/profile-manager-create-and-remove-firefox-profiles
-
前述のいずれでも問題が解決しない場合は、Oracle Supportに連絡してください。問題の説明では、FirefoxとFirefox ESRのどちらを使用しているかを示してください。
- コマンドライン・インタフェース(CLI)は、プログラミングを必要とせずに、迅速なアクセスとフル機能の両方を提供します。詳細は、CLIの使用を参照してください。
- REST APIはほとんどの機能を提供しますが、プログラミングの専門知識を必要とします。エンドポイントの詳細と使用可能なAPIリファレンス・ドキュメントのリンクは、「APIリファレンスとエンドポイント」を参照してください。APIの使用についての一般情報は、REST APIを参照してください。オブジェクト・ストレージには、次のAPIを使用してアクセスできます:
- オブジェクト・ストレージ・サービス
- Amazon S3互換API
- Swift API (Oracle RMANで使用)
- Oracle Cloud Infrastructureは、フレームワークを作成しなくてもオブジェクト・ストレージと対話するSDKを提供します。SDKの使用に関する一般情報は、SDKs and the CLIを参照してください。
オブジェクト・ストレージの使用
オブジェクト・ストレージを使用する準備ができている場合は、次のトピックで詳細情報を参照できます:
- バケットを作成し、バケットにオブジェクトを格納する手順は、オブジェクト・ストレージへのデータの挿入を参照してください。
- バケットに関連するタスク・ドキュメントについては、オブジェクト・ストレージ・バケット、オブジェクト・ストレージ・レプリケーションおよびオブジェクト・ストレージ・データ保持ルールを参照してください。
- オブジェクトに関連するタスク・ドキュメントについては、オブジェクト・ストレージ・オブジェクト、オブジェクト・ストレージのバージョニングおよびオブジェクト・ストレージ内の別のバケットへのオブジェクトのコピーを参照してください。
- ライフサイクル管理に関連するタスク・ドキュメントは、オブジェクト・ストレージ・オブジェクト・ライフサイクル管理を参照してください。
- APIリファレンスのドキュメントは、オブジェクト・ストレージ・サービスAPIを参照してください。
- SDKおよびCLIの詳細は、SDKs and the CLIを参照してください。
- アーカイブ・ストレージの使用の詳細は、アーカイブ・ストレージの概要を参照してください。
認証と認可
Oracle Cloud Infrastructureの各サービスは、すべてのインタフェース(コンソール、SDKまたはCLI、およびREST API)の認証および認可のためにIAMと統合されています。また、IAMは、Amazon S3 Compatibility APIのAPI署名キー、認証トークン、顧客秘密キーなどのユーザー資格証明を管理します。詳細は、ユーザー資格証明を参照してください。
組織の管理者は、どのユーザーがどのサービスとリソースにアクセスできるか、およびアクセスのタイプを制御する、グループ、コンパートメントおよびポリシーを設定する必要があります。たとえば、ポリシーは、ユーザーとグループの作成、バケットの作成、オブジェクトのダウンロード、オブジェクト・ストレージ関連のポリシーとルールの管理などを実行できるユーザーを制御します。詳細は、ポリシーの開始を参照してください。異なる各サービスに対するポリシーの記述の詳細は、ポリシー・リファレンスを参照してください。オブジェクト・ストレージのポリシーの記述の詳細は、オブジェクト・ストレージ、アーカイブ・ストレージおよびデータ転送の詳細を参照してください。
会社が所有するOracle Cloud Infrastructureリソースを使用する必要がある通常のユーザー(管理者ではない)の場合は、ユーザーIDを設定するよう管理者に連絡してください。管理者は、使用する必要があるコンパートメントを確認できます。
セキュリティ
IAMポリシーの作成に加えて、オブジェクト・ストレージに関する次のセキュリティ・ベスト・プラクティスに従います。
- カスタム・キーを使用してオブジェクトを暗号化し、キーをローテーションします
- 定期的にバックアップを実行します
- Oracle Cloud Guardを使用してセキュリティの問題を検出し、それに対応します
- セキュリティ監査を実行します
オブジェクト・ストレージの保護を参照してください。
未許可IPアドレスからのオブジェクト・ストレージ・リソースへのアクセスのブロック
許可されたIPアドレスから発生したリクエストのみにアクセスを制限することで、オブジェクト・ストレージ・ポリシーのセキュリティを強化できます。最初に、ネットワーク・ソースを作成して許可されるIPアドレスを指定します。次に、ポリシーに条件を追加して、ネットワーク・ソースのIPアドレスへのアクセスを制限します。ネットワーク・ソースのIPアドレスのみにアクセスを制限するポリシーの例を次に示します:
allow group CorporateUsers to manage object-family in tenancy where request.networkSource.name='corpnet'
ネットワーク・ソースの作成およびポリシーでの使用の詳細は、ネットワーク・ソースの管理を参照してください。
オブジェクト・ストレージのIPアドレス
Oracle Cloud Infrastructure Object Storageサービスでは、すべてのリージョンに対してCIDRブロックIP範囲134.70.0.0/16が使用されます。
オブジェクト・ストレージのリソースの制限
適用可能な制限の一覧と制限の引上げをリクエストする手順は、「サービス制限」を参照してください。
テナンシまたはコンパートメント固有のストレージ制限を設定する場合、管理者は、オブジェクト・ストレージ割当て制限を使用できます。
その他の制限には次が含まれます:
- ルート・コンパートメント当たりのオブジェクト・ストレージ・ネームスペースの数: 1
- 最大オブジェクト・サイズ: 10 TiB
- マルチパート・アップロードの最大オブジェクト・パート・サイズ: 50 GiB
- マルチパート・アップロードのパートの最大数: 10,000
- PutObject APIが許可する最大オブジェクト・サイズ: 50GiB
- オブジェクトに割り当てられたすべてのメタデータの合計サイズは4000バイトに制限されています。