Oracle Cloud Infrastructureドキュメント

オブジェクト・ストレージの専用エンドポイント

Object Storageの専用エンドポイントが新しいエンドポイントを提供して、ストレージ・バケットにセキュアにアクセスする方法をご紹介します。

テナント分離には、一意で不変、システム生成およびネームスペース接頭辞の付いた専用エンドポイントがあります。URLに専用のネームスペース文字列を含めることで、これらのテナンシ固有のエンドポイントを使用すると、組織のセキュリティおよびコンプライアンス要件を満たすのに役立つ完全な分離が保証されます。

現在のオブジェクト・ストレージ・サービスAPIエンドポイントURLは引き続き機能します。オブジェクト・ストレージ・バケットにアクセスするために独自のクライアントを記述するテナントでは、新しいエンドポイントの使用はオプションです。セキュリティ・ポスチャを向上させるために、カスタム・クライアント・リクエストをこれらの新しいドメインにポイントできます。特定のドメインを使用することを義務付けていません。ただし、customer-oci.comドメインにネームスペース接頭辞が付いた専用エンドポイントを使用することをお薦めします。

専用エンドポイントの利点

  • 専用エンドポイント機能により、オブジェクト・ストレージの顧客が相互に分離され、顧客による悪意のあるAPIや不注意なAPIの使用が防止され、共通URLがブロックされるため、他のすべての顧客に影響が及びます。
  • 新機能は、セキュリティ・ソフトウェアによるObject StorageエンドポイントのDNSベース・ブロックによる広範な影響を最小限に抑えるのに役立ちます。
  • また、悪意のあるサイバー攻撃から保護し、テナンシ単位のレベルでブロックすることもできます。

前提条件

ネットワーク管理者がインターネットへのアクセスを制御するために使用するファイアウォール、プロキシ・サーバー、およびその他のデバイスは、新しいドメインへの接続に影響を及ぼす可能性があります。新しいURLへのアクセスを許可するには、新しい第2レベル・ドメインをホワイトリストに登録する必要があります。

コンソールへのネットワーク・アクセスを許可するには、ネットワーク管理者がファイアウォールまたはプロキシ・サーバーの許可リストに*.customer-oci.comを追加する必要があります。

ノート

新しいURLを次の表に示します。URLでのこれらの変更はOC1にのみ適用され、他の領域では既存のURLが引き続き適用されます。

新規URL

オブジェクト・ストレージ・ユーザーが使用するドメインURLが変更されます。専用URLを導入するために、オブジェクト・ストレージでは、新しいOCI顧客ゾーンSLD (customer-oci.com)にDNSレコードがワイルドカード接頭辞で登録されるようになりました。次の表に、この新機能によるAPIエンドポイントの変更点を示します。変更は太字で示されています。

APIタイプ 現在のURL 新規URL
固有

オブジェクト・ストレージ。$region.oraclecloud.com

objectstorage.$region.oci.customer-oci.com (ネームスペースが不明な場合にのみ使用されます)。例: GetNamespace / WorkRequestsなど)

$namespace.objectstorage.$region.oci.customer-oci.com
S3互換

$namespace.compat.objectstorage.$region.oraclecloud.com

 $namespace.compat.objectstorage.$region.oci.customer-oci.com
Swift

swiftobjectstorage.$region.oraclecloud.com

swiftobjectstorage.$region.oci.customer-oci.com

$namespace.swiftobjectstorage.$region.oci.customer-oci.com
PAR objectstorage.$region.oraclecloud.com/p/<>/n/<>/b/<>/o/ $namespace.objectstorage.$region.oci.customer-oci.com/p/<>/n/<>/b/<>/o/
ノート

$namespaceは、オブジェクト・ストレージ・ネームスペースを示します。オブジェクト・ストレージ・ネームスペースの詳細は、オブジェクト・ストレージ・ネームスペースの理解を参照してください。

OCI UI (オブジェクト・ストレージ・コンソール)

OCIコンソールは、オブジェクト・ストレージ専用のエンドポイントの使用を開始し、これにより、オブジェクト・ストレージの使用の全体的なフローは変更されません。

OCI SDK/CLI

SDK/CLIを使用した専用エンドポイントの取込みは、環境変数またはコマンドライン・フラグの設定によって実行できます。例は、SDKガイドのSDKおよびCLIごとに更新されます。専用エンドポイントへのアクセスは現在テナントではオプションですが、以降のリリースではデフォルトで専用エンドポイントになります。これを行う前に十分に事前にお知らせします。

既知の問題

この機能は、特殊文字を含まないオブジェクト・ストレージ・ネームスペース文字列を持つテナントに最適です。Object Storageコンソールではこの処理が自動的に行われますが、SDKs/CLIで専用エンドポイントを使用する場合、ネームスペース文字列に特殊文字が含まれていると、テナントでエラーが発生することがあります。