オブジェクト・ストレージの概要

Oracle Cloud Infrastructure Object Storageサービスは、信頼性が高くコスト効率の高いデータ耐久性を実現する、インターネット規模の高性能なストレージ・プラットフォームです。オブジェクト・ストレージ・サービスでは、分析データ、およびイメージやビデオなどのリッチ・コンテンツを含む、あらゆるコンテンツ・タイプの非構造化データを無制限に格納できます。

オブジェクト・ストレージでは、インターネットまたはクラウド・プラットフォーム内から直接データを安全かつセキュアに格納したり、取得できます。オブジェクト・ストレージには、大規模なストレージを簡単に管理できる複数の管理インタフェースがあります。プラットフォームの拡張度により、パフォーマンスやサービスの信頼性を低下させることなく、小規模から始めてシームレスにスケール調整することができます。

オブジェクト・ストレージはリージョナル・サービスであり、特定のコンピュート・インスタンスには結び付けられていません。インターネット接続があり、いずれかのオブジェクト・ストレージ・エンドポイントにアクセスできる場合は、Oracle Cloud Infrastructureのコンテキストの内部または外部からデータにアクセスできます。認可およびリソース制限については、このトピックの後半で説明します。

Oracle Cloud Infrastructureは、コストおよびパフォーマンスの柔軟性を提供する複数のストレージ層をサポートしています。標準は、オブジェクト・ストレージ・バケットのデフォルトのストレージ層です。

オブジェクト・ストレージでは、サービス・ゲートウェイを介したVCNのOracle Cloud Infrastructureリソースからのプライベート・アクセスもサポートされます。サービス・ゲートウェイを使用すると、プライベート・サブネット内のプライベートIPアドレスからオブジェクト・ストレージのパブリック・エンドポイントへの接続が可能になります。たとえば、インターネットを介してではなく、Oracle Cloud Infrastructureのバックボーンを介して、DBシステムをオブジェクト・ストレージ・バケットにバックアップできます。オプションで、IAMポリシーを使用して、オブジェクト・ストレージにアクセスできるVCNまたはIPアドレスの範囲を制御できます。詳細は、Oracle Servicesへのアクセス: サービス・ゲートウェイを参照してください。

オブジェクト・ストレージAlways Free対象です。機能や制限など、Always Freeリソースの詳細は、Oracle Cloud InfrastructureのFree Tierを参照してください。

オブジェクト・ストレージのリソース

次のオブジェクト・ストレージのリソースを使用して、データを格納および管理します。認可およびリソース制限については、このトピックの後半で説明します。

バケット

バケットは、オブジェクトを格納するための論理コンテナです。ユーザーまたはシステムは、必要に応じてリージョン内でバケットを作成します。バケットは、バケットおよびバケット内のすべてのオブジェクトでユーザーが実行できるアクションを決定するポリシー を持つ1つのコンパートメント に関連付けられます。

オブジェクト

コンテンツ・タイプに関係なく、あらゆるタイプのデータがオブジェクトとして格納されます。オブジェクトは、オブジェクト自体と、そのオブジェクトに関するメタデータで構成されます。各オブジェクトは1つのバケットに格納されます。

ネームスペース

オブジェクト・ストレージ、ネームスペースは、すべてのバケットおよびオブジェクトのトップレベル・コンテナとして機能します。アカウントの作成時に、各Oracle Cloud Infrastructureテナントに一意のシステム生成および不変のオブジェクト・ストレージ・ネームスペース名が割り当てられます。ネームスペースは、リージョン内のすべてのコンパートメントにまたがります。バケット名を制御しますが、これらのバケット名はネームスペース内で一意である必要があります。ネームスペースはリージョン固有ですが、ネームスペース名自体はすべてのリージョンで同じです。古いテナンシ名、ネームスペースの例、ネームスペース文字列の取得方法などの詳細は、オブジェクト・ストレージ・ネームスペースの理解を参照してください。

コンパートメント

コンパートメントは、クラウド・リソースの編成に使用する主要なビルディング・ブロックです。テナンシがプロビジョニングされると、ルート・コンパートメントが作成されます。その後、ルート・コンパートメントの下にコンパートメントを作成して、リソースを編成できます。ユーザー・グループがそのコンパートメントのリソースに対して実行できるアクションを指定するポリシーを作成することで、アクセスを制御します。オブジェクト・ストレージ・バケットは1つのコンパートメントにのみ存在できます。

オブジェクト・ストレージの特性

オブジェクト・ストレージには、次の機能があります:

強力な一貫性
読取りリクエストが行われると、オブジェクト・ストレージは常に、システムに書き込まれたデータの最新コピーを提供します。
耐久性
オブジェクト・ストレージはリージョナル・サービスです。データは複数のストレージ・サーバー間で重複して格納されます。オブジェクト・ストレージでは、チェックサムを使用してデータの整合性を積極的にモニターし、破損データを自動的に検出して修復します。オブジェクト・ストレージは、データの冗長性を積極的にモニターし、保証します。冗長性の損失が検出されると、オブジェクト・ストレージによって追加のデータ・コピーが自動的に作成されます。オブジェクト・ストレージの耐久性の詳細は、オブジェクト・ストレージのFAQを参照してください。
カスタム・メタデータ
任意の目的のために、独自の拡張メタデータをキーと値のペアとして定義できます。たとえば、オブジェクトの説明タグを作成し、それらのタグを取得し、データをソートできます。Oracle Cloud Infrastructure CLIまたはSDKを使用して、オブジェクトおよびバケットにカスタム・メタデータを割り当てることができます。詳細は、ソフトウェア開発キットとコマンドライン・インタフェース を参照してください。
暗号化
オブジェクト・ストレージでは、256ビットAdvanced Encryption Standard (AES-256)を使用してサーバー上のオブジェクト・データを暗号化します。各オブジェクトは、独自のデータ暗号化キーを使用して暗号化されます。データ暗号化キーは常に、バケットに割り当てられたマスター暗号化キーを使用して暗号化されます。暗号化はデフォルトで有効になっており、オフにできません。デフォルトでは、Oracleはマスター暗号化キーを管理します。
このデフォルトの暗号化に加え、他に次の戦略を使用してデータを暗号化できます:
  • 独自のスケジュールで制御およびローテーションするOracle Cloud Infrastructure Vaultマスター暗号化キーが割り当てられるように、オプションでバケットを構成できます。詳細は、ボールトの概要を参照してください。
  • オプションで、独自の暗号化キーを使用してオブジェクト・ストレージの各オブジェクトを暗号化できます。詳細は、サーバー側暗号化のための独自キーの使用を参照してください。

オブジェクト・ストレージへのアクセス方法

オブジェクト・ストレージには、ユーザーのプリファレンスおよび完了するタスクに対する適合性に基づいて、次のいずれかのオプションを使用してアクセスできます:

  • コンソールは、使いやすいブラウザベースのインタフェースです。コンソールにアクセスするには、サポートされているブラウザを使用する必要があります。このページの上部にある「コンソール」リンクを使用して、サインイン・ページに移動できます。 クラウド・テナント、ユーザー名およびパスワードの入力を求められます。
  • コマンドライン・インタフェース(CLI)は、プログラミングを必要とせずに、迅速なアクセスとフル機能の両方を提供します。詳細は、CLIの使用を参照してください。
  • REST APIはほとんどの機能を提供しますが、プログラミングの専門知識を必要とします。エンドポイントの詳細と使用可能なAPIリファレンス・ドキュメントのリンクは、「APIリファレンスとエンドポイント」を参照してください。APIの使用についての一般情報は、REST APIを参照してください。オブジェクト・ストレージには、次のAPIを使用してアクセスできます:
  • Oracle Cloud Infrastructureは、フレームワークを作成しなくてもオブジェクト・ストレージと対話するSDKを提供します。SDKの使用についての一般情報は、「ソフトウェア開発キットとコマンドライン・インタフェース」を参照してください。

オブジェクト・ストレージの使用

オブジェクト・ストレージを使用する準備ができている場合は、次のトピックで詳細情報を参照できます:

認証と認可

Oracle Cloud Infrastructureの各サービスは、すべてのインタフェース(コンソール、SDKまたはCLI、およびREST API)の認証および認可のためにIAMと統合されています。また、IAMは、Amazon S3 Compatibility APIのAPI署名キー、認証トークン、顧客秘密キーなどのユーザー資格証明を管理します。詳細は、ユーザー資格証明を参照してください。

組織の管理者は、どのユーザーがどのサービスとリソースにアクセスできるか、およびアクセスのタイプを制御する、グループコンパートメントおよびポリシーを設定する必要があります。たとえば、ポリシーは、ユーザーとグループの作成、バケットの作成、オブジェクトのダウンロード、オブジェクト・ストレージ関連のポリシーとルールの管理などを実行できるユーザーを制御します。詳細は、ポリシーの開始を参照してください。異なる各サービスに対するポリシーの記述の詳細は、ポリシー・リファレンスを参照してください。オブジェクト・ストレージのポリシーの記述の詳細は、オブジェクト・ストレージ、アーカイブ・ストレージおよびデータ転送の詳細を参照してください。

会社が所有するOracle Cloud Infrastructureリソースを使用する必要がある通常のユーザー(管理者ではない)の場合は、ユーザーIDを設定するよう管理者に連絡してください。管理者は、使用する必要があるコンパートメントを確認できます。

未許可IPアドレスからのオブジェクト・ストレージ・リソースへのアクセスのブロック

許可されたIPアドレスから発生したリクエストのみにアクセスを制限することで、オブジェクト・ストレージ・ポリシーのセキュリティを強化できます。最初に、ネットワーク・ソースを作成して許可されるIPアドレスを指定します。次に、ポリシーに条件を追加して、ネットワーク・ソースのIPアドレスへのアクセスを制限します。ネットワーク・ソースのIPアドレスのみにアクセスを制限するポリシーの例を次に示します:

allow group CorporateUsers to manage object-family in tenancy where request.networkSource.name='corpnet'

ネットワーク・ソースの作成およびポリシーでの使用の詳細は、ネットワーク・ソースの管理を参照してください。

オブジェクト・ストレージのIPアドレス

Oracle Cloud Infrastructure Object Storageサービスでは、すべてのリージョンに対してCIDRブロックIP範囲134.70.0.0/16が使用されます。

オブジェクト・ストレージのリソースの制限

適用可能な制限の一覧と制限の引上げをリクエストする手順は、「サービス制限」を参照してください。

テナンシまたはコンパートメント固有のストレージ制限を設定する場合、管理者は、オブジェクト・ストレージ割当て制限を使用できます。

その他の制限には次が含まれます:

  • ルート・コンパートメント当たりのオブジェクト・ストレージ・ネームスペースの数: 1
  • 最大オブジェクト・サイズ: 10 TiB
  • マルチパート・アップロードの最大オブジェクト・パート・サイズ: 50 GiB
  • マルチパート・アップロードのパートの最大数: 10,000
  • PutObject APIが許可する最大オブジェクト・サイズ: 50GiB
  • オブジェクト・メタデータの最大サイズ: 2 K