バケットの管理
Oracle Cloud Infrastructure Object Storageサービスでは、バケットは、オブジェクト・ストレージ・ネームスペース内のコンパートメント にオブジェクトを格納するためのコンテナです。バケットは単一のコンパートメントに関連付けられています。コンパートメントには、バケットおよびバケット内のすべてのオブジェクトでユーザーが実行できるアクションを示すポリシー があります。
バケットをネストすることはできません。バケットに他のバケットを含めることはできません。
必須IAMポリシー
Oracle Cloud Infrastructureを使用するには、管理者によってポリシーでセキュリティ・アクセス権が付与されている必要があります。このアクセス権は、コンソール、あるいはSDK、CLIまたはその他のツールを使用したREST APIのいずれを使用している場合でも必要です。権限を持っていない、または認可されていないというメッセージが表示された場合は、持っているアクセス権のタイプと作業しているコンパートメントを管理者に確認してください。
ポリシーに慣れていない場合は、ポリシーの開始および共通ポリシーを参照してください。
管理者の場合:
- ポリシーオブジェクト・ストレージの管理者がバケットとオブジェクトを管理するにより、指定したグループは、バケットおよび関連オブジェクトを使用したすべてのことを実行できます。
- バケットに対してより制限的なポリシーを記述する必要がある場合は、オブジェクト・ストレージ、アーカイブ・ストレージおよびデータ転送の詳細を参照してください。
セキュリティ・ゾーン
セキュリティ・ゾーンによって、クラウド・リソースがOracleのセキュリティ原則に準拠していることが保証されます。セキュリティ・ゾーン・コンパートメント内のリソースに対する操作がそのセキュリティ・ゾーンのポリシーに違反している場合、その操作は拒否されます。
次のセキュリティ・ゾーン・ポリシーは、バケットを管理する機能に影響します:
- 安全性が低下する可能性があるため、バケットをセキュリティ・ゾーンから同じセキュリティ・ゾーンにないコンパートメントに移動することはできません。詳細は、リソース移動の制限を参照してください。
- セキュリティ・ゾーンのバケットは、プライベートである必要があります。
- セキュリティ・ゾーンのバケットは、ボールト・サービスの顧客管理のマスター暗号化キーを使用する必要があります。
事前認証済リクエスト
事前認証済リクエストによって、独自の資格証明を持たずにバケットまたはオブジェクトにアクセスできるようになります。たとえば、APIキーを所有せずにバケットにバックアップをアップロードするリクエストを作成できます。詳細は、事前認証済リクエストの使用を参照してください。
オブジェクト・バージョニング
オブジェクト・バージョニングを有効にして、以前のバージョンのオブジェクトを保持できます。オブジェクト・バージョニングを使用すると、以前のバージョンのオブジェクトを表示、取得およびリカバリでき、不注意や悪意によるオブジェクトの上書きまたは削除から保護できます。この機能の詳細は、オブジェクト・バージョニングの使用を参照してください。
オブジェクト・ライフサイクル・ポリシー
バケット・レベルで適用されるオブジェクト・ライフサイクル・ポリシーを使用して、事前定義済のスケジュールに従ってオブジェクトのアーカイブと削除を自動的に管理できます。この機能の詳細は、オブジェクト・ライフサイクル管理の使用を参照してください。
保持ルール
ガバナンス、規制コンプライアンスおよび法的要件に対応するためにオブジェクト・ストレージに書き込まれるデータに対して不変のオブジェクト・ストレージ・オプションを提供するには、保持ルールをバケット・レベルで適用できます。この機能の詳細は、保持ルールを使用したデータの保存を参照してください。
レプリケーション・ポリシー
バケットに対してレプリケーション・ポリシーを使用すると、あるオブジェクト・ストレージ・バケットのオブジェクトを、同じリージョンまたは別のリージョンの別のバケットに自動的にレプリケートできます。この機能の詳細は、レプリケーションの使用を参照してください。
リソースのタグ付け
オブジェクト・ストレージは現在、バケットへのタグの追加をサポートしています。
リソースのモニタリング
メトリック、アラームおよび通知を使用して、Oracle Cloud Infrastructureリソースのヘルス、容量およびパフォーマンスをモニターできます。詳細は、モニタリングおよび通知を参照してください。
バケットのモニタリングの詳細は、オブジェクト・ストレージ・メトリックを参照してください。
使用状況レポート
使用状況レポートは、カンマ区切り値(CSV)ファイルで、監査または請求書の照合を目的として、Oracle Cloud Infrastructureリソースの詳細な内訳の取得に使用できます。使用状況レポートは、毎日生成され、オブジェクト・ストレージ・バケットに格納されます。詳細は、コスト・レポートと使用状況レポートの概要およびコスト・レポートと使用状況レポートへのアクセスを参照してください。
イベント・サービスを使用したバケットおよびオブジェクトの自動化の作成
バケット名
バケット名はデフォルトでシステム生成されますが、指定した名前でデフォルトを上書きできます。
システム生成バケット名
バケットが作成されると、そのバケットのデフォルト名(たとえば、bucket-20190306-1359)が生成されます。このバケット名は、バケットが作成された現在の年、月および日を識別します。そのシステムが生成した名前を新しいバケットに使用することも、別の名前を指定することもできます。
ユーザー指定バケット名
このデフォルトのバケット名または任意のバケットの名前を変更する場合は、次のことに従ってください:
- テナンシのオブジェクト・ストレージ・ネームスペース内で名前を一意にします。
- 1から256文字で指定します。
- 有効なのは、文字(大文字または小文字)、数字、ハイフン、アンダースコアおよびピリオドです。 重要
バケット名およびオブジェクト名では、大文字と小文字が区別されます。オブジェクト・ストレージでは、accounts-payableとAccounts-Payableを別々のバケットとして処理します。 - 機密情報の入力は避けてください。
デフォルト・ストレージ層
パブリック・バケット
バケットを作成すると、そのバケットはプライベート・バケットとみなされ、バケットとバケット・コンテンツへのアクセスには認証および認可が必要です。ただし、オブジェクト・ストレージでは、セキュリティ・ゾーンにないバケットへの匿名の認証されていないアクセスがサポートされます。バケットへの読取りアクセスを有効にすることで、バケットをパブリックにします。
バケットへのパブリック・アクセスのためのビジネス要件を慎重に評価します。バケットへの匿名アクセスを有効にすると、すべてのユーザーがオブジェクト・メタデータを取得したり、バケット・オブジェクトをダウンロードしたり、オプションでバケット・コンテンツをリストできます。パブリック・バケットのかわりに、事前認証済リクエストを使用することをお薦めします。事前認証済リクエストは、パブリック・バケットでは不可能な、より多くの認可、有効期限およびスコープ機能をサポートします。詳細は、事前認証済リクエストの使用を参照してください。
必要な権限
パブリック・バケットを構成するには、次の権限が必要です:
- バケットの作成時にパブリック・アクセスを有効にするには、権限
BUCKET_CREATEを使用します。 - 既存のバケットのパブリック・アクセスを有効にするには、権限
BUCKET_UPDATEを使用します。
オプション
パブリック・バケットを作成する場合、次のオプションがあります:
- オブジェクトのリスト表示およびダウンロードを許可するようにアクセスを構成できます。リスト表示およびダウンロードのアクセスはデフォルトです。
- オブジェクトのダウンロードのみを許可するようにアクセスを構成できます。ユーザーは、バケット・コンテンツをリストできません。
範囲および制約
パブリック・アクセスに関する次の範囲および制約について理解します:
- セキュリティ・ゾーンのバケットは、パブリックにできません。
- アクセスのタイプの変更は双方向です。バケットのアクセスは、パブリックからプライベートに、またはプライベートからパブリックに変更できます。
- アクセスのタイプを変更しても、既存の事前認証済リクエストには影響しません。既存の事前認証済リクエストは引き続き機能します。
コンソール、CLIまたはSDKを使用してAPIにアクセスすると、新規または既存のバケットに対する匿名パブリック・アクセスを有効にできます。