StorageGRID Webscale 11.1 S3（Simple Storage Service）実装ガイド

S3

（Simple Storage Service）

実装ガイド

2018_{年7月 | 215-13502_A0}

目次

S3 REST API

のサポート ... 5

S3 REST APIのサポートに関する変更点 ... 5 サポート対象のバージョン ... 5 StorageGRID Webscaleプラットフォーム サービスのサポート ... 6

テナント アカウントと接続の設定 ... 8

S3テナント アカウントの作成および設定 ... 8 APIゲートウェイ ノードとストレージ ノードのIPアドレスの特定 ... 9 HTTPSまたはHTTPどちらの接続を使用するかの判断 ... 9 APIゲートウェイ ノードおよびストレージ ノードのポート番号の特定 ... 10 S3要求のエンドポイントのドメイン名 ... 10 S3 REST APIの設定のテスト ... 11

StorageGRID Webscale

でのS3 REST APIの実装 ... 13

競合するクライアント要求 ... 13

整合性制御 ... 13

StorageGRID WebscaleのILMルールによるオブジェクトの管理 ... 15

オブジェクトのバージョン管理 ... 16 S3 REST APIを実装する際の推奨事項 ... 17

S3 REST API

のサポートされる処理と制限事項 ... 19

日付の処理 ... 19 共通の要求ヘッダー ... 19 共通の応答ヘッダー ... 20 要求の認証 ... 20 サービスの処理 ... 20 バケットの処理 ... 21 バケットのカスタム処理 ... 26 オブジェクトの処理 ... 27 PUT Object ... 30

PUT Object - Copy ... 32

マルチパート アップロードの処理 ... 34

List Multipart Uploads ... 34

Initiate Multipart Upload ... 35

Upload Part ... 36

Upload Part - Copy ... 37

Complete Multipart Upload ... 37

エラー応答 ... 38

StorageGRID Webscale

のS3 REST APIの処理 ... 41

準拠のためのPUT Bucket要求の変更 ... 41

GET Bucket compliance要求 ... 42

PUT Bucket compliance要求 ... 44

GET Bucket consistency要求 ... 46

PUT Bucket last access time要求 ... 49

DELETE Bucket metadata notification configuration要求 ... 50

GET Bucket metadata notification configuration要求 ... 50

PUT Bucket metadata notification configuration要求 ... 53

検索統合サービスで生成されるJSON ... 56

メタデータ通知に含まれているオブジェクト メタデータ ... 56

GET Storage Usage要求 ... 57

バケットとグループのアクセス ポリシー ... 58

アクセス ポリシーの概要 ... 58 ポリシーの整合性制御設定 ... 60 ポリシー ステートメントでのURNの使用 ... 60 ポリシーでのリソースの指定 ... 61 ポリシーでのプリンシパルの指定 ... 61 ポリシーでの権限の指定 ... 62 PutOverwriteObject権限の使用 ... 64 ポリシーでの条件の指定 ... 65 ポリシーでの変数の指定 ... 67 特別な処理を必要とするポリシーの作成 ... 67 Write-Once-Read-Many（WORM）による保護 ... 69 S3ポリシーの例 ... 70 S3バケット ポリシーの例 ... 70 S3グループ ポリシーの例 ... 73

REST API

のセキュリティの設定 ... 76

StorageGRID WebscaleシステムでのREST APIのセキュリティ ... 76

クライアント アプリケーションのセキュリティ証明書 ... 77 TLSライブラリのハッシュ アルゴリズムと暗号化アルゴリズムのサポー ト ... 77

処理の監視と監査 ... 79

オブジェクトの取り込み速度と読み出し速度の監視 ... 79 監査ログへのアクセスと確認 ... 81 監査ログで追跡されるS3処理 ... 82

アクティブ、アイドル、および同時HTTP接続のメリット ... 83

アイドルHTTP接続を開いておくメリット ... 83 アクティブHTTP接続のメリット ... 83 同時HTTP接続のメリット ... 84 読み取り処理用と書き込み処理用の別々のHTTP接続プールの使用 ... 85

著作権に関する情報 ... 86

商標に関する情報 ... 87

マニュアルの更新について ... 88

索引 ... 89

S3 REST API

のサポート

StorageGRID Webscaleは、Representational State Transfer（REST）のWebサービスのセットと

して実装されるSimple Storage Service（S3）をサポートします。S3 REST APIのサポートによ り、S3 Webサービス用に開発されたサービス指向アプリケーションを、StorageGRID Webscale システムを使用するオンプレミスのオブジェクト ストレージと接続できます。クライアン ト アプリケーションで現在使用しているS3 REST API呼び出しの変更は、最小限しか必要あ りません。

S3 REST API

のサポートに関する変更点

StorageGRID WebscaleシステムでのS3 REST APIのサポートに関する変更点に注意する必要

があります。

リリース 説明

11.1 Cross-Origin Resource Sharing（CORS）、グリッド ノードへ

のS3クライアント接続でのHTTPの使用、バケットでの準拠 設定がサポートされるようになりました。 11.0 バケットでのプラットフォーム サービス（CloudMirrorレプ リケーション、通知、およびElasticsearch検索統合）の設定 がサポートされるようになりました。また、バケットに対 するオブジェクト タグ付け機能の場所の制約、および整合 性制御設定「available」がサポートされるようになりまし た。 10.4 ILMのスキャン処理のバージョン管理に関する変更、

[Endpoint Domain Names]ページの更新、ポリシーの条件と

変数、ポリシーの例、およびPutOverwriteObject権限のサポー トが追加されました。

10.3 バージョン管理のサポートが追加されました。

10.2 グループとバケットのアクセス ポリシー、およびマルチ

パート コピー（Upload Part - Copy）のサポートが追加され ました。

10.1 マルチパート アップロード、仮想ホスト形式の要求、およ

びバージョン4の認証のサポートが追加されました。

10.0 StorageGRID WebscaleシステムでS3 REST APIのサポートが

初めて導入されました。

現在サポートされているSimple Storage Service API

Referenceのバージョンは2006-03-01です。

サポート対象のバージョン

StorageGRID WebscaleでサポートしているS3およびHTTPのバージョンは次のとおりです。

項目 バージョン

HTTP 1.1

HTTPの詳細については、HTTP/1.1（RFC 2616）を参照し

てください。

関連情報

IETF RFC 2616：『Hypertext Transfer Protocol (HTTP/1.1)』

Amazon Web Services（AWS）ドキュメント：「Amazon Simple Storage Service API Reference」

StorageGRID Webscale

プラットフォーム

サービスのサポート

StorageGRID Webscaleプラットフォーム サービスでは、StorageGRID Webscaleのテナント ア

カウントでリモートS3バケット、Simple Notification Service（SNS）エンドポイント、

Elasticsearchクラスタなどの外部サービスを利用して、グリッドが提供するサービスを拡張 できます。 次の表に、使用可能なプラットフォーム サービスとその設定に使用するS3 APIを示します。 プラットフォー ム サービス 目的 サービスの設定に使用するS3API CloudMirrorレプ リケーション ソースのStorageGRID Webscaleバケットから、設定したリモートのS3 バケットにオブジェクトをレプリ ケートします。

PUT Bucket replication

通知 ソースのStorageGRID Webscaleバ

ケットでのイベントに関する通知を、 設定したSimple Notification Service （SNS）エンドポイントに送信します。

PUT Bucket notification

検索統合 StorageGRID Webscaleバケットに格

納されているオブジェクト メタデー タを、設定したElasticsearchインデッ クスに送信します。

PUT Bucket metadata notification

注：これはStorageGRID WebscaleのカスタムS3 APIで す。 前提条件として、グリッド管理者がテナント アカウントでプラットフォーム サービスの使 用を有効にする必要があります。その後、テナント管理者が、テナント アカウントのリモー ト サービスを表すエンドポイントを作成する必要があります。この手順は、サービスを設 定する前に済ませる必要があります。 プラットフォームサービスの使用に関する推奨事項 プラットフォーム サービスを使用する前に、次の推奨事項を確認してください。 • CloudMirrorレプリケーション、通知、検索統合を求めるS3要求を含むアクティブなテナ ントは、100個以下にすることを推奨します。アクティブなテナントが100を超えると、 S3クライアントのパフォーマンスが低下する場合があります。

• StorageGRID WebscaleシステムのS3バケットで、バージョン管理とCloudMirrorレプリケー

ションの両方が有効になっている場合は、デスティネーション エンドポイントでもS3バ ケットのバージョン管理を有効にすることを推奨します。これにより、CloudMirrorレプ リケーションで、エンドポイントに同様のオブジェクト バージョンを作成できます。

関連概念

バケットの処理（21ページ）

関連資料

PUT Bucket metadata notification configuration要求（53ページ） 関連情報

テナント ユーザ ガイド

テナント

アカウントと接続の設定

クライアント アプリケーションからの接続を受け入れるようにStorageGRID Webscaleを設 定するには、テナント アカウントを1つ以上作成し、接続を設定する必要があります。 手順 1. S3テナント アカウントの作成および設定（8ページ） 2. APIゲートウェイ ノードとストレージ ノードのIPアドレスの特定（9ページ） 3. HTTPSまたはHTTPどちらの接続を使用するかの判断（9ページ） 4. APIゲートウェイ ノードおよびストレージ ノードのポート番号の特定（10ページ） 5. S3要求のエンドポイントのドメイン名（10ページ） 6. S3 REST APIの設定のテスト（11ページ）

S3

テナント

アカウントの作成および設定

S3 APIクライアントがStorageGRID Webscaleに対してオブジェクトの格納や読み出しを行う

には、S3テナント アカウントが必要です。それぞれのテナント アカウントには、専用のア カウントID、専用のグループとユーザ、および専用のコンテナとオブジェクトがあります。

S3テナント アカウントは、StorageGRID Webscaleのグリッド管理者がGrid Managerまたはグ

リッド管理APIを使用して作成します。グリッド管理者は、S3テナント アカウントを作成す る際に次の情報を指定します。 • テナントの表示名（テナントのアカウントIDは自動的に割り当てられ、変更できません） • テナント アカウントのrootユーザの初期パスワード • テナントで独自のアイデンティティ ソースを使用するか、グリッドのアイデンティティ ソースを共有するか • アカウントにプラットフォーム サービスの使用を許可するかどうか • （オプション）テナント アカウントのストレージ クォータ（テナントのオブジェクトに 使用できる最大のギガバイト数、テラバイト数、またはペタバイト数）テナントのスト レージ クォータは、物理容量（ディスクのサイズ）ではなく、論理容量（オブジェクト のサイズ）を表します。 S3テナント アカウントが作成されたら、テナントのユーザはTenant Managerにアクセスし、 主に次のタスクを実行できます。 • アイデンティティ フェデレーションの設定（グリッドとアイデンティティ ソースを共有 する場合を除く）、またはローカル グループおよびユーザの作成 • S3アクセス キーの管理 • S3バケットの作成と管理 • プラットフォーム サービスの使用（有効な場合） • ストレージ使用状況の監視 注意：S3テナント ユーザは、Tenant Managerを使用してS3バケットを作成、管理できます が、オブジェクトを取り込んで管理するには、S3アクセス キーを取得し、S3 REST APIを 使用する必要があります。

関連情報 StorageGRID Webscale管理者ガイド テナント ユーザ ガイド

API

ゲートウェイ

ノードとストレージ

ノードの

IP

アドレスの特

定

クライアント アプリケーションは、ストレージ ノードまたはAPIゲートウェイ ノードのIP アドレスを使用してStorageGRID Webscaleに接続します。 タスク概要

クライアント アプリケーションは、StorageGRID Webscaleのストレージ ノードまたはAPI ゲートウェイ ノードに直接接続し、オブジェクトを格納したり読み出したりします。API ゲートウェイ ノードでは、ストレージ ノード間での取り込みの負荷分散が可能です。

Grid Managerを使用して、特定のストレージ ノードまたはAPIゲートウェイ ノードのIPアド

レスを検索できます。

手順

1. サポートされているブラウザを使用してGrid Managerにログインします。

2. [Nodes]を選択します。

3. 接続するストレージ ノードまたはAPIゲートウェイ ノードを選択します。

4. [Node Information]セクションで、ノードのIPアドレスを確認します。

5. [Show more]をクリックし、IPv6アドレスおよびインターフェイスのマッピングを表示し

ます。 クライアント アプリケーションから、リスト内のいずれかのIPアドレスへの接続を確立 できます。 • eth0：グリッド ネットワーク • eth1： 管理ネットワーク（オプション） • eth2： クライアント ネットワーク（オプション） 注：IPv6は、APIゲートウェイ ノード経由のクライアント アプリケーション接続での みサポートされます。 関連情報 StorageGRID Webscale管理者ガイド

HTTPS

または

HTTP

どちらの接続を使用するかの判断

クライアント アプリケーションでは、ストレージ ノードまたはAPIゲートウェイ ノードに 接続するときに、暗号化されたHTTPS接続か、それよりも安全性の劣るHTTP接続を使用で きます。 デフォルトでは、ストレージ ノードおよびAPIゲートウェイ ノードとのすべての接続で、 HTTPSが使用されます。必要に応じて、Grid Managerで[HTTP]オプションを有効にして、ク ライアント アプリケーションでのHTTPの使用を許可することもできます。たとえば、非本

HTTPを使用できます。 注意：HTTPモードは、テスト環境やデバッグ環境で使用するためのものです。要求が暗号 化されずに送信されるため、本番環境のグリッドでHTTPを有効にする場合は注意してく ださい。 このオプションを有効にする方法については、StorageGRID Webscaleの管理に関する情報を 参照してください。グリッドで[HTTP]オプションが有効になっている場合は、HTTP通信用 に、HTTPS通信とは別のポートを使用する必要があります。 関連概念 APIゲートウェイ ノードおよびストレージ ノードのポート番号の特定（10ページ） アクティブ、アイドル、および同時HTTP接続のメリット（83ページ） 関連情報 StorageGRID Webscale管理者ガイド

API

ゲートウェイ

ノードおよびストレージ

ノードのポート番号

の特定

S3クライアントをストレージ ノードまたはAPIゲートウェイ ノードに接続する際に使用す るポート番号を確認しておく必要があります。 S3クライアントでは、StorageGRID Webscaleシステムへの接続に次のポートが使用されます。 ストレージ ノードへの接続には、APIゲートウェイ ノードへの接続とは別のポートを使用し ます。ポート番号は、[HTTP]グリッド オプションが有効になっているかどうか、HTTP接続 を使用しているかどうかによっても変わります。 グリッド ノード 用途 ポート番号 APIゲートウェイ ノード HTTPSのS3ポート 8082 HTTPのS3ポート 8084 ストレージ ノード HTTPSのS3ポート 18082 HTTPのS3ポート 18084 関連概念 HTTPSまたはHTTPどちらの接続を使用するかの判断（9ページ） 関連情報 StorageGRID Webscale管理者ガイド

S3

要求のエンドポイントのドメイン名

StorageGRID Webscale管理者は、S3パス形式とS3仮想ホスト形式の要求で使用するエンドポ イントのドメイン名をユーザに提供する必要があります。StorageGRID Webscaleシステムで 一般的ではないルートCAが使用されている場合、グリッド管理者は、ユーザのS3クライア

ント アプリケーションの信頼ストアにインポートするルートCA証明書も提供する必要があ ります。 タスク概要 グリッド管理者は、Grid Managerを使用してS3エンドポイントを設定する必要があります。 詳細な手順については、StorageGRID Webscaleの管理に関する手順を参照してください。 たとえば、エンドポイントがs3.company.comの場合、グリッド管理者は、エンドポイント

s3.company.comとエンドポイントのワイルドカードSAN（*.s3.company.com）を含むカス

タムのサーバ証明書を取得します。管理者は、DNSサーバがエンドポイントとワイルドカー ドSANをサポートしていることも確認します。 エンドポイントが設定されたら、仮想ホスト形式の要求（bucket.s3.company.comなど） を使用できます。DNSサーバは正しいエンドポイントに解決され、証明書によってエンドポ イントが認証されます。 関連概念 REST APIのセキュリティの設定（76ページ） 関連情報 StorageGRID Webscale管理者ガイド

S3 REST API

の設定のテスト

Amazon Web Servicesコマンドライン インターフェイス（AWS CLI）を使用してシステムへ

の接続をテストし、システムに対するオブジェクトの読み取りと書き込みが可能であること を確認できます。

開始する前に

• AWS CLIをaws.amazon.com/cliからダウンロードしてインストールしておく必要がありま

す。

• StorageGRID WebscaleシステムでS3テナント アカウントを作成しておく必要がありま

す。

手順

1. Amazon Web Servicesの設定で、StorageGRID Webscaleシステムで作成したアカウントを使

用するように設定します。 a. 構成モードに切り替えます。 aws configure b. 作成したアカウントのAWSアクセス キーIDを入力します。 c. 作成したアカウントのAWSシークレット アクセス キーを入力します。 d. 使用するデフォルトのリージョンを入力します（例：us-east-1）。 e. 使用するデフォルトの出力形式を入力するか、Enterキーを押してJSONを選択します。 2. バケットを作成します。

aws s3api --endpoint-url https://10.96.101.17:8082 --no-verify-ssl create-bucket --bucket testbucket

3. オブジェクトをアップロードします。

aws s3api --endpoint-url https://10.96.101.17:8082 --no-verify-ssl put-object --bucket testbucket --key s3.pdf --body C:\s3-test\upload \s3.pdf

オブジェクトのアップロードが完了すると、オブジェクト データのハッシュであるEtag が返されます。

4. バケットの内容をリストして、オブジェクトがアップロードされたことを確認します。

aws s3api --endpoint-url https://10.96.101.17:8082 --no-verify-ssl list-objects --bucket testbucket

5. オブジェクトを削除します。

aws s3api --endpoint-url https://10.96.101.17:8082 --no-verify-ssl delete-object --bucket testbucket --key s3.pdf

6. バケットを削除します。

aws s3api --endpoint-url https://10.96.101.17:8082 --no-verify-ssl delete-bucket --bucket testbucket

StorageGRID Webscale

での

S3 REST API

の実装

クライアント アプリケーションは、ストレージ ノードやAPIゲートウェイ ノードへの接続、 バケットの作成、オブジェクトの格納と読み出しにS3 REST API呼び出しを使用できます。

競合するクライアント要求

競合するクライアント要求（2つのクライアントが同じキーに書き込む場合など）は、 「latest-wins」ベースで解決されます。 「latest-wins」評価は、S3クライアントが処理を開始するタイミングではなく、StorageGRID Webscaleシステムが特定の要求を完了したタイミングで行われます。

整合性制御

整合性制御では、アプリケーションでの必要に応じて、ストレージ ノード間およびサイト 間でオブジェクトの可用性と整合性のトレードオフを行うことができます。 StorageGRID Webscaleでは、デフォルトで、新たに作成したオブジェクトのリードアフター ライト整合性が保証されます。正常に完了したPUTに続くGETでは、新しく書き込まれた データを読み取ることができます。既存のオブジェクトの上書き、メタデータの更新、およ び削除の整合性レベルは、結果整合性です。上書きは通常であれば数秒から数分で反映され ますが、最大で15日かかることもあります。 別の整合性レベルでオブジェクトの処理を実行する場合は、各バケットまたは各API処理に 対して、整合性制御を指定できます。 整合性制御 バケットまたはAPI処理の整合性制御は、次のいずれかの値に設定できます。 整合性制御 説明 all 最高レベルのリードアフターライト整合性が保証されます。すべての ノードが即座にデータを受け取り、受け取れない場合は要求が失敗し ます。 strong-global すべてのサイトのすべてのクライアント要求について、リードアフ ターライト整合性が保証されます。 strong-site あるサイト内のすべてのクライアント要求について、リードアフター ライト整合性が保証されます。 read-after-new-write （デフォルト）新規オブジェクトにはリードアフターライト整合性を、オブジェクトの更新には結果整合性を提供します。高可用性が確保さ れ、データ保護が保証されます。AWS S3の整合性に相当します。 注：存在しないオブジェクトに対してアプリケーションがHEAD要求 を使用すると、使用できないストレージ ノードがある場合に「500

Internal Server Error」が大量に返される可能性があります。このエ

ラーを回避するには、AWS S3と同様の整合性の保証が必要ないかぎ り、整合性制御を「available」に設定します。

available（HEAD 処理は結果整合 性） 「read-after-new-write」整合性レベルと動作は同じですが、HEAD処理に ついては結果整合性のみを提供します。ストレージ ノードを使用で きない場合に、HEAD処理に対して「read-after-new-write」よりも高い 可用性が提供されます。AWS S3の整合性と異なるのはHEAD処理の みです。 weak 結果整合性と高い可用性を提供し、特にストレージ ノードに障害が発 生したりストレージ ノードを使用できない場合のデータ保護の保証 は最小限です。高可用性を必要とし、リードアフターライト整合性は 必要とせず、ノードに障害が発生した場合のデータ損失を許容できる、 書き込み負荷の高いワークロードにのみ適しています。 「read-after-new-write」および「available」整合性レベルの使用 HEAD処理またはGET処理で「read-after-new-write」整合性制御を使用する場合、またはGET 処理で「available」整合性制御を使用する場合は、StorageGRID Webscaleによって、次のよう に複数の手順で検索が実行されます。 • まず、低い整合性レベルを使用してオブジェクトを検索します。 • その検索が失敗すると、次の整合性レベルで再度検索が実行され、最高の整合性レベル （オブジェクトのメタデータのすべてのコピーが使用可能である必要がある「all」）に達 するまでそれが繰り返されます。 HEAD処理またはGET処理で「read-after-new-write」整合性制御が使用されているが、オブ ジェクトが存在しない場合は、オブジェクトの検索は常に「all」整合性レベルで実行されま す。この整合性レベルでは、オブジェクトのメタデータのすべてのコピーが利用可能である 必要があるため、利用できないストレージ ノードがあると、500 Internal Server Errorが大量 に発生する場合があります。 AWS S3と同様の整合性の保証が必要ないのであれば、整合性制御を「available」に設定する ことで、HEAD処理でのこのエラーを防ぐことができます。HEAD処理で「available」整合性 制御を使用すると、StorageGRID Webscaleでは、結果整合性のみが提供されます。「all」整合 性レベルに達するまで失敗した処理を再試行することはないため、オブジェクトのメタデー タのすべてのコピーが利用可能である必要はありません。 API処理に対する整合性制御の指定 個々のAPI処理に対して整合性制御を設定するには、その処理でサポートされている整合性 制御を要求ヘッダーで指定する必要があります。次の例では、GET Object処理に対して、整 合性制御を「strong-site」に設定しています。 GET /bucket/object HTTP/1.1 Date: date

Authorization: authorization name Host: host

Consistency-Control: strong-site

注：PUT Object処理とGET Object処理には、同じ整合性制御を使用する必要があります。

たとえば、「weak」を使用して書き込んだオブジェクトを「strong-global」を使用して再度 読み取った場合、すべてのサイトにおける強い整合性は保証されません。

バケットに対する整合性制御の指定

バケットに対して整合性制御を設定するには、StorageGRID WebscaleのPUT Bucket整合性要 求およびGET Bucket整合性要求を使用できます。または、Tenant Managerまたはテナント管 理APIを使用できます。

バケットの整合性制御を設定する際は、次の点にご注意ください。 • バケットの整合性制御を設定することで、バケット内のオブジェクトまたはバケット設 定に対して実行されるS3処理に、どの整合性制御を使用するかを指定できます。バケッ ト自体に対する処理には影響しません。 • 個々のAPI処理の整合性制御は、バケットの整合性制御よりも優先されます。 • 通常は、バケットではデフォルトの整合性制御（「read-after-new-write」）を使用する必要 があります。要求が正しく機能しない場合は、アプリケーション クライアントの動作を 変更します（可能な場合）。あるいは、API要求ごとに整合性制御を指定するようにクラ イアントを設定します。バケット レベルの整合性制御は最後の手段と考えてください。 関連資料

GET Bucket consistency要求（46ページ） PUT Bucket consistency要求（47ページ）

StorageGRID Webscale

の

ILM

ルールによるオブジェクトの管

理

グリッド管理者がInformation Lifecycle Management（ILM）ルールを作成して、S3 REST API クライアント アプリケーションからStorageGRID Webscaleシステムに取り込まれたオブ ジェクト データを管理します。これらのルールは、以降のオブジェクト データを格納する 方法と場所を指定するために、ILMポリシーに追加されます。 ILMの設定により、オブジェクトの次の内容が決まります。 格納場所 StorageGRID Webscaleシステム内のオブジェクトのデータの場所 ストレージの種類 オブジェクト データの格納に使用されるストレージのタイプ（ディスクまたは アーカイブ メディア） 損失に対する保護 コピーの作成方法（レプリケーション、イレイジャー コーディング、またはその 両方） 保持 オブジェクトのデータの管理方法、格納場所、損失からの保護方法の経過時間に 基づく変更方法 ILMルールによって、オブジェクトをフィルタして選択できます。S3を使用して取り込まれ たオブジェクトは、ILMルールによって次のメタデータに基づいてフィルタできます。 • Tenant Account • Bucket Name • Ingest Time • Key

• Last Access Time

注：デフォルトでは、すべてのS3バケットで最終アクセス時間の更新が無効になりま

す。StorageGRID WebscaleシステムにLast Access Timeオプションを使用するILMルー ルが含まれている場合は、そのルールで指定されるS3バケットで最終アクセス時間の 更新を有効にする必要があります。最終アクセス時間の更新を有効にするには、PUT

Time]チェック ボックス、またはテナント管理APIを使用します。最終アクセス時間の 更新を有効にする場合は、特に小さなオブジェクトを使用するシステムでStorageGRID Webscaleのパフォーマンスが低下する場合があるので注意してください。 • Location Constraint • Object Size • User Metadata • Object Tag 関連資料

PUT Bucket last access time要求（49ページ） 関連情報 テナント ユーザ ガイド StorageGRID Webscale管理者ガイド

オブジェクトのバージョン管理

バージョン管理の機能を使用してオブジェクトの複数のバージョンを保持することで、オブ ジェクトが偶発的に削除される事態に対応したり、以前のバージョンのオブジェクトを読み 出してリストアしたりできます。 StorageGRID Webscaleシステムでは、バージョン管理のほとんどの機能をサポートしていま すが、いくつかの制限事項があります。StorageGRID Webscaleでは、オブジェクトごとに最 大1,000個のバージョンをサポートしています。

StorageGRID Webscaleのオブジェクトのバージョン管理は、情報ライフサイクル管理（ILM）

と連携できます。AmazonのObject Lifecycle Managementはサポートされていません。バケッ トでバージョン管理機能を使用するには、それぞれのバケットに対して明示的に有効にする 必要があります。バケット内の各オブジェクトには、StorageGRID Webscaleシステムによっ て生成されるバージョンIDが割り当てられます。 多要素認証（MFA）はサポートされていません。 注：バージョン管理は、StorageGRID Webscaleバージョン10.3以降で作成されたバケットで のみ有効にすることができます。 ILMとバージョン管理 オブジェクトの各バージョンにはILMポリシーが適用されます。ILMのスキャン処理では、 すべてのオブジェクトが継続的にスキャンされ、現在のILMポリシーに照らして再評価され ます。ILMポリシーに対する変更は、それまでに取り込まれたすべてのオブジェクトに適用 されます。バージョン管理が有効になっている場合は、それまでに取り込まれたバージョン も対象になります。ILMのスキャン処理により、過去に取り込まれたオブジェクトに変更後 の新しいILMの内容が適用されます。 バージョン管理が有効なバケット内のS3オブジェクトに対しては、参照時間をnoncurrentに 指定したILMルールを作成できます。オブジェクトが更新されると、それまでのバージョン はnoncurrentになります。noncurrentの時間フィルタを使用することで、旧バージョンのオブ ジェクトによるストレージへの影響を軽減するポリシーを作成できます。

S3 REST API

を実装する際の推奨事項

StorageGRID Webscaleで使用するためにS3 REST APIを実装する場合は、次の推奨事項を考慮

してください。 存在しないオブジェクトに対するHEADの推奨事項 オブジェクトが存在しないはずのパスにオブジェクトが存在するかどうかをアプリケー ションで定期的にチェックする場合は、「Available」整合性制御を使用します。たとえば、 アプリケーションが特定の場所に対してPUT処理の前にHEAD処理を行う場合は、 「Available」整合性レベルを使用してください。 そうしないと、使用できないストレージ ノードがある場合にHEAD処理でオブジェクトが見 つからないと、「500 Internal Server Error」が大量に返される可能性があります。

PUT Bucket整合性要求を使用して各バケットに「Available」整合性制御を設定できます。ま

たは、個々のAPI処理の要求ヘッダーで整合性制御を指定することもできます。 オブジェクトキーの推奨事項 オブジェクト キーの最初の4文字に、ランダムな値を使用しないでください。この推奨事項 は、AWSのキー プレフィックスの推奨事項とは異なります。ランダムな値ではなく、一意 でもないプレフィックスを使用してください（imageなど）。 AWSの推奨事項に従い、キー プレフィックスにランダムな一意の文字を使用する場合は、 オブジェクト キーの前にディレクトリ名を指定してください。たとえば、次の形式を使用 します。 mybucket/mydir/f8e3-image3132.jpg 次の形式は使用しないでください。 mybucket/f8e3-image3132.jpg 「範囲を指定した読み取り」の推奨事項

StorageGRID Webscaleで[Stored Object Compression]グリッド オプションが有効になってい

る場合は、S3クライアント アプリケーションで、返されるバイト数の範囲を指定するGET

Object処理を実行しないようにする必要があります。StorageGRID Webscaleでは、要求され

たバイトにアクセスするためにオブジェクトの圧縮を解除する必要があるため、このような 「範囲を指定した読み取り」処理は効率的ではありません。非常に大きなオブジェクトから 小さい範囲のバイト数を要求するGET Object処理は特に効率が悪く、たとえば、50GBの圧 縮オブジェクトから10MBの範囲を読み取る処理は非常に非効率的です。 圧縮オブジェクトから範囲を読み取ると、クライアント要求がタイムアウトになる場合があ ります。 注：オブジェクトを圧縮する必要があり、クライアント アプリケーションが範囲読み取り を使用する必要がある場合は、そのアプリケーションの読み取りタイムアウトを増やして ください。 関連概念 整合性制御（13ページ）

PUT Bucket consistency要求（47ページ） 関連情報

S3 REST API

のサポートされる処理と制限事項

StorageGRID Webscaleシステムでは、『Simple Storage Service API Reference』（API Version 2006-03-01）のほとんどの処理をサポートしていますが、いくつかの制限事項があります。 S3 REST APIクライアント アプリケーションを統合するときは、実装の詳細を理解しておく 必要があります。 StorageGRID Webscaleシステムでは、仮想ホスト形式の要求とパス形式の要求の両方をサ ポートしています。 関連情報

Amazon Web Services（AWS）ドキュメント：「Amazon Simple Storage Service API Reference」

日付の処理

StorageGRID WebscaleのS3 REST APIの実装では、有効なHTTPの日付形式のみをサポートし

ています。

StorageGRID Webscaleシステムでは、日付の値を設定できるすべてのヘッダーで、有効な

HTTPの日付形式のみがサポートされます。日付の時刻の部分は、グリニッジ標準時

（GMT）の形式で指定するか、タイム ゾーンのオフセットなし（+0000を指定）の協定世界

時（UTC）の形式で指定できます。要求にx-amz-dateヘッダーを含めた場合、Date要求ヘッ

ダーで指定された値よりも優先されます。AWS署名バージョン4を使用する場合は、date

ヘッダーはサポートされないため、署名済み要求にx-amz-dateヘッダーを含める必要があ

ります。

共通の要求ヘッダー

StorageGRID Webscaleシステムでは、いくつかの例外を除き、Simple Storage Service API Referenceで定義されている共通の要求ヘッダーがサポートされます。 要求ヘッダー 実装 Authorization AWS署名バージョン2が完全にサポートされます。 AWS署名バージョン4が次の例外を除いてサポートされ ます。 • 要求の本文のSHA256の値は計算されません。ユーザ が送信した値が検証なしで受け入れられます。 x-amz-copy-source-server-side-encryption-customer-key 実装されていません。 x-amz-copy-source-server-side-encryption-customer-key-MD5 実装されていません。 x-amz-security-token 実装されていません。XNotImplementedが返されます。 x-amz-server-side-encryption-customer-algorithm 実装されていません。

Amazon Web Services（AWS）ドキュメント：「Amazon Simple Storage Service API Reference」

共通の応答ヘッダー

StorageGRID Webscaleシステムでは、いくつかの例外を除き、Simple Storage Service API Referenceで定義されている共通の応答ヘッダーがすべてサポートされます。

応答ヘッダー 実装

x-amz-id-2 使用されません。 x-amz-expiration 使用されません。 関連情報

Amazon Web Services（AWS）ドキュメント：「Amazon Simple Storage Service API Reference」

要求の認証

StorageGRID Webscaleシステムでは、S3 APIを使用したオブジェクトへのアクセスについて、

認証アクセスと匿名アクセスの両方をサポートしています。

S3 APIでは、S3 API要求の認証で署名バージョン2と署名バージョン4がサポートされます。

認証された要求は、アクセス キーIDとシークレット アクセス キーで署名する必要がありま す。

StorageGRID Webscaleシステムでは、HTTP Authorizationヘッダーとクエリ パラメータの

2種類の認証方式がサポートされます。 HTTP Authorizationヘッダーの使用 S3 APIでは、バケット ポリシーで許可された匿名の要求を除き、すべての処理で HTTPAuthorizationヘッダーを使用します。要求の認証に必要なすべての署名情報が Authorizationヘッダーに格納されます。 クエリパラメータの使用 クエリ パラメータを使用すると、URLに認証情報を含めることができます。これは署名付 きURLと呼ばれ、特定のリソースへの一時的なアクセスを許可する場合に使用できます。署 名付きURLを使用すると、シークレット アクセス キーを知らないユーザでもリソースにア クセスできるため、他のユーザに制限付きアクセスを提供することができます。

サービスの処理

StorageGRID Webscaleシステムは、サービスに対して次の処理をサポートしています。 処理 実装

GET Service Amazon S3 REST APIのすべての動作が実装されていま

処理 実装

GET Storage Usage GET Storage Usage要求を使用すると、アカウントで使用し

ているストレージの総容量とアカウントに関連付けられ ているバケットごとの使用容量を確認できます。この処 理では、パス/とカスタム クエリ パラメータ（ ?x-ntap-sg-usage）を追加してサービスを操作します。 OPTIONS / クライアント アプリケーションからストレージ ノードの S3ポートにOPTIONS /要求を発行（S3認証クレデンシャル は不要）して、ストレージ ノードが使用可能かどうかを 確認できます。この要求は監視に使用できるほか、外部の ロード バランサがストレージ ノードの停止を特定する目 的でも使用できます。 関連資料

GET Storage Usage要求（57ページ）

バケットの処理

StorageGRID Webscaleシステムでは、S3テナント アカウントあたり最大1,000個のバケットが

サポートされます。

バケット名については、AWS US Standardリージョンの制限が適用されますが、S3仮想ホス ト形式の要求をサポートするためにDNSの命名規則にも従う必要があります。

GET Bucket (List Objects)処理とGET Bucket versions処理では、StorageGRID Webscaleの整合性

制御がサポートされます。

最終アクセス時間の更新が個々のバケットで有効になっているか無効になっているかを確 認することができます。

次の表に、StorageGRID WebscaleでのS3 REST APIバケット処理の実装方法を示します。これ らの処理を実行するには、必要なアクセス クレデンシャルがアカウントに付与されている 必要があります。

処理 実装

DELETE Bucket Amazon S3 REST APIのすべての動作が実装されていま

す。

DELETE Bucket cors この処理では、バケットのCORS設定が削除されます。 DELETE Bucket policy この処理では、バケットに関連付けられているポリシーが

削除されます。

DELETE Bucket replication この処理では、バケットに関連付けられているレプリケー

GET Bucket (List Objects), version 1 この処理では、バケット内のオブジェクトの一部またはす べて（最大1,000）が返されます。 オブジェクトのストレージ クラスは、 REDUCED_REDUNDANCYストレージ クラス オプションに よってオブジェクトを取り込んだ場合でも、常に STANDARDと表示されます。 多数のキーをトラバースする要求では、特別な処理が必要 になります。そのような要求からは、タイムアウトを回避 するために、切り捨てられた応答や空の応答が返されるこ とがあります。 完全な結果を取得するには、結果が切り捨てられたときの 通常の方法と同様に、markerパラメータを更新しながら 繰り返し要求を行う必要があります。NextMarkerが返さ れる場合は常にそのマーカーを使用します。StorageGRID

WebscaleのS3 REST APIの実装では、最後に返されたキー

よりも良い場合、Amazon S3 REST APIでは返されない状 況でNextMarkerが返されることがあります。

GET Bucket acl この処理では、バケットの所有者にバケットに対するフル

アクセスがあることを示す応答が返され、所有者のID、 表示名、および権限が表示されます。

GET Bucket cors この処理では、バケットのcors設定が返されます。 GET Bucket location この処理では、バケットのリージョンが返されます。デ

フォルトでは、PUT Bucket要求でLocationConstraint要

素を使用してリージョンが設定されていないかぎり、

us-east-1が返されます。

GET Bucket Object versions バケットに対するREADアクセスがある場合、versions

サブリソースを使用して、バケット内のオブジェクトのす べてのバージョンのメタデータのリストが表示されます。

GET Bucket notification この処理では、バケットに関連付けられている通知設定が

返されます。

GET Bucket policy この処理では、バケットに関連付けられているポリシーが

返されます。

GET Bucket replication この処理では、バケットに関連付けられているレプリケー

ション設定が返されます。

GET Bucket versioning versioningサブリソースを使用して、バケットのバー

ジョン管理の状態を取得できます。バケットがバージョ ン管理に対応していない場合は「Unversioned」、バージョ ン管理が有効になっている場合は「Enabled」、バージョン 管理が一時停止中の場合は「Suspended」が返されます。 HEAD Bucket この処理では、バケットが存在し、そのバケットへのアク セス権限があるかどうかが判断されます。

処理 実装 PUT Bucket この処理では、新しいバケットが作成されます。バケット を作成すると、そのバケットの所有者になります。 • バケット名は次のルールを満たす必要があります。 ◦ StorageGRID Webscaleシステム全体で（テナント ア カウント内だけではなく）一意である必要がありま す。 ◦ DNSに準拠している必要があります。 ◦ パスワードは3～63文字で指定する必要がありま す。 ◦ 1つまたは一連の複数のラベルを指定できます。隣 接するラベルはピリオドで区切ります。使用可能 な文字は、小文字のアルファベット、数字、ハイフ ンのみで、各ラベルの先頭と末尾の文字は小文字の アルファベットか数字にする必要があります。 ◦ _{テキスト形式のIPアドレスにはできません。} ◦ ピリオドが原因でサーバ ワイルドカード証明書の 検証で問題が発生するため、仮想ホスト形式の要求 でピリオドを使用しないでください。 • デフォルトではバケットはus-east-1リージョンに作 成されますが、要求の本文でLocationConstraint 要 求要素を使用し、別のリージョンを指定できます。 LocationConstraint要素を使用する場合は、Grid Managerまたはグリッド管理APIを使用して定義され たリージョンの正確な名前を指定する必要がありま す。使用すべきリージョン名がわからない場合は、シ ステム管理者にお問い合わせください。 注：StorageGRID Webscaleで定義されていないリー ジョンをPUT Bucket要求で使用すると、エラーが発 生します。 • PUT Bucket要求を使用する場合は、XML要求の本文に SGComplianceXML要素を含めることができます。 SGComplianceはカスタムのStorageGRID Webscale要素

で、準拠バケットを作成できます。

PUT Bucket cors この処理では、バケットのCORS設定を指定し、クロスオ

リジン要求を処理できるようにします。

Cross-Origin Resource Sharing（CORS）は、あるドメイン

のクライアントWebアプリケーションが別のドメインの リソースにアクセスできるようにするセキュリティ機能 です。たとえば、imagesという名前のS3バケットを使用 してグラフィックを格納するとします。imagesバケット に対してCORS設定を指定することで、そのバケット内の 画像をWebサイトhttp://www.example.comに表示でき ます。

PUT Bucket notification この処理では、要求の本文に含まれる通知設定XMLを使

用してバケットの通知を設定します。

実装に関する次の詳細事項に注意してください。

• StorageGRID Webscaleでは、Simple Notification Service

（SNS）のトピックがデスティネーションとしてサポー トされます。Simple Queue Service（SQS）エンドポイ ントまたはAmazon Lambdaエンドポイントはサポート されません。 • 通知のデスティネーションは、StorageGRID Webscaleエ ンドポイントのURNとして指定する必要があります。 エンドポイントは、Tenant Managerまたはテナント管理 APIを使用して作成できます。 通知設定が機能するためには、エンドポイントが存在 している必要があります。エンドポイントが存在しな い場合は、400 Bad Requestエラーがコード InvalidArgumentとともに返されます。 • s3:ReducedRedundancyLostObjectイベントの通知 はサポートされません。 • イベント通知メッセージではほとんどのキーに標準値 が使用されますが、次のキーは例外です。 ◦ eventSourceはsgws:s3を返します。 ◦ awsRegion：このキーは返されません。 ◦ x-amz-id-2：このキーは返されません。 ◦ arnはurn:sgws:s3:::bucket-name

PUT Bucket policy この処理では、バケットに関連付けられているポリシーが

処理 実装

PUT Bucket replication この処理では、要求の本文に含まれるレプリケーション設

定XMLを使用して、バケットのStorageGRID Webscale CloudMirrorレプリケーションが設定されます。 CloudMirrorレプリケーションについては、実装に関する 次の詳細事項に注意してください。 • バケット レプリケーションは、バージョン管理されて いるバケットでもバージョン管理されていないバケッ トでも設定できます。 • レプリケーション設定XMLの各ルールで異なるデス ティネーション バケットを指定できます。1つのソー ス バケットを複数のデスティネーション バケットに レプリケートできます。 • デスティネーション バケットは、Tenant Managerまた はテナント管理APIで指定されたStorageGRID WebscaleエンドポイントのURNとして指定する必要が あります。 レプリケーション設定が機能するためには、エンドポ イントが存在している必要があります。エンドポイン トが存在しない場合は、400 Bad Requestとして要求 が失敗します。エラー メッセージ：Unable to save

the replication policy. The specified endpoint URN does not exist: URN.

• 設定XMLでRoleを指定する必要はありません。この

値はStorageGRID Webscaleでは使用されず、送信されて も無視されます。

• 設定XMLでストレージ クラスを省略した場合、

StorageGRID WebscaleではデフォルトでSTANDARDスト

レージ クラスが使用されます。 • ソース バケットからオブジェクトを削除する場合、ま たはソース バケット自体を削除する場合、クロスリー ジョン レプリケーションは次のように動作します。 ◦ レプリケートの前にオブジェクトまたはバケット を削除すると、オブジェクトまたはバケットはレプ リケートされず、通知は届きません。 ◦ レプリケートのあとにオブジェクトまたはバケッ トを削除すると、StorageGRID Webscaleは、クロス リージョン レプリケーションに対するAmazon S3 の通常の削除動作に従います。

PUT Bucket versioning versioningサブリソースを使用して、既存のバケットの バージョン管理の状態を設定できます。バージョン管理 の状態は、次のいずれかの値に設定できます。 • Enabled：バケット内のオブジェクトに対してバージョ ン管理を有効にします。バケットに追加されるすべて のオブジェクトに、一意のバージョンIDが割り当てら れます。 • Suspended：バケット内のオブジェクトに対してバー ジョン管理を無効にします。バケットに追加されるす べてのオブジェクトに、バージョンID nullが割り当て られます。 関連概念 整合性制御（13ページ） バケットとグループのアクセス ポリシー（58ページ） 監査ログで追跡されるS3処理（82ページ） 関連資料

GET Bucket last access time要求（48ページ） 準拠のためのPUT Bucket要求の変更（41ページ）

関連情報

Amazon Web Services（AWS）ドキュメント：「Cross-Region Replication」 テナント ユーザ ガイド

バケットのカスタム処理

StorageGRID Webscaleシステムでは、S3 REST APIに追加されたシステム固有のカスタム バ

ケット処理をサポートしています。 次の表に、StorageGRID Webscaleでサポートされるカスタム バケット処理を示します。 処理 説明 詳細情報 PUT Bucket modifications for compliance 準拠バケットを作成し、そ のバケットの準拠設定を指 定します。 準拠のためのPUT Bucket要求の変更（41 ページ） GET Bucket compliance 作成した準拠バケットに対 して現在適用されている準 拠設定を返します。

GET Bucket compliance要求（42ページ）

PUT Bucket compliance

作成した既存の準拠バケッ トの準拠設定を変更できま す。

PUT Bucket compliance要求（44ページ）

GET Bucket consistency

特定のバケットに適用され ている整合性レベルを返し ます。

処理 説明 詳細情報 PUT Bucket consistency 特定のバケットに適用され る整合性レベルを設定しま す。

PUT Bucket consistency要求（47ページ）

GET Bucket last access time 特定のバケットで最終アク セス時間の更新が有効に なっているか無効になって いるかを返します。

GET Bucket last access time要求（48ページ）

PUT Bucket last access time 特定のバケットの最終アク セス時間の更新を有効また は無効にできます。

PUT Bucket last access time要求（49ページ）

DELETE Bucket metadata notification configuration 特定のバケットに関連付け られているメタデータ通知 設定XMLを削除します。

DELETE Bucket metadata notification configuration要求（50ページ） GET Bucket metadata notification configuration 特定のバケットに関連付け られているメタデータ通知 設定XMLを返します。

GET Bucket metadata notification configuration要求（50ページ） PUT Bucket metadata notification configuration バケットのメタデータ通知

サービスを設定します。 PUT Bucket metadata notification configuration要求（53ページ）

関連概念

監査ログで追跡されるS3処理（82ページ）

オブジェクトの処理

このセクションでは、StorageGRID WebscaleシステムでオブジェクトのS3 REST API処理を実 装する方法について説明します。

すべてのオブジェクトの処理に次の条件が適用されます。

• オブジェクトの処理では、GET Object ACLとOPTIONS /を除くすべての処理で

StorageGRID Webscaleの整合性制御がサポートされます。 • 競合するクライアント要求（2つのクライアントが同じキーに書き込む場合など）は、 「latest-wins」ベースで解決されます。「latest-wins」評価は、S3クライアントが処理を開始 するタイミングではなく、StorageGRID Webscaleシステムが特定の要求を完了したタイミ ングで行われます。 • StorageGRID Webscaleバケット内のオブジェクトは、匿名ユーザまたは別のアカウントが 作成したオブジェクトも含めて、すべてバケット所有者によって所有されます。

• Swiftを使用してStorageGRID Webscaleシステムに取り込まれたデータ オブジェクトにS3

DELETE Object 多要素認証（MFA）と応答ヘッダーx-amz-mfaはサポートされて いません。 バージョン管理 特定のバージョンを削除するには、バケットの所有者が versionIdサブリソースを使用して要求を行う必要があります。 このサブリソースを使用すると、バージョンが完全に削除されま す。versionIdが削除マーカーに対応している場合は、応答ヘッ ダーx-amz-delete-markerがtrueに設定されて返されます。 • バージョン管理が有効になっているバケットでversionIdサ ブリソースを指定せずにオブジェクトを削除すると、削除 マーカーが生成されます。削除マーカーのversionIdが x-amz-version-id応答ヘッダーを使用して返され、 x-amz-delete-marker応答ヘッダーがtrueに設定されて返されま す。 • バージョン管理が一時停止中のバケットでversionIdサブリ ソースを指定せずにオブジェクトを削除すると、既存の 「null」バージョンまたは「null」削除マーカーが完全に削除さ れ、新しい「null」削除マーカーが生成されます。 x-amz-delete-marker応答ヘッダーがtrueに設定されて返されま す。 DELETE Multiple Objects 多要素認証（MFA）と応答ヘッダーx-amz-mfaはサポートされて いません。 1つの要求メッセージで複数のオブジェクトを削除できます。

注：DELETE Multiple Objects要求は、バージョン管理が有効に

なっているバケットではサポートされません。

PUT Object処理とは異なり、DELETE Multiple Objects処理では、 Transfer-Encoding:chunked属性とContent-Encoding:gzip属性はサ

ポートされません。

DELETE Object tagging taggingサブリソースを使用して、オブジェクトからすべてのタ

グが削除されます。Amazon S3 REST APIのすべての動作が実装 されています。 バージョン管理 要求にversionIdクエリ パラメータが指定されていない場合 は、バージョン管理されたバケット内のオブジェクトの最新バー ジョンからすべてのタグが削除されます。オブジェクトの最新 バージョンが削除マーカーの場合は、「MethodNotAllowed」ステー タスが返され、x-amz-delete-marker応答ヘッダーがtrueに設 定されます。

処理 実装 GET Object 次の要求ヘッダーはサポートされていません。指定した場合は XNotImplementedが返されます。 • x-amz-restore • x-amz-website-redirect-location バージョン管理 versionIdサブリソースが指定されていない場合、バージョン管 理が有効になっているバケットでは、オブジェクトの最新バー ジョンが取得されます。オブジェクトの最新バージョンが削除

マーカーの場合は、「Not Found」ステータスが返され、

x-amz-delete-marker応答ヘッダーがtrueに設定されます。

GET Object ACL アカウントに必要なアクセス クレデンシャルがある場合、オブ

ジェクトの所有者にオブジェクトに対するフル アクセスがある ことを示す応答が返され、所有者のID、表示名、および権限が表 示されます。

GET Object tagging taggingサブリソースを使用して、オブジェクトのすべてのタグ

が返されます。Amazon S3 REST APIのすべての動作が実装され ています。 バージョン管理 要求にversionIdクエリ パラメータが指定されていない場合 は、バージョン管理されたバケット内のオブジェクトの最新バー ジョンからすべてのタグが返されます。オブジェクトの最新 バージョンが削除マーカーの場合は、「MethodNotAllowed」ステー タスが返され、x-amz-delete-marker応答ヘッダーがtrueに設 定されます。 HEAD Object 次の要求ヘッダーはサポートされていません。指定した場合は XNotImplementedが返されます。 • x-amz-restore • x-amz-website-redirect-location バージョン管理 versionIdサブリソースが指定されていない場合、バージョン管 理が有効になっているバケットでは、オブジェクトの最新バー ジョンが取得されます。オブジェクトの最新バージョンが削除

マーカーの場合は、「Not Found」ステータスが返され、

x-amz-delete-marker応答ヘッダーがtrueに設定されます。 PUT Object PUT Object（30ページ）

PUT Object tagging taggingサブリソースを使用して、既存のオブジェクトに一連の

タグが追加されます。Amazon S3 REST APIのすべての動作が実 装されています。 競合の解決 競合するクライアント要求（2つのクライアントが同じキーに書 き込む場合など）は、 「latest-wins」ベースで解決されます。「latest-wins」評価は、S3クライアントが処理を開始するタイミングでは なく、StorageGRID Webscaleシステムが特定の要求を完了したタ イミングで行われます。 バージョン管理 要求にversionIdクエリ パラメータが指定されていない場合 は、バージョン管理されたバケット内のオブジェクトの最新バー ジョンにタグが追加されます。オブジェクトの最新バージョン が削除マーカーの場合は、「MethodNotAllowed」ステータスが返 され、x-amz-delete-marker応答ヘッダーがtrueに設定されま す。 関連概念 整合性制御（13ページ） 監査ログで追跡されるS3処理（82ページ）

PUT Object

このセクションでは、StorageGRID WebscaleでのS3 PUT Object処理のサポートの詳細を説明 します。 競合の解決 競合するクライアント要求（2つのクライアントが同じキーに書き込む場合など）は、 「latest-wins」ベースで解決されます。「latest-wins」評価は、S3クライアントが処理を開始するタイ ミングではなく、StorageGRID Webscaleシステムが特定の要求を完了したタイミングで行わ れます。 オブジェクトのサイズ StorageGRID Webscaleは、サイズが最大5TBのオブジェクトをサポートします。 オブジェクトの所有権 StorageGRID Webscaleでは、非所有者アカウントまたは匿名ユーザによって作成されたオブ ジェクトを含むすべてのオブジェクトが、バケット所有者アカウントによって所有されま す。 ストレージクラスのオプション x-amz-storage-class要求ヘッダーがサポートされています。指定できる値は次のとおり です。 • STANDARD （デフォルト）デュアルコミットの取り込み処理を指定します。オブジェクトが取り込ま れるとすぐにそのオブジェクトの2つ目のコピーが作成され、別のストレージ ノードに分 散されます。オブジェクトがアクティブ ポリシー内のILMルールに一致した場合、デュ アル コミットによる初期コピーがルールの配置手順を満たしているかどうかが

StorageGRID Webscaleによって判断されます。満たしていない場合、オブジェクトはILM 評価キューに追加されます。オブジェクトが再評価される際、新しいオブジェクトのコ ピーを別の場所に作成して、デュアル コミットによる初期コピーを削除することが必要 になる場合があります。 • REDUCED_REDUNDANCY シングルコミットの取り込み処理を指定します。取り込み時に冗長なストレージを制限 する必要がある場合で、オブジェクト データが失われるリスクがあっても構わない場合 にのみ、REDUCED_REDUNDANCYを指定します。たとえば、ILM評価の前にコピーが1つだ け格納されていたストレージ ノードに障害が発生すると、データが失われる恐れがあり ます。 REDUCED_REDUNDANCYの指定は、オブジェクトを最初に取り込む際に作成されるコピー数 のみに影響します。アクティブなILMポリシーによる評価の際に作成されるオブジェク トのコピー数には影響しません。REDUCED_REDUNDANCYを使用することで、StorageGRID Webscaleシステムに格納されるオブジェクトの冗長性が低下するわけではありません。 注：S3準拠バケットにオブジェクトを取り込む場合は、REDUCED_REDUNDANCYオプショ ンは使用できません。これは、アクティブなILMポリシーによるオブジェクトの評価 の前に、コンプライアンス要件が満たされている（各オブジェクトのコピーが2つあ る）ことを確認するためのものです。StorageGRID Webscaleの管理手順を参照してくだ さい。 要求ヘッダー 次の要求ヘッダーがサポートされています。 • x-amz-tagging • x-amz-server-side-encryption • x-amz-meta-。後ろに、ユーザ定義のメタデータを含む名前と値のペアを付加 ユーザ定義のメタデータの名前と値のペアを指定する場合、一般的な形式は次のとおり です。 x-amz-meta-name: value

ILMルールの参照時間に[User Defined Creation Time]オプションを使用する場合、オブ

ジェクトの作成時間を記録するメタデータの名前には、creation-timeを使用する必要 があります。次に例を示します。 x-amz-meta-creation-time: 1443399726 creation-timeの値は、1970年1月1日を起点とした秒数として評価されます。 注：S3準拠バケットにオブジェクトを追加する場合は、ユーザ定義のメタデータとし てcreation-timeを追加することはできません。エラーが返されます。 次の要求ヘッダーは、次の値を指定した場合のみサポートされます。 • Transfer-Encoding:chunked • Content-Encoding:aws-chunked 注：Content-Encodingでその他の値を送信すると、予期しない結果が生じたり、認識 不能なコーディング方式やMD5の検証の失敗によるエラーが発生したりする可能性が あります。 次の要求ヘッダーはサポートされていません。

• x-amz-acl 次の要求ヘッダーはサポートされていません。指定した場合はXNotImplementedが返され ます。 • x-amz-server-side-encryption-customer-algorithm • x-amz-server-side-encryption-customer-key • x-amz-server-side-encryption-customer-key-MD5 • x-amz-website-redirect-location バージョン管理 バケットでバージョン管理が有効になっている場合、格納されるオブジェクトのバージョン

ごとに一意のversionIdが自動的に生成されます。このversionIdは、x-amz-version-id

応答ヘッダーを使用した応答でも返されます。 バージョン管理が一時停止中の場合は、versionIdがnullの状態でオブジェクトのバージョ ンが格納され、nullのバージョンがすでに存在する場合は上書きされます。 関連概念 バケットの処理（21ページ） 関連情報 StorageGRID Webscale管理者ガイド

PUT Object - Copy

このセクションでは、StorageGRID WebscaleでのS3 PUT Object - Copy処理の詳細を説明しま す。 競合の解決 競合するクライアント要求（2つのクライアントが同じキーに書き込む場合など）は、 「latest-wins」ベースで解決されます。「latest-wins」評価は、S3クライアントが処理を開始するタイ ミングではなく、StorageGRID Webscaleシステムが特定の要求を完了したタイミングで行わ れます。 ストレージクラスのオプション x-amz-storage-class要求ヘッダーがサポートされています。指定できる値は次のとおり です。 • STANDARD （デフォルト）デュアルコミットの取り込み処理を指定します。 • REDUCED_REDUNDANCY シングルコミットの取り込み処理を指定します。 注：S3準拠バケットにオブジェクトを取り込む場合は、REDUCED_REDUNDANCYオプショ ンは使用できません。これは、アクティブなILMポリシーによるオブジェクトの評価 の前に、コンプライアンス要件が満たされている（各オブジェクトのコピーが2つあ る）ことを確認するためのものです。StorageGRID Webscaleの管理手順を参照してくだ さい。