Object Storage Service:OSS へのカスタムドメイン名を使用したアクセス

ステップ 1: カスタムドメイン名のマッピング

1. バケットリスト ページに移動し、目的のバケット名をクリックして、左側のナビゲーションウィンドウで バケットの設定 > ドメイン名 をクリックします。次に、カスタムドメイン名のマッピング をクリックします。

2. マッピングするドメイン名を入力します。システムが自動的に、そのドメイン名がマッピング要件を満たしているかどうかをチェックします。ドメイン名が現在のAlibaba Cloudアカウントに属している場合、OK をクリックしてマッピングを完了できます 。ドメイン名が別のAlibaba Cloudアカウントに属している場合、または別のドメインネームサービスプロバイダーによって管理されている場合は、ドメイン所有権の検証を行う必要があります。以下の手順では、Alibaba Cloudから購入したドメイン名を例として使用します：

   1. ドメイン名を所有する Alibaba Cloud アカウントで、Alibaba Cloud DNS コンソールにログインします。対象のドメイン名を見つけ、操作列の解決設定をクリックします。

   2. 「Add Record」をクリックします。以下のリストに指定されている通り、レコード情報を入力します。その他のすべての設定項目については、デフォルト設定をそのまま使用します。

      • レコードタイプ: TXT を選択します。

      • ホストレコード: ホストレコードのプレフィックスのみを入力します（例: _dnsauth）。サブドメイン（例: image.example.com）をマッピングする場合は、サブドメインのプレフィックスも追加する必要があります。たとえば、_dnsauth.image を入力します。

      • レコード値: OSS コンソールに表示されるレコード値を入力します。

   3. OK をクリックします。Change Resource Record Confirmation ウィンドウが表示された場合は、もう一度 OK をクリックします。

   4. OSS コンソールに戻って、ドメイン名の所有権の確認 をクリックして、ドメイン名をバケットにマップします。

ステップ 2: CNAME レコードの構成

ドメイン名をマッピングした後、カスタムドメイン名はまだアクティブではありません。カスタムドメイン名を OSS エンドポイントにポイントするように CNAME レコードを構成する必要があります。

ドメイン名が現在の Alibaba Cloud アカウントに属している場合、コンソールで CNAMEレコードを自動的に追加する を選択できます。システムが自動的に CNAME 構成を完了します 。その他の場合は、レコードを手動で構成する必要があります。以下の手順では、Alibaba Cloud で購入したドメイン名を例に説明します。

1. ドメイン名を所有する Alibaba Cloud アカウントでAlibaba Cloud DNS コンソールにログインし、ターゲットドメイン名を見つけて [操作] 列の解決設定をクリックします。

2. Add Recordをクリックします。次の一覧に従ってレコード情報を入力します。その他すべての設定項目は、デフォルト設定のままにします。

   • レコードタイプ: CNAME を選択します。

   • ホストレコード: ルートドメインをマッピングする場合は、@ を入力します。サブドメイン（例: image.example.com）をマッピングする場合は、サブドメインのプレフィックスを入力します。たとえば、image を入力します。

     説明

     同じ名前の A レコードがすでに存在する場合、CNAME レコードを追加する前に A レコードを削除する必要があります。同じホスト名に対して 2 種類のレコードは共存できません。A レコードが使用中である場合 (例: ECS インスタンスまたは WAF を指している場合)、既存のサービスへの影響を避けるために、新しいサブドメインを使用して OSS にマッピングすることを推奨します。

   • レコード値: ご使用のビジネス シナリオに基づいて、宛先ドメイン名を入力します。

     シナリオ	レコード値
     パブリックアクセス	CNAME (推奨、例: example-bucket.<region-id>.taihangcda.cn) またはパブリックエンドポイント
     転送アクセラレーションアクセス	アクセラレーションエンドポイント (例: example-bucket.oss-accelerate.aliyuncs.com)

3. [OK] をクリックします。[リソースレコードの変更確認] ウィンドウが表示された場合は、もう一度 [OK] をクリックします。

ステップ 3: カスタムドメイン名を使用したアクセスの検証

ドメイン名をマッピングし、CNAME レコードを構成した後、以下の方法を使用してカスタムドメイン名がアクティブであることを確認します。

ベストプラクティス

• 安全な転送： HTTPS の有効化

  カスタムドメイン名に SSL 証明書を設定して、HTTPS アクセスを強制します。HTTPS プロトコルは TLS/SSL を使用して転送中のデータを暗号化し、データの傍受や改ざんを防ぎます。これにより、ブラウザに「保護されていない通信」という警告が表示されるのを防ぎ、ユーザーの信頼とブランドイメージを向上させます。

• クロスオリジンアクセス： CORS ルールの設定

  https://web.example.com などにデプロイされたフロントエンドアプリケーションが、https://oss.example.com のような異なるドメインにある OSS リソースにアクセスする必要がある場合は、CORS ルールを設定する必要があります。これらのルールにより、アプリケーションのドメインからのクロスオリジンリクエストが許可され、フロントエンドアプリケーションが OSS リソースにアクセスできるようになります。

• スムーズな本番稼働： ゼロダウンタイムでのドメイン切り替え

  バケットのエンドポイントからマッピングされたカスタムドメイン名に切り替える必要がある場合は、サービスの中断を避けるために、以下の段階的な戦略を使用します。

  1. 準備フェーズ： ドメイン名のマッピングと CNAME 設定を完了します。ステージング環境で機能とパフォーマンスを検証します。

  2. カナリアリリースフェーズ (オフピーク時に推奨)： トラフィックの一部を段階的にカスタムドメイン名に切り替えます。

  3. 検証フェーズ： アクセスログとエラー率を監視し、サービスが期待どおりに実行されていることを確認します。

  4. 完全リリースフェーズ： すべてのトラフィックをカスタムドメイン名に切り替えて、移行を完了します。

  5. ロールバック手順： 問題が発生した場合は、直ちにバケットのエンドポイントにロールバックし、根本原因を分析して再デプロイします。

• パフォーマンスとセキュリティ： サブドメインによる使用の分離

  静的 Web リソース用の static.example.com や画像リソース用の images.example.com のように、ビジネス目的ごとに異なるサブドメインを割り当てます。このドメイン分離戦略は、ブラウザの同時接続の最適化、独立したキャッシュポリシーの設定、および詳細なアクセス制御の実装に役立ちます。

• 機能拡張： 静的 Web サイトのホスティング

  OSS で完全な静的 Web サイト (HTML、CSS、JS ファイルを含む) をホスティングするには、カスタムドメイン名をマッピングした後に 静的 Web サイトホスティングを設定します。これにより、デフォルトのインデックスページや 404 エラーページなどの基本的な Web サイト機能が有効になります。

• パフォーマンスの最適化： CDN アクセラレーションの設定

  世界中のユーザーに静的リソースを配信する必要があるユースケースでは、CDN サービスを設定することを推奨します。これにより、世界中に分散されたエッジノードにコンテンツがキャッシュされ、アクセスレイテンシーが低下し、ユーザーエクスペリエンスが向上します。

リスク防止

• ホットリンク保護： Referer ベースのホットリンク保護の設定

  他の Web サイトが画像や動画などのリソースを使用し、不要なトラフィックコストや帯域幅の消費が発生するのを防ぐには、Referer ベースのホットリンク保護を設定します。ホワイトリストを使用してアクセス元を制限することで、コストを効果的に管理し、リソースを不正利用から保護できます。

• 動作監査とトラブルシューティング： アクセスログの有効化

  OSS の リアルタイムログクエリを有効にすると、アクセス時間、送信元 IP、リクエストタイプ、応答ステータスなど、すべてのアクセスリクエストに関する詳細情報が記録されます。これにより、セキュリティ監査、パフォーマンス分析、トラブルシューティングが容易になります。

カスタムドメイン名経由でアクセスする際に、ファイルのプレビューまたはダウンロードを制御するにはどうすればよいですか？

Content-Disposition HTTP レスポンスヘッダーは、ファイルのプレビューまたはダウンロードを決定します。OSS が提供するデフォルトドメイン名を使用してファイルにアクセスする場合、OSS はセキュリティのために Content-Disposition: attachment ヘッダーの追加を強制します。ただし、カスタムドメイン名経由でファイルにアクセスする場合、OSS はこのヘッダーを追加しないため、動作を制御できます。

• プレビューを有効にするには: カスタムドメイン名を使用してファイルにアクセスし、オブジェクトのメタデータに Content-Disposition: attachment ヘッダーが設定されていないこと、およびオブジェクトの Content-Type (MIME タイプ) がファイル形式と正しく一致していることを確認します。ブラウザでネイティブにサポートされていないファイル形式の場合、以下の方法でプレビュー機能を拡張します。

  • .doc、.ppt、.pdf などの Office ファイルの場合、WebOffice オンラインプレビュー サービスを統合します。

  • .mov などの特殊なビデオ形式の場合、ビデオトランスコーディング サービスを使用して、Web 互換形式に変換してプレビューします。

  • 対応するファイルタイプのブラウザプラグインをインストールします。

• 強制ダウンロードするには: オブジェクトの Content-Disposition メタデータを手動で attachment に設定します。これにより、ブラウザはプレビューの試行をスキップし、ファイルを直接ダウンロードします。

  説明

  <video> または <audio> HTML タグは、メディアの再生を優先し、attachment ダウンロード指示を無視する場合があります。

ドメインがすでに別のバケットにマッピングされているというメッセージが表示され、ドメインマッピングが失敗した場合はどうすればよいですか？

ドメインがすでに別のバケットにマッピングされている場合は、次のいずれかのソリューションを使用してください。

• 現在のビジネスに新しいサブドメインを使用します。example.com ドメインがすでに別のバケットにマッピングされている場合、マッピングには image.example.com のような新しいサブドメインを使用します。これにより、ドメインレベルでサービスを分離できます。

• 元のバケットからドメインのマッピングを解除し、ターゲットバケットにマッピングします。ドメインのマッピングを解除するには、次の手順に従います。

  1. CDN アクセラレーションを有効にしている場合は、CDN back-to-origin エラーを防ぐために、まず CDN サービスでオリジンサーバー情報を変更し、CDN ドメイン名が OSS バケットエンドポイントを指さないようにする必要があります。詳細については、「オリジンサーバーの構成」をご参照ください。

  2. バケットリスト ページに移動し、ドメインが現在マッピングされているバケットの名前をクリックします。左側のナビゲーションウィンドウで、バケットの設定 > ドメイン名 をクリックします。

  3. ドメインリストでターゲットドメインを見つけ、アクション列の アンタイド をクリックします。表示されるダイアログボックスで、OK をクリックしてドメインのマッピングを解除します。

API を使用してドメイン名をマッピングする際に、NeedVerifyDomainOwnership エラーが表示された場合はどうすればよいですか？

このエラーは、ドメインの所有権を検証していないことを示しています。次の手順を実行して、この問題を解決できます。

1. ドメインの所有権の検証に必要な CnameToken を作成するには、CreateCnameToken 操作を呼び出します。

   説明

   デフォルトでは、CnameToken は作成後 72 時間で有効期限が切れます。有効期限が切れる前にトークンを再度作成しようとすると、既存の CnameToken が返されます。

2. ドメインの所有権の検証を完了するには、ドメイン名サービスプロバイダーで TXT レコードを設定します。

3. カスタムドメイン名をマッピングするには、PutCname 操作を呼び出します。

カスタムドメイン名が機能しない、または構成後に古いアドレスを指しているのはなぜですか？

これは、ご利用のローカルマシンおよびキャリアにおける DNS キャッシュの遅延が原因である可能性があります。解決効率を向上させるため、さまざまなレベルの DNS ノードは、TTL 値によって決定される期間、ドメイン解決結果をキャッシュします。CNAME レコードを変更した後、TTL の有効期限が切れるまで、古いキャッシュが引き続きリクエストを古いアドレスに転送する場合があります。10 分間待ってから再試行するか、ローカル DNS キャッシュを手動でクリアすることを推奨します。

ipconfig /flushdns

sudo dscacheutil -flushcache; sudo killall -HUP mDNSResponder

sudo systemd-resolve --flush-caches

CNAME レコードを追加する際に、既存の A レコードとの競合が報告された場合はどうすればよいですか？

DNS プロトコル仕様によると、CNAME レコードは同じホスト名の A レコードと共存できません。ご利用のドメイン名にすでに別のサービス (ECS や WAF など) を指す A レコードがある場合、2 つのソリューションがあります。

• 新しいサブドメインを使用して OSS にマッピングします。たとえば、ルートドメイン example.com にすでに A レコードがある場合、oss.example.com を使用して OSS にマッピングできます。この 2 つは互いに干渉しません。

• 現在のドメイン名を使用する必要がある場合は、CNAME レコードを追加する前に A レコードを削除する必要があります。A レコードを削除する前に、それに依存するサービスがないことを確認してください。そうしないと、元のサービスが中断される可能性があります。

「ドメイン B がドメイン A に CNAME され、ドメイン A が OSS にマッピングされている」場合にアクセスが失敗するのはなぜですか？

OSS は HTTP リクエストヘッダーの Host フィールドを厳密に検証し、バケットに実際にアタッチされているドメイン名と正確に一致することを要求します。ドメイン B にアクセスすると、Host ヘッダーには domain B が含まれますが、これはアタッチされたドメイン名と一致しないため、検証が失敗します。したがって、ドメイン名間の CNAME 転送を通じて実装するのではなく、パブリックネットワークアクセスに使用されるドメイン名をバケットに直接アタッチする必要があります。

カスタムドメイン名をマッピングした後も、古いファイル URL を使用できますか？

はい、可能です。カスタムドメイン名をマッピングしても、OSS が提供するデフォルトドメイン名経由のアクセスには影響しません。両方の方法を共存させることができます。古いファイル URL を取得するには、「署名付き URL を使用してファイルをダウンロードまたはプレビューする」をご参照ください。

カスタムドメイン名が OSS バケットにマッピングされた後、パブリックエンドポイント経由でのみアクセスできますか？内部エンドポイントにマッピングできますか？

OSS バケットにマッピングされたカスタムドメイン名は、パブリックネットワークアクセス専用であり、内部ネットワークアクセスには使用できません。

OSS のカスタムドメイン名機能は、DNS サービスプロバイダーで CNAME レコードを作成することで動作します。このレコードは、ご利用のドメインを OSS バケットのパブリックエンドポイント (例: example-bucket.oss-<region-id>.aliyuncs.com) にマッピングします。このメカニズムは、独自のドメイン経由で OSS リソースへのパブリックアクセスを可能にするように設計されています。

対照的に、内部ネットワークアクセスでは、Alibaba Cloud が提供する内部エンドポイント (例: oss-<region-id>-internal.aliyuncs.com) を使用する必要があります。このプライベートアクセスは、バケットと同じリージョンおよび VPC 内にある Alibaba Cloud リソース (ECS や Function Compute など) に制限されます。内部エンドポイントはパブリック DNS では解決できず、CNAME レコードのターゲットにはできないため、カスタムドメイン名は内部ネットワークアクセスには使用できません。

カスタムドメイン名を使用すると、リソースファイルへの HTTP リクエストが HTTPS に強制リダイレクトされるのはなぜですか？

これは、ご利用のカスタムドメイン名で HTTPS への強制リダイレクト機能が有効になっているためです。この設定により、すべての受信 HTTP リクエストが自動的に HTTPS 相当にリダイレクトされます。

OSS 自体は強制リダイレクトをサポートしていませんが、この動作は CDN レベルで有効になります。カスタムドメイン名と HTTPS 証明書で CDN を使用する場合、CDN HTTPS 設定で強制リダイレクト (HTTP → HTTPS) オプションをアクティブ化できます。これにより、CDN は任意の HTTP リクエストに対して 301/302 レスポンスを返し、ブラウザに HTTPS 経由でリクエストを再送信するように促します。

リソースファイルへの HTTP アクセスを許可したい場合は、CDN コンソールに移動し、関連するドメイン名を見つけて、リダイレクトタイプ を デフォルト (HTTP と HTTPS の両方をサポート) に変更します。詳細については、「プロトコルリダイレクトの構成」をご参照ください。