日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAP S3バケットのクロスオリジンリソース共有（CORS）を設定する

01/23/2026 共同作成者

PDF

ONTAP 9.16.1以降では、クライアントWebアプリケーションが複数のドメインからONTAPバケットにアクセスできるように、Cross-Origin Resource Sharing（CORS）を設定できます。これにより、Webブラウザを使用したバケットオブジェクトへのセキュアなアクセスが実現されます。

CORSはHTTPを基盤としたフレームワークで、あるWebページで定義されたスクリプトが別のドメインのサーバ上のリソースにアクセスできるようにします。このフレームワークは、Webセキュリティの初期の基盤である_同一生成元ポリシー_を安全に回避するために使用されます。主要な概念と用語については以下で説明します。

キャッシュ元

オリジンによって、リソースの場所とIDが正確に定義されます。以下の値の組み合わせで表されます。

URIスキーム（プロトコル）
ホスト名（ドメイン名またはIPアドレス）
ポート番号

以下はオリジンの簡単な例です： https://www.mycompany.com:8001。オリジンを CORS で使用すると、リクエスト元のクライアントが識別されます。

同一オリジンポリシー

同一オリジンポリシー（SOP）は、ブラウザベースのスクリプトに適用されるセキュリティ上の概念と制限です。このポリシーにより、あるWebページから最初に読み込まれたスクリプトが、別のページのデータにアクセスできるようになります。ただし、両方のページが同じオリジンにあることが条件になります。この制限により、悪意のあるスクリプトが別のオリジンにあるページのデータにアクセスするのを防げます。

CORSの一般的なユースケース

CORSには、一般的なユースケースがいくつかあります。ほとんどのケースで、AJAXリクエスト、フォント / スタイルシート / スクリプトの読み込み、クロスドメイン認証など、明確に定義されたクロスドメインアクセスのインスタンスが関係します。CORSは、シングルページアプリケーション（SPA）の一部として実装することもできます。

HTTPヘッダー

CORSは、HTTPリクエストとレスポンスに挿入されるヘッダーを使用して実装されます。例えば、アクセス制御を実装し、メソッドやヘッダーを含む許可される操作を示すレスポンスヘッダーがいくつかあります。HTTPリクエストに_Origin_ヘッダーが存在する場合、そのリクエストはクロスドメインリクエストとして定義されます。origin値は、CORSサーバーが有効なCORS設定を見つけるために使用されます。

HTTPプリフライト要求

これは、特定のメソッドやヘッダーなど、サーバがCORSをサポートしているかどうかを最初に確認するために使用されるオプションの要求です。応答に基づいて、CORS要求を完了できるかどうかが決まります。

ONTAPバケット

バケットは、明確に定義されたネームスペースに基づいて格納、アクセスされるオブジェクトのコンテナです。以下の2種類のONTAPバケットがあります。

NASバケット：NASプロトコルとS3プロトコルでアクセス可能
S3バケット：S3プロトコルでのみアクセス可能

ONTAPでのCORSの実装

ONTAP 9.16.1以降のリリースでは、CORSがデフォルトで有効になっています。CORSは、アクティブにするSVMごとに設定する必要があります。

ONTAPクラスタでCORSを無効にする管理オプションはありません。ただし、ルールを定義しないか、既存のルールをすべて削除することで、CORSを実質的に無効にできます。

想定されるユースケース

ONTAP CORSの実装では、クロスドメインリソースアクセスのために、以下のようないくつかのトポロジが有効になります。

ONTAP S3バケット（同一または異なるSVMまたはクラスタ内）
ONTAP NASバケット（同一または異なるSVMまたはクラスタ内）
ONTAP S3バケットとNASバケット（同一または異なるSVMまたはクラスタ内）
ONTAPバケットと外部ベンダーバケット
異なるタイムゾーンのバケット

概要図

下の図は、CORSによってONTAP S3バケットへのアクセスが可能になる仕組みを示しています。

CORS を使用した S3 バケットへのアクセス

CORSルールの定義

機能をアクティブ化して使用するには、ONTAPでCORSルールを定義する必要があります。

設定の操作

ONTAPでは、以下の3つの基本的なルール設定の操作がサポートされています。

表示
作成
削除

ONTAPで定義されるCORSルールには、SVMとバケットや、許可されるオリジン、メソッド、ヘッダーなど、いくつかのプロパティがあります。

管理オプション

ONTAPクラスタでのCORSの管理には、いくつかのオプションがあります。

ONTAPコマンドラインインターフェイス

CORSはコマンドラインインターフェイスを使用して設定できます。詳細については、CLIを使用したCORSの管理を参照してください。

ONTAP REST API

ONTAP REST APIを使用してCORSを設定できます。CORS機能をサポートする新しいエンドポイントは追加されていません。代わりに、以下の既存のエンドポイントを使用できます。

/api/protocols/s3/services/{svm.uuid}/buckets/{bucket.uuid}

詳細については、 "ONTAP自動化ドキュメント"をご覧ください。

S3 API

S3 APIを使用してONTAPバケットでのCORSの設定を作成、削除できます。S3クライアント管理者には、以下のことに関する十分な権限が必要です。

アクセスキーまたはシークレットキーのクレデンシャル
s3api経由のアクセスを許可するようにバケットに設定されたポリシー

アップグレードとリバート

CORSを使用してONTAP S3バケットにアクセスする予定がある場合は、いくつかの管理上の問題に注意する必要があります。

アップグレード

CORS機能は、すべてのノードが9.16.1にアップグレードされている場合にサポートされます。混在モードのクラスタでは、有効なクラスタバージョン（ECV）が9.16.1以降の場合にのみ、CORS機能を使用できます。

リバート

ユーザ側の観点では、クラスタのリバートを続行する前に、すべてのCORS設定を削除する必要があります。内部的には、処理により、すべてのCORSデータベースが削除されます。これらのデータ構造をクリアしてリバートするコマンドの実行を求めるメッセージが表示されます。

CLIを使用したCORSの管理

ONTAP CLIを使用してCORSルールを管理できます。主な操作については以下で説明します。CORSコマンドを実行するには、ONTAPの*admin*権限レベルが必要です。

作成

CORSルールは `vserver object-store-server bucket cors-rule create`コマンドを使って定義できます。 `vserver object-store-server bucket cors-rule create`の詳細については、"ONTAPコマンドリファレンス"を参照してください。

パラメータ

ルールの作成に使用するパラメータを以下にまとめています。

パラメータ概要

パラメータ	概要
`vserver`	ルールが作成されるオブジェクトストアサーババケットをホストするSVM（vserver）の名前を指定します。
`bucket`	ルールが作成されるオブジェクトストアサーバーのバケットの名前。
`index`	ルールが作成されるオブジェクトストアサーババケットのインデックスを示すオプションのパラメータ。
`rule id`	オブジェクトストアサーバーバケットルールの一意の識別子。
`allowed-origins`	クロスオリジンリクエストの発信が許可されるオリジンのリスト。
`allowed-methods`	クロスオリジンリクエストで許可されるHTTPメソッドのリスト。
`allowed-headers`	クロスオリジンリクエストで許可されるHTTPヘッダーのリスト。
`expose-headers`	顧客がアプリケーションからアクセスできるCORS応答で送信される追加ヘッダーのリスト。
`max-age-in-seconds`	ブラウザが特定のリソースのプリフライト応答をキャッシュする時間を指定するオプションパラメータ。

vserver

ルールが作成されるオブジェクトストアサーババケットをホストするSVM（vserver）の名前を指定します。

bucket

ルールが作成されるオブジェクトストアサーバーのバケットの名前。

index

ルールが作成されるオブジェクトストアサーババケットのインデックスを示すオプションのパラメータ。

rule id

オブジェクトストアサーバーバケットルールの一意の識別子。

allowed-origins

クロスオリジンリクエストの発信が許可されるオリジンのリスト。

allowed-methods

クロスオリジンリクエストで許可されるHTTPメソッドのリスト。

allowed-headers

クロスオリジンリクエストで許可されるHTTPヘッダーのリスト。

expose-headers

顧客がアプリケーションからアクセスできるCORS応答で送信される追加ヘッダーのリスト。

max-age-in-seconds

ブラウザが特定のリソースのプリフライト応答をキャッシュする時間を指定するオプションパラメータ。

例

vserver object-store-server bucket cors-rule create -vserver vs1 -bucket bucket1 -allowed-origins www.myexample.com -allowed-methods GET,DELETE

表示

コマンド `vserver object-store-server bucket cors-rule show`を使用すると、現在のルールとその内容のリストを表示できます。"ONTAPコマンドリファレンス"の `vserver object-store-server bucket cors-rule show`の詳細をご覧ください。

パラメータ `-instance`を含めると、各ルールに表示されるデータが拡張されます。必要なフィールドを指定することもできます。

例

server object-store-server bucket cors-rule show -instance

削除

CORSルールのインスタンスを削除するには、deleteコマンドを使用します。ルールの `index`値が必要なので、この操作は2つのステップで実行されます：

`show`コマンドを発行してルールを表示し、そのインデックスを取得します。
インデックス値を使用してdeleteコマンドを実行します。

例

vserver object-store-server bucket cors-rule delete -vserver vs1 -bucket bucket1 -index 1

変更

既存のCORSルールを変更するCLIコマンドはありません。ルールを変更するには、以下の手順を実行する必要があります。

既存のルールを削除します。
必要なオプションを指定して新しいルールを作成します。