Oracle Cloud Infrastructure IaaS 新機能アップデート 2025/09 - 2025/11

Transcript

1. Oracle Cloud Infrastructure 新機能アップデート 2025/9 - 2025/11 Oracle Cloud Infrastructure

   IaaS 新機能アップデート 日本オラクル株式会社 2025年12月10日

2. 新機能とアップデート情報 リリースノートに掲載されている新機能やそれ以外のアップデート https://docs.oracle.com/ja-jp/iaas/releasenotes/

3. [Console] 各サービスの新コンソールへの対応 順次各サービスのコンソール画面が新デザインに対応 3 Copyright © 2025, Oracle and/or its

   affiliates OCIコンソールの新しいエクスペリエンスの提供。使いやすさや一貫性を強化する新デザイン 2025/9 2025年9月追加 新コンソール対応サービス （対象サービス内でも未対応のUIもある） Cluster Placement Groups, Compartment Quotas, Compute, Console, IAM, Marketplace, Notifications, Oracle Cloud Infrastructure, Queue, Streaming, Tagging, Web Application Acceleration, Zero Trust Packet Routing, Kubernetes Engine, Networking, Logging

4. [Compute] Windows Server 2025のプラットフォーム・イメージが登場 コンピュート・インスタンスで利用できるプラットフォーム・イメージにWindows Server 2025のイメージが新たに追加されました。 OCI提供のOSテンプレートとして以下のイメージを選択してインスタンスを作成することができます。 • Windows

   Server 2025 Standard • Windows Server 2025 Standard Core • Windows Server 2025 Datacenter また同時に、Windows Server 2025はイメージ持ち込み（BYOI）のサポート対象のOSになりました。 ユーザー側で用意したWindwos Server 2025のOSイメージを、カスタム・イメージとしてインポートすることがサポートされます。 4 Copyright © 2025, Oracle and/or its affiliates 2025/9 OCIコンソールでインスタンスを作成する際の表示 インスタンスにリモートデスクトップ接続をした際のデスクトップ画面

5. [Resource Analytics] ADWベースのテナント管理ツールが登場 ADW (Autonomous Data Warehouse) にOCIリソースのメタデータを集約し、一元的な管理に役立つサービスが登場。 • 環境をまたがって存在する、幅広い種類のリソースを一元管理するプラットフォーム

   - 複数テナンシ、複数リージョンのリソースを管理対象として指定可能 - サポートされるリソースが幅広く、コンピュートやネットワーク、Databaseなどを管理 • Graph Studioコンソール上で、クエリを発行することでリソース間の関係を分析、可視化（図は例） • オプションでOracle Analytics Cloud (OAC) と連携し、組み込みのダッシュボードやレポートを利用 • リソース分析サービスは無償だが、ADWとOAC（オプション）の料金が発生 5 Copyright © 2025, Oracle and/or its affiliates OCIリソースの関係を分析、可視化 2025/9 ブートボリューム、コンパートメント、コンピュート、 テナンシのノード 各ノードの繋がりがグラフ上で可視化 各ノードの詳細情報を右クリックで表示 リリースノート：『リソース分析が一般提供になりました』 OCIブログ：『Streamline your IT management with OCI Resource Analytics』

6. [OCVS] データストア管理機能が登場 OCVSではブロック・ボリュームをホストに共有アタッチしてVMFSデータストアを利用できる。その構成作業が容易に。 • OCIコンソールでの共有アタッチ作業の変更点 - これまで：ホストごとにブロック・ボリュームをiSCSIアタッチ/デタッチ（ホスト数×ストレージ数の回数分、作業が必要だった） - これから：データストア・クラスタのアタッチにより、ブロック・ボリュームを各ホストに一括でアタッチ/デタッチ •

   データストア・リソースとしてブロック・ボリュームを作成 • データストア・クラスタ・リソースを作成し、データストア・リソースを32個まで含める • データストア・クラスタ・リソースをSDDC内の既存クラスタにアタッチすると、クラスタ内の全ホストにボリュームが共有アタッチされる • その後のESXiホストによるストレージスキャンや、VMFSへのフォーマット、およびvSphere上のデータストアクラスタの構 成などのvSphere Client側の手動作業は引き続き必要 6 ホストごとにブロック・ボリュームをアタッチする作業がシンプルに データストア データストア データストア ESXi 1 ESXi 2 ESXi 3 Block Volume Block Volume Block Volume データストア クラスタ OCIコンソールでこの間のア タッチがワンタッチになった Copyright © 2025, Oracle and/or its affiliates リリースノート：『データストア管理が使用可能に』 データストアクラスタ画 面から一括操作 データストア 2025/9

7. [OCVS] vSphere 8.0ソフトウェアバンドルのバージョンが更新された SDDCデプロイ時にオラクルから提供されるソフトウェア・バンドルの各コンポーネントのバージョンが更新された。 Component Version Build VMware ESXi ESXi

   8.0 Update 3g 24859861 VMware vCenter Server Appliance vCenter Server 8.0 Update 3g 24853646 VMware NSX-T Data Center 4.2.3.1 24954571 HCX Cloud 4.11.2 24933578 HCX Connector 4.10.2.0 24404456 7 Copyright © 2025, Oracle and/or its affiliates 2025/10 リリースノート：『vSphere 8.0ソフトウェア・バンドルの更新が使用可能に』

8. 新規リージョン Spain Central (Madrid 3) 8 Copyright © 2025, Oracle

   and/or its affiliates リージョン識別子: eu-madrid-3 リージョン・キー:ORF 1 一部リージョンは地図には表示されていません 2025/10

9. [File Storage with Lustre] オブジェクト・ストレージとの同期 Lustre とオブジェクト・ストレージ・バケット間で簡単にデータを同期 • オブジェクト・ストレージ・リンク: リンクを経由して同期される

   • リンク名、コンパートメント、Lustreディレクトリ、オブジェクト・ストレージ・バケット、 オブジェクト・ストレージのバケット・パスまたは接頭辞、 パス競合時の処理 (スキップ/上書き)、タグ - Lustreファイルシステムとオブジェクト・ストレージ・バケットは同一リージョン、 同一テナンシ - 設定値は後から変更可能だが、Lustreディレクトリ変更時はリンク再作成 - ファイルシステムごとにオブジェクト・ストレージ・リンクを 10 個まで作成可能 • ジョブ: ファイルシステムごとにジョブは同時に 1 つだけ実行される • エクスポート (Lustre → オブジェクト・ストレージ) または インポート (オブジェクト・ストレージ → Lustre) • 前回ジョブ以降の新規ファイルやファイル更新がコピーされ、ファイル削除は 同期されない • 同期ジョブ進行中のファイル更新は避ける • インポートの際、Lustreファイルシステムには十分な容量が必要 9 Copyright © 2025, Oracle and/or its affiliates 性能重視ワークロードで Lustre を使用、長期保存にオブジェクト・ストレージを使用といった使い分け 2025/10

10. [ZPR] ZPRセキュリティ属性が新たなOCIリソースで使用可能に 以下のサービスで、Zero Trust Packet Routing (ZPR) セキュリティ属性が追加できるようになった 10 Copyright

    © 2025, Oracle and/or its affiliates 2025/10 リリースノート: [Database Tools, Functions, GoldenGate, MySQL HeatWave, OCI Cache, Resource Manager, Search with OpenSearch, Streaming, Zero Trust Packet Routing] Add ZPR security attributes to OCI resources https://docs.public.oneportal.content.oci.oraclecloud.com/en-us/iaas/releasenotes/multiple/zpr-supported-services.htm リリースノート: [File Storage, Zero Trust Packet Routing] Add ZPR security attributes to File Storage https://docs.public.oneportal.content.oci.oraclecloud.com/en-us/iaas/releasenotes/zero-trust-packet-routing/file-storage-supported.htm OCIドキュメント: [Zero Trust Packet Routing] Resources That Can Be Assigned Security Attributes https://docs.public.oneportal.content.oci.oraclecloud.com/en-us/iaas/Content/zero-trust-packet-routing/overview.htm#resources-assigned-security-attributes サービス リソース データベース・ツール プライベート・エンドポイント ファイル・ストレージ マウントターゲット ファンクション アプリケーション GoldenGate デプロイメント、接続 MySQL HeatWave db-system、レプリカ OCIキャッシュ クラスタ リソース・マネージャ プライベート・エンドポイント OpenSearchを使用した検索 クラスタ ストリーミング ストリームプール セキュリティ属性： • ZPRポリシーが参照するラベル • セキュリティ属性を持つクライアント・エンドポイントは、セキュリティ属性を 持つ他のエンドポイントにアクセスできる *ZPRは、アクセスが要求されるたびにポリシーをネットワーク・レベルで適用し、ネットワー ク・アーキテクチャにおける潜在的な変更や構成の誤りに関係なくセキュリティを確保する

11. [Compute] GPU利用可能シェイプの拡充 11 Copyright © 2025, Oracle and/or its affiliates

    詳細は担当営業までお問い合わせください 2025/11 32,768 GPUs 3,200 Gb/sec RDMA 3,200 Gb/sec RDMA 16,384 GPUs 3,200 Gb/sec RDMA 65,536 GPUs 3,200 Gb/sec RDMA 8,064 GPUs NA 131,072 GPUs 3,200 Gb/sec RDMA 131,072 GPUs 28,800 Gb/sec RDMA GPU.A10.1 GPU.A10.2 GPU.A10.4 VM, bare metal NVIDIA 1 x A10 24 GB 2 x A10 24 GB 4 x A10 24 GB GPU.GB200.4 NVL72 (18 nodes/rack) Bare metal 36 Grace CPUs 72 Blackwell GPUs 13.6 TB GPU memory 30.6 TB GPU+CPU Memory 553 TB Local NVMe 7,200 Gb/sec Front-end network GPU.H200.8 Bare metal 8 x H200 141 GB 1,128 GB GPU memory 30.7 TB Local NVMe 200 Gb/sec Front-end network GPU.H100.8 Bare metal 8 x H100 80 GB 640 GB GPU memory 61.4 TB Local NVMe 100 Gb/sec Front-end network GPU.A100-v2.8 Bare metal 8 x A100 80 GB 640 GB GPU memory 27.2 TB Local NVMe 100 Gb/sec Front-end network GPU.L40S.4 Bare metal 4 x L40S 48 GB 192 GB GPU memory 7.7 TB Local NVMe 200 Gb/sec Front-end network 大規模,スケールアウト,AIトレーニング,推論,ファインチューニング 中規模 小規模 Object storage and/or FSS FSS HPMT—20/40/80 Gb/sec per MT Managed Lustre—8 Gb/sec per TB GPU.GB300.4 NVL72 (18 nodes/rack) Bare metal 36 Grace CPUs 72 Blackwell GPUs 20.7 TB GPU memory 38.7 TB GPU+CPU Memory 553 TB Local NVMe 7,200 Gb/sec Front-end network 3,840 GPUs 800 Gb/sec RDMA Bare metal 8 x MI300X 192GB GPU.MI300X.8 1,536 GB GPU Memory 30.7 TB Local NVMe 100 Gb/sec Front-end network 131,072 GPUs 6,400 Gb/sec RDMA GPU.RTXPro.8 Bare metal 8x RTX Pro​ 6000 96GB 15.35 TB Local NVMe 400 Gb/sec Front-end network 16,384 GPUs 131,072 GPUs 6,400 Gb/sec RDMA OCI Superclusters GPU.MI355X.8 Bare metal 8 x MI355X 288 GB 2 x 64C AMD CPU, 3TB DDR5 2.3 TB GPU memory 61.4TB Local NVMe 400 Gb/sec Front-end network 提供開始 131,072 GPUs 3,200 Gb/sec RDMA 131,072 GPUs 57,600 Gb/sec RDMA GPU.B200.8 Bare metal 8 x B200 180 GB 1,440 GB GPU memory 30.7 TB Local NVMe 400 Gb/sec Front-end network 注文受付中 GPU.B300 Bare metal 8 x B300 288GB 2,304 GB GPU memory 30.7 TB Local NVMe 400 Gb/sec Front-end network 提供開始 提供開始 GPU.MI455X.4 Bare metal 4 x MI455X 432 GB/GPU 2 x AMD CPU Local NVMe 400 Gb/sec Front-end network 注文受付中 OCI offers NVIDIA L40S GPUs for Compute Cloud@Customer and NVIDIA L4 GPUs for Roving Edge Infrastructure OCI offers NVIDIA H100 and H200 Tensor Core GPUs for OCI Dedicated Region and Oracle Alloy. NVIDIA B200 Tensor Core GPUs are orderable now. 関連URL: https://blogs.oracle.com/cloud-infrastructure/post/announcing-general-availability-of-oci-amd-mi355x https://www.youtube.com/watch?v=ST443ix6-Bs&list=PLcFwxJMrxygDvjxvkOjqfHWMxjvvIglVc&index=11

12. 新規リージョン Italy North (Turin) 12 Copyright © 2025, Oracle and/or

    its affiliates リージョン識別子: eu-turin-1 リージョン・キー:NRQ 1 一部リージョンは地図には表示されていません 2025/11

13. [Marketplace] サービス・カタログによりマーケットプレイスのアプリケーション利用を管理 これまでマーケットプレイス内のアプリケーションは特別な設定や権限は不要ですべて使用することが可能だったが、あらたにサービス・カタロ グとの連携によって、ユーザーに利用させるアプリケーションを管理することが可能になった。 利用方法 1. サービス・カタログを作成し、利用を許可するアプリケーションをカタログに登録する。 2. カタログを「アクティブ化」する。 3.

    テナンシ内にアクティブなカタログがある場合、自動的にテナンシ全体がサービス・カタログ・モードになり、カタログに含まれていないアプ リケーションは表示/利用することができなくなる。どこかのコンパートメントにアクティブなカタログが1つでもあると、テナンシ全体のモード が変わるので注意。 13 Copyright © 2025, Oracle and/or its affiliates マーケットプレイス内の特定のアプリケーションのみを利用させることが可能になった 2025/11 詳細はドキュメント参照：Service Catalog Policies

14. [Console] 各サービスの新コンソールへの対応 順次各サービスのコンソール画面が新デザインに対応 14 Copyright © 2025, Oracle and/or its

    affiliates OCIコンソールの新しいエクスペリエンスの提供。使いやすさや一貫性を強化する新デザイン 2025/11 2025年11月追加 新コンソール対応サービス （対象サービス内でも未対応のUIもある） Log Analytics, Data Flow, Generative AI, Big Data, Cloud Advisor, Data Catalog, File Storage, Language, Media Services, Oracle Cloud Infrastructure, Oracle Cloud Migrations, Search with OpenSearch

15. [Network] Virtual Cloud Networks（VCN）の機能強化 ➢ VCNとサブネットに割り当てできるCIDRの数が 5 → 16 に増えた

    ➢ コンピュートのVNICに対して「IP CIDRアドレス」（ =CIDR内のIPアドレス）を割り当て可能に 15 Copyright © 2025, Oracle and/or its affiliates 柔軟性とスケーラビリティの向上、IPアドレス管理の簡略化 2025/11 VCN IPv4 : 10.0.0.0/16, 10.1.0.0/16, - - -16個まで IPv6 : fd00::/16, fd01::/16 - - - 16個まで Subnet IPv4 : 10.0.0.0/24, 10.1.0.0/24, - - -16個まで IPv6 : fd00::/64, fd01::/64 - - - 16個まで OCI Compute VNIC プライマリ IPオブジェクト セカンダリ IPオブジェクト セカンダリ IPオブジェクト 1つのVNICに紐づけられる IPオブジェクトは最大64つ 0, 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16 ... 253, 254, 255 10 . 0 . 0 . ＜例：サブネットが10.0.0.0/24の場合＞ ネットワーク部 予約済み IPアドレス 10.0.0.2 割り当て例 10.0.0.3/32 10.0.0.8/29 1つ 1つ 8つ CIDR prefix長は/18 ~ /32までの範囲を選べる ・ VCN内に作成できるプライベートIPオブジェクトの最大数は64,000まで ・ ユースケースとしてはKubernetes内の大量のpodに対して一度にIPアドレスを割り当てるなど ・ 今後NLBやOKE、IP Address Insights、Network Path Analyzerなどへの対応を予定

16. [Bastion, ZPR] ZPRセキュリティ属性がOCI Bastionで使用可能に Bastionサービスで、Zero Trust Packet Routing (ZPR) セキュリティ属性が追加できるようになった

    16 Copyright © 2025, Oracle and/or its affiliates 2025/11 リリースノート: [Bastion, Zero Trust Packet Routing] Add ZPR security attributes to Bastions https://docs.oracle.com/en-us/iaas/releasenotes/zero-trust-packet-routing/bastion-supported.htm OCIドキュメント: [Bastion] Managing a Bastion's Security Attributes https://docs.oracle.com/en-us/iaas/Content/Bastion/Tasks/manage-security-attributes.htm セキュリティ属性： • ZPRポリシーが参照するラベル • セキュリティ属性を持つクライアント・エンドポイントは、セキュリティ 属性を持つ他のエンドポイントにアクセスできる *ZPRは、アクセスが要求されるたびにポリシーをネットワーク・レベルで適用し、ネッ トワーク・アーキテクチャにおける潜在的な変更や構成の誤りに関係なくセキュリティ を確保する

17. [IAM] 拒否ポリシーのサポート Identity and Access Management (IAM) で、新しく拒否ポリシー (Deny Policy)

    が記載できるようになった • deny any-user to manage policies in tenancy ポイント • Deny文は、全てのステートメントの中で最初に評価される - つまり、Denyに書いた操作内容は必ず失敗する、後の文でAllowを書いても権限を付与することはできない • Allow文とは動詞(Metaverb)の累積の方向が異なる (Metaverb Inversion) - Allow文: Inspect < Read < Use < Manage - Deny文: Inspect > Read > Use > Manage • デフォルトドメインのAdministratorsグループはDenyポリシーの対象外 - 他のポリシーに例えばany-userでDeny文を書いても制限できない • 利用を始めるには、管理者がテナンシレベルで有効化する必要がある - 有効化しただけでは既存のポリシー文やIAMの動作には影響はしないのでその点は安心してOK - 一度有効化すると無効化は不可能 - アイデンティティ・ドメインのあるテナンシでしか使えない 17 Copyright © 2025, Oracle and/or its affiliates https://docs.oracle.com/ja-jp/iaas/Content/Identity/policysyntax/denypolicies.htm 2025/11 管理者によるポリシーの有効化作業の際の確認画面

18. その他情報、Tips このセクションでは、リリースノートに掲載されていないが重要と 思われる情報や、使用上のTipsについて掲載しています

19. [Compute] Standard.E6シェイプが東京・大阪リージョンで利用可能に 19 Copyright © 2025, Oracle and/or its affiliates

    第5世代 AMD EPYCプロセッサ（ M Y 9J45 “T ”）を搭載 2025/11 コンピュート・インスタンスのStandard.E6シェイプが 東京リージョンと大阪リージョンで使用可能になった。 E5シェイプの後継となるE6のStandardシェイプはOCPU、 メモリーともにE5と同価格で、E5と比較してCPUのクロック 周波数が高く、メモリー性能も向上している。 • BM.Standard.E6：既存のベアメタル・シェイプのなかで最も 多いコア数、メモリ、帯域幅を持ち、NVMeストレージを搭載 - コア数：256 OCPU - メモリー：3072 GB - ネットワーク帯域幅：200 Gbps - NVMe： 2 x 960 GB • VM.Standard.E6：従来の仮想マシンシェイプより多いコア 数、メモリ、帯域幅のインスタンスを作成可能 - コア数：1-126 OCPU - メモリー：1-1454 GB - ネットワーク帯域幅：1-99 Gbps E5とE6の性能比較 ※2025年11月時点でStandard.E6シェイプは拡張メモリVMインスタンス、バースト可能インスタンスの機能に未対応。

20. 将来計画されている サービス変更に関する情報 このセクションでは、将来に計画、予定されているサービスの変 更に関する情報、サービスのデコミッションなどのうち、特に既存 で利用中のユーザーに影響するものについてお伝えします

21. [Load Balancer] HTTPS通信におけるTLS 1.0/1.1 廃止 TLS 1.0/1.1は既知の脆弱性があり、一般的には非推奨とされています。 2026年6月15日以降、Flexible Load Balancerは

    TLS 1.0/1.1 を非サポートになり、TLS 1.0および1.1でSSLネゴシ エーションができず、接続失敗となる場合があります。 既存および新規のTLS対応ロードバランサーに適用されます。 また、一部の古い暗号スイートもTLS1.2以降で利用ができなくなります。 <既存でTLS1.0/1.1を使用している場合> 2026年6月15日までに、全てのリスナーやバックエンドセットのTLSのバージョンを1.2/1.3にアップデートをしてください。 また、サポート終了となる暗号スイートも削除してください。 21 Copyright © 2025, Oracle and/or its affiliates

22. [Audit] コンソールの「監査」ページの廃止 2025年12月以降、コンソールの「監査」ページは廃止される予定。ただし、AuditのAPI/SDK/CLIは引き続き利用可能。 今後コンソールで監査ログを表示するためには、ロギング・サービスの監査ログのUIを利用すること。 https://docs.oracle.com/ja-jp/iaas/Content/Logging/Concepts/audit_logs.htm 22 Copyright © 2025, Oracle

    and/or its affiliates API/CLI/SDKは引き続き利用可能。今後はロギング・サービスの監査ログのUIを利用すること。 メニュー 「監視および管理」→「ロギング」→「監査」 推奨。ロギング・サービスの機能を用いて表示/検索が可能。 メニュー 「アイデンティティ・とセキュリティ」→「監査」 旧ページ。廃止予定のため非推奨。

23. [Load Balancer] Fixed shapeの新規作成停止 2020年12月以前に作成されたテナンシでは、Fixed shape/固定シェイプ（Dynamic shape/動的シェイプとも呼ばれ る）のロード・バランサを作成できたが、2026年1月15日以降はFixed Shapeのロード・バランサの新規作成は不可とな る。

    既存のロード・バランサは引き続きサポートされる。 今後新規作成する際にはFlexible Shapeのロード・バランサーであるフレキシブル・ロード・バランサを利用すること。 ＊新しいテナンシではFlexible Shapeのロード・バランサしか作成できないため影響はありません。 23 Copyright © 2025, Oracle and/or its affiliates

24. https://docs.oracle.com/ja-jp/iaas/Content/ResourceManager/Reference/terraformversions.htm アナウンス済み：2025年4月7日以降 • バージョン 0.12.x, 0.13.x, 0.14.x が新規スタック作成時に利用できなくなります。 アナウンス済み：2025年9月1日以降 •

    バージョン 0.12.x, 0.13.x, 0.14.xを使用するスタックでジョブを作成できなくなります。 • バージョン 0.12.x, 0.13.x, 0.14.xに関するサポート・リクエストの受付を終了します。 アナウンス日 : 2025年6月28日 • リソース・マネージャでTerraform 1.5.x 未満のサポートが終了します。 2025年12月31日以降 • バージョン 1.5.x 未満が新規スタック作成時に利用できなくなります。 • バージョン 1.5.x 未満を使用するスタックでジョブを作成できなくなります。 • バージョン 1.5.x 未満に関するサポート・リクエストの受付を終了します。 推奨アクション • リソース・マネージャは、applyジョブの実行後に自動的にスタックのアップグレードを試みます。 • CLIまたはコンソールでアップグレードを実行することも可能です。 • スタックから新しいTerraformバージョンへのアップグレード リソース・マネージャのTerraformバージョンのサポート終了 Copyright © 2025, Oracle and/or its affiliates 24

25. https://docs.oracle.com/ja-jp/iaas/Content/Object/Concepts/dedicatedendpoints.htm 発表日 : 2023年10月10日 • セキュリティ強化を目的として、オブジェクト・ストレージの推奨エンドポイントが、他サービスから独立したドメインの専用 エンドポイント *.oci.customer-oci.com に変更 •

    旧エンドポイントは下位互換のために存続するが、将来廃止される可能性があるため非推奨 • https://blogs.oracle.com/cloud-infrastructure/post/oci-object-storage-dedicated-endpoints 2023/10/10 - Object Storage 旧エンドポイントの非推奨化 Copyright © 2025, Oracle and/or its affiliates 25 APIタイプ 推奨 – 専用エンドポイント 非推奨 – 旧エンドポイント ネイティブ $namespace.objectstorage.$region.oci.customer-oci.com objectstorage.$region.oci.customer-oci.com ※ objectstorage.$region.oraclecloud.com objectstorage.$region.oci.oraclecloud.com S3互換 $namespace.compat.objectstorage.$region.oci.customer- oci.com $namespace.compat.objectstorage.$region.oraclecloud.com $namespace.compat.objectstorage.$region.oci.oraclecloud .com Swift $namespace.swiftobjectstorage.$region.oci.customer- oci.com swiftobjectstorage.$region.oci.customer-oci.com ※ swiftobjectstorage.$region.oraclecloud.com swiftobjectstorage.$region.oci.oraclecloud.com ※ ネームスペースがわからない場合にのみ使用(GetNamespace、Work Requestの問い合わせなど)

26. 26 過去に行われたサービス変更や、このドキュメントで取り上げていないサービス(主にPaaSなど)に関するサービス変更の情 報は、以下のドキュメントに掲載されています OCIのユーザーは、定期的に確認されることをお勧めします サービス変更のお知らせ https://docs.oracle.com/ja-jp/iaas/Content/servicechanges.htm ユーザーが確認すべきサービス変更情報 Copyright © 2025,

    Oracle and/or its affiliates

27. IAM 拒否ポリシー 補足情報 IAM拒否ポリシーについての少し詳しい情報

28. 認可 の内容を制御するための設定、ステートメント を１つ以上記述する • 『どのグループが』 『どんな操作を』 『どのリソースに』対するアクセスが『許可または拒否』されるかを記載 • 『操作可能範囲』を、テナンシー全体 または

    個別コンパートメント から指定 • オプションで『条件』を指定可能 ステートメントの文法 記述できるのは 許可ルール (Allow) のみ、拒否ルール (Deny) は記述できない 許可ルール(Allow) および 拒否ルール(Deny) が記述できる ポリシー (Policies) Copyright © 2025, Oracle and/or its affiliates 28 <allow/deny> group <group_name> to <verb> <resource-type> in tenancy <allow/deny> group <group_name> to <verb> <resource-type> in compartment <compartment_name> [where <conditions>] 2025/11 Updated

29. ポリシーの文法 Copyright © 2025, Oracle and/or its affiliates 29 Verb

    (動詞) アクセス・タイプ 主な対象者 Manage (管理) リソースに関するすべての権限 管理者 Use (利用) Read (参照) の権限＋ 既存のリソースの操作権限 (詳細はリソースタイプに依存するが、通 常作成や削除は不可) 通常ユーザ Read (参照) Inspect (検査) の権限＋ ユーザ指定のメタデータや実際のリソースの 参照権限 内部監査人 Inspect (検査) リソースの一覧をリストする 外部監査人 集合リソース・タイプ 代表的な個別リソース・タイプ all-resources (全てのリソース・タイプを含む) database-family db-systems, db-nodes, db-homes, databases instance-family instances, instance-images, volume- attachments, console-histories object-family buckets, objects virtual-network- family vcn, subnet, route-tables, security- lists, dhcp-options など volume-family volumes, volume-attachments, volume-backups - load-balancer, audit-events よ り 強 い 権 限 <allow/deny> <principal> to <verb> <resource-type> in <location> [where <conditions>]

30. Denyルールを記載した場合には、まずその権限が付与されなくなる その後、Denyルールで拒否されていない権限の中からAllowルールに記載されている権限が付与される 利用方法のガイド • まず、どうしても付与したくない権限をDenyポリシーで記述 ← 新しい考え方 • 次に、付与する権限を(最小権限の原則に従って) Allowポリシーで記述

    ← 今までと同じ - 例 : インターネット・ゲートウェイ作成以外のネットワーク管理権限を付与 • deny any-user to all {INTERNET_GATEWAY_CREATE} in tenancy • allow group A to manage virtual-network-family in compartment A Allow / Deny の挙動と使い方 Copyright © 2025, Oracle and/or its affiliates 30 Allow Deny 紺色の範囲が付与される権限の範囲

31. メタバーブ反転 (Metaverb Invert) Allowの場合とDenyの場合で、動詞*の権限が累積される方向が変わる • Allowの場合 [ Inspect < Read

    < Use < Manage ] - Manageで許可した場合は、Inspectで許可した場合よりも広い権限を付与することになる • (例) allow group A to manage all-resources in tenancy • 上記は、すべてのリソースに対する管理権限を付与する • つまり、 inspect, read, use権限も同時に付与される • Denyの場合 [ Inspect > Read > Use > Manage ] - Manageで拒否をした場合は、Inspectで拒否した場合よりも狭い権限しか制限しない • (例)deny group A to manage all-resources in tenancy • 上記は、すべてのリソースに対する管理権限の付与を拒否するもの • つまり、inspect, read, useなどは拒否されないので別途付与することもできる * 動詞(Verb) については、ドキュメントでメタバーブ (Metaverb) と記載される場合もあり(同義) Allow / Deny の場合における動詞 (Verbs) の権限累積の違い Copyright © 2025, Oracle and/or its affiliates 31

32. IAM Denyポリシー – 既知の問題に注意 2025年12月10日時点で確認できる既知の問題(タイトルのみ) • タグベースの拒否ポリシーの初期伝播遅延 • IAM拒否ポリシーがアイデンティティ・ドメイン管理ロールをオーバーライドしない •

    ターゲット・リソース・タグベースの拒否ポリシーでコンソールで開始された削除をブロックしない • 動的グループ識別子を使用した条件の拒否はサポートされていません 既知の問題は変更される可能性があるので、リンク先の最新情報をご確認ください 32 Copyright © 2025, Oracle and/or its affiliates https://docs.oracle.com/ja-jp/iaas/Content/Identity/known-issues/known-issues-deny-policies.htm

33. リンク

34. https://oracle-japan.github.io/ocidocs/ 各サービスや機能カットの資料などを掲載 OCI活用資料集：日本語技術資料 Copyright © 2025, Oracle and/or its affiliates

    34 最近アップデートされた資料 組織管理(Organization Management)概要 October 9, 2025 OCI コスト管理 October 8, 2025 OCI Oracle Database Services新機能アップデート 2025/06 - 2025/08 October 2, 2025 コンピュート詳細 September 18, 2025 Oracle Cloud Infrastructure IaaS 新機能アップデート 2025/6 - 2025/8 September 10, 2025 オブジェクト・ストレージ September 4, 2025 ブロックボリューム概要 September 4, 2025 OCI Bastion（要塞） August 25, 2025 OCI Cloud Guardの概要 August 1, 2025

35. Oracle Cloud Infrastructure 主要情報一覧 35 Copyright © 2025, Oracle and/or

    its affiliates https://blogs.oracle.com/oracle4engineer/post/oci-information 1 2 Oracleアーキテクチャ・センター https://docs.oracle.com/ja/solutions/ クラウド環境の検討や実装に役立つように設計されたリファレンス・アーキテクチャとソリューショ ン・プレイブックのカタログを多数掲載。ダウンロード、カスタマイズ、およびデプロイできるコードま たはスクリプトも含む。解説ブログはこちら。 3 OCIサービスアップデート https://blogs.oracle.com/oracle4engineer/category/o4e-oci-service- update 毎月公開するOCIのサービス・アップデート情報をスライドで分かり易く説明。各サービスの 詳細なアップデート情報は、各サービスのドキュメントや「OCI活用資料集」をご覧ください。 5 OCIお客様活用事例 https://blogs.oracle.com/oracle4engineer/post/oci-customer-reference OCIを活用したお客様の事例のご紹介。データベースはもちろんのこと、アナリティックス、セ キュリティ、システム管理、コンテンツ管理、ブロックチェーン、チャットボットなど様々なサービスの お客様事例をご紹介します。 OCI活用資料集 https://oracle-japan.github.io/ocidocs/ OCIを使ってみたい! という方のための技術ドキュメント集。 OCIのサービス別技術資料をはじめ、 PPTスライドを中心とした公開ドキュメントや、セミナーで使用した資料をアップロードしています。 6 OCIセミナー情報 https://blogs.oracle.com/oracle4engineer/post/oci-seminar 今後開催予定のウェビナー(含むハンズオントレーニング)についてご案内します。 ほぼ毎週＋ハンズオンを様々なテーマで開催中！ チュートリアル: OCI を使ってみよう https://oracle-japan.github.io/ocitutorials/ OCIを使ってみよう! という人のためのチュートリアル集。各項ごとに画面ショットなどを交えなが らステップ・バイ・ステップで、OCIの機能についてひととおり学習することができます。 7 OCIドキュメント https://docs.cloud.oracle.com/ja-jp/iaas/Content/home.htm 各サービスの公式マニュアルです。 8 Oracle Code Night https://oracle-code-tokyo-dev.connpass.com/ オラクルのテクノロジーだけに限定しない、Developer（開発者）のDeveloper（開発 者）によるDeveloper（開発者）のための開発者向けコミュニティ Meetup セミナー。 ほぼ毎週 様々なテーマで開催中！ 9 Oracle LiveLabs https://apexapps.oracle.com/pls/apex/dbpm/r/livelabs/home お客さまのクラウド環境ですぐに利用できる、ハンズオン・ワークショップを多数掲載。画面 キャプチャおよび実行コマンドを記載、実環境にて順を追って操作方法を学習することが可能 です。ブラウザの翻訳機能でご利用ください。 4 10 • OCIの主要技術情報一覧です。ご興味にあわせた情報を公開しております。 OCI：サービス別資料一覧 https://blogs.oracle.com/oracle4engineer/column_cloud_material OCIの個別サービス毎の、概要資料、技術資料、チュートリアルへのリンク一覧です。
36. None