Alibaba Cloud API Gatewayは、リソースデータのセキュリティを保護するためのアクセス制御リスト (ACL) 機能を提供します。 専用インスタンスにIPv4およびIPv6 ACLを設定できます。 設定されたACLは、インターネットベースのアクセスに有効になります。
1. ACLの作成
1.1 API Gatewayコンソールにログインします。 左側のナビゲーションウィンドウで、[インスタンス] をクリックします。 [インスタンス] ページで、[アクセス制御リスト] タブをクリックします。 [アクセス制御リストの作成] をクリックします。 [アクセス制御リストの作成] ダイアログボックスで、作成するACLの名前を入力します。 RAMをIPv4アドレスに設定する場合はIPv4を選択します。RAMをIPv6に設定する場合はIPv6を選択します。
1.2 ACLの作成後、[操作] 列の [ACLの管理] をクリックして、一度に1つのエントリを追加するか、複数のエントリを追加します。
1つのリージョンに最大5つのACLを作成できます。
専用インスタンスにバインドできるACLは1つだけです。
毎回に最大50のエントリを追加可能。
ACLにエントリが追加されていない場合、ACLに関連付けられているブラックリストとホワイトリストは有効になりません。
2. 専用インスタンスのブラックリストまたはホワイトリストの設定
2.1 IPv4ブラックリストまたはホワイトリストの設定
[インスタンス] ページで、ブラックリストまたはホワイトリストを設定する専用インスタンスを見つけます。 [IPv4アクセス制御] セクションで、[ブラックリスト /ホワイトリストの設定] をクリックしてブラックリストまたはホワイトリストを追加します。 [IPv4アクセス制御ポリシーの設定] ダイアログボックスで、要件に基づいてブラックリスト /ホワイトリストをブラックリストまたはホワイトリストに設定します。 次に、ドロップダウンリストから作成したACLを選択します。 [注意] ダイアログボックスで、注意事項を読み、[読み取りがあります] をクリックします。 次に、注意チェックボックスが選択され、I Have Readチェックボックスになります。 [確認] をクリックします。 ACLはすぐに有効になります。
ブラックリストまたはホワイトリストを設定すると、インスタンスに属するすべてのAPIグループに対してACLが有効になります。 作業は慎重に行ってください。
2.2 IPv6ブラックリストまたはホワイトリストの設定
専用インスタンスのIPv6ブラックリストまたはホワイトリストを設定する前に、インスタンスのインバウンドIPv6トラフィックが有効になっていることを確認してください。 [インスタンス] ページで、IPv6ブラックリストまたはホワイトリストを設定する専用インスタンスを見つけます。 [インバウンドIPv6トラフィック] セクションで、[有効化] をクリックして、専用インスタンスのインバウンドIPv6トラフィックを有効にします。 次の図は、操作を示しています。
受信IPv6トラフィックが有効になったら、[IPv6アクセス制御] セクションの [ブラックリスト /ホワイトリストの設定] をクリックします。 システムは、[IPv6アクセス制御ポリシーの設定] ダイアログボックスで選択できるIPv6 ACLを自動的にフィルタリングします。
IPv6アクセス制御の設定には、IPv6 ACLのみを使用できます。 IPv4アクセス制御を設定するには、IPv4 ACLのみを使用できます。
3. よくある質問
1. ホワイトリストが設定された後、IPアドレスがホワイトリストに含まれていないクライアントがAPI Gatewayにアクセス要求を送信するとどうなりますか?
API Gatewayはアクセス層でリクエストを拒否し、クライアントでタイムアウトエラーが報告されます。
API Gatewayのデバッグ機能は、APIのデバッグに固定IPアドレスを使用しません。 したがって、インスタンスのACLを設定した場合、デバッグ機能を使用してAPIをデバッグすることはできません。 この場合、ホワイトリストのIPアドレスを使用して、APIを手動でデバッグできます。
2. インスタンスレベルのアクセス制御機能とIPアドレスベースのアクセス制御プラグインの違いは何ですか?
IPアドレスベースのアクセス制御プラグインは、特定のAPIへのアクセスを制御します。 インスタンスレベルのアクセス制御機能は、API Gateway内の専用インスタンス全体へのアクセスを制御します。