免責事項
Alibaba Cloud では、本ドキュメントを閲覧または使用される前に、本免責事項の条項および条件を十分にご確認・ご理解いただくようお願いいたします。本ドキュメントを閲覧または使用された場合、本免責事項に全面的に同意したものとみなされます。
本ドキュメントは、Alibaba Cloud ウェブサイトまたは Alibaba Cloud が正式に認可した他のチャネルからダウンロード・取得し、お客様の合法的な業務活動のみにご利用ください。本ドキュメントの内容は、Alibaba Cloud の機密情報とみなされます。厳格に守秘義務を遵守し、Alibaba Cloud の事前の書面による承諾なしに、本ドキュメントの一部または全部を第三者に開示または提供しないでください。
Alibaba Cloud の事前の書面による承諾なしに、いかなる組織、企業、個人も、本ドキュメントの一部または全部を抜粋、翻訳、複製、送信、配布する行為は一切禁止されています。
製品のバージョンアップグレード、調整、その他の理由により、Alibaba Cloud は本ドキュメントの内容を予告なく変更する権利を有します。更新版のドキュメントは、Alibaba Cloud が正式に認可したチャネルを通じて公開されます。最新版は、これらのチャネルから必ずダウンロードしてください。
本ドキュメントは、Alibaba Cloud 製品およびサービスに関する参考ガイドとしてのみ提供されます。「現状のまま(as is)」「すべての障害を含む(with all faults)」「利用可能な状態で(as available)」の条件で提供されます。Alibaba Cloud は、既存の技術に基づき関連する運用ガイドを提供するよう最善を尽くしていますが、本ドキュメントの内容について、正確性、完全性、適用性、信頼性に関して、明示的または黙示的な保証は一切行いません。本ドキュメントのダウンロード、使用、または信頼に基づき生じた誤りや金銭的損失について、いかなる組織、企業、個人に対しても、Alibaba Cloud は一切の責任を負いません。また、Alibaba Cloud がかかる損失の可能性について事前に通知されていたとしても、本ドキュメントの使用または信頼に基づき発生する間接的損害、結果的損害、模範的損害、偶発的損害、特別損害、懲罰的損害(利益喪失を含む)について、いかなる場合においても責任を負いません。
法律上、Alibaba Cloud ウェブサイト上のすべてのコンテンツ(著作物、製品、画像、アーカイブ、情報、資料、ウェブサイト構造、グラフィックレイアウト、ウェブページデザインなど)は、Alibaba Cloud および/またはその関連会社の知的財産です。これには、商標権、特許権、著作権、営業秘密などが含まれます。Alibaba Cloud ウェブサイト、製品プログラム、およびコンテンツの一部または全部を、Alibaba Cloud および/またはその関連会社の事前の書面による承諾なしに、使用、改変、複製、公衆送信、変更、配信、頒布、または公開することは一切禁止されています。「Alibaba Cloud」「Aliyun」「HiChina」などの Alibaba Cloud が所有する名称(単独または組み合わせで使用されるもの)、および第三者が Alibaba Cloud および/またはその関連会社と認識する補助的標識、パターン、その他類似するものも、同様に保護対象となります。
本ドキュメントに誤りを発見された場合は、直接 Alibaba Cloud までお問い合わせください。
セキュリティ隔離
ApsaraDB for ClickHouse では、すべての計算タスクが個別のサンドボックス内で実行されます。このサンドボックスアーキテクチャは、カーネル層からカーネルベース仮想マシン(KVM)層にわたる複数のレイヤーに及びます。各サンドボックスは、データを保護し、誤操作または悪意ある操作によるサーバー障害を防止するための認証メカニズムを採用しています。
ネットワーク隔離
ApsaraDB for ClickHouse クラスターは、仮想プライベートクラウド(VPC)内でのみ作成できます。クラスター内のすべてのノードは、同一の VPC 内で実行されます。デフォルトでは、クラスターへのアクセスは VPC 経由のみ可能です。パブリックエンドポイントは、リクエストに応じて提供されます。
クラスターへのアクセスは、クラスターのホワイトリストに登録された IP アドレスを持つクライアントに限定されます。ホワイトリストに登録されていないクライアントは、接続タイプに関係なくアクセスが拒否されます。
認証
ApsaraDB for ClickHouse では、ApsaraDB for ClickHouse 管理者が作成したデータベースアカウントおよびパスワードを用いて、データベースログイン時にユーザーの ID を検証します。本サービスは、クラスター単位のアクセスの制御を提供します。
データセキュリティ
ApsaraDB for ClickHouse では、クラスターのデータをエンハンスド SSD(ESSD)、標準 SSD、または Ultra ディスクに保存します。すべてのデータは 3 つのコピーで保存され、データ信頼性および整合性を確保しています。
ログ監査
ApsaraDB for ClickHouse では、操作記録およびセキュリティ情報を含むユーザー動作ログを監査します。
ベストプラクティス
VPC 経由でクラスターにアクセスする
VPC 経由でのクラスターへのアクセスは、最も安全な接続方法です。Elastic Compute Service(ECS)インスタンスをクライアントとして作成し、ApsaraDB for ClickHouse クラスターに接続してデータの書き込みおよびクエリを実行します。すべてのトラフィックを VPC 内に閉じることで、パブリックインターネットへの露出を回避できます。
ホワイトリストによる IP アクセスの制限
すべてのクライアントは、接続前にコンソール上でクラスターのホワイトリストに自社の IP アドレスを登録する必要があります。これは、VPC 接続およびインターネット接続の両方に適用されます。IP アドレスがホワイトリストに登録済みであるにもかかわらず接続が失敗する場合は、登録した IP アドレスが正しいかをご確認ください。
ホワイトリストは、お客様の本番ネットワークから特定のクラスレスインタードメインルーティング(CIDR)ブロックに限定してください。アクセス範囲を広く開放すると、不正な接続および潜在的なデータ漏えいのリスクが高まります。0.0.0.0/0(無制限アクセス)への設定は許可されていません。
アクセスログのエクスポート
以下のコマンドを実行して、アクセスログをエクスポートします:
SELECT * FROM system.query_log INTO OUTFILE 'access.log'定期的にアクセスログを確認し、異常なクエリパターンや不正なアクセス試行を検出してください。