Tair (Redis OSS-compatible) インスタンスのセキュリティと安定性を確保するため、デフォルトでは、Tair (および Community Edition) インスタンスへのすべての IP アドレスからのアクセスが拒否されます。Tair (または Community Edition) インスタンスを使用する前に、クライアントの IP アドレスまたは IP アドレス範囲をインスタンスのホワイトリストに追加する必要があります。適切に設定されたホワイトリストは、インスタンスのセキュリティを強化します。ホワイトリストの定期的なメンテナンスを実行することをお勧めします。
ホワイトリストの設定方法
方法 | 説明 | シナリオ |
ホワイトリストの追加 | クライアントの IP アドレスをインスタンスのホワイトリストに手動で追加して、クライアントにアクセスを許可します。 | |
セキュリティグループの追加 | セキュリティグループは、セキュリティグループ内の ECS インスタンスのインバウンドおよびアウトバウンドトラフィックを制御する仮想ファイアウォールです。 複数の ECS インスタンスにアクセスを許可するには、それらのセキュリティグループを Tair インスタンスにバインドします。セキュリティグループがバインドされると、グループ内のすべての ECS インスタンスは、IP アドレスを手動で入力しなくても Tair インスタンスにアクセスできます。 |
ホワイトリストグループと ECS セキュリティグループを同時に設定できます。この場合、ホワイトリストグループ内の IP アドレスとセキュリティグループ内の ECS インスタンスがインスタンスにアクセスできます。
ECS インスタンスのプライベート IP アドレスをホワイトリストに追加する
ECS インスタンスと Tair インスタンスが同じ VPC (VPC) にある場合は、VPC を使用してアクセスできます。
ECS インスタンスと Tair インスタンスが同じ VPC にない場合は、ECS インスタンスの VPC を変更できます。詳細については、「ECS インスタンスの VPC を変更する」をご参照ください。
コンソールにログインし、[インスタンス] ページに移動します。上部のナビゲーションバーで、管理するインスタンスが存在するリージョンを選択します。次に、インスタンスを見つけてインスタンス ID をクリックします。
左側のナビゲーションウィンドウで、ホワイトリスト設定 をクリックします。
[default] ホワイトリストを見つけ、[操作] 列の 修正 をクリックします。
説明また、ホワイトリストグループの追加 をクリックしてホワイトリストを作成することもできます。ホワイトリストの名前は 2~32 文字で、小文字、数字、アンダースコア (_) を使用できます。小文字で始まり、小文字または数字で終わる必要があります。
[追加方法] を [ECS プライベート IP の読み込み] に設定します。Tair インスタンスと同じリージョンにある ECS インスタンスのプライベート IP アドレスが表示されます。
IP アドレスにマウスポインターを合わせると、IP アドレスが属する ECS インスタンスの ID と名前を表示できます。
必要な IP アドレスを選択し、右側のペインに移動します。
[OK] をクリックします。
オプション: ホワイトリストグループからすべての IP アドレスを削除するには、ターゲットのホワイトリストグループの右側にある [削除] をクリックします。
[default] や [hdm_security_ips] などのシステムが生成したホワイトリストグループは削除できません。
パブリック IP アドレスをホワイトリストに追加する
オンプレミスデバイスからインスタンスにリモートアクセスする場合、または ECS インスタンスと Tair インスタンスが同じ VPC にない場合は、次の手順に従ってパブリック IP アドレスをホワイトリストに追加できます。
コンソールにログインし、[インスタンス] ページに移動します。上部のナビゲーションバーで、管理するインスタンスが存在するリージョンを選択します。次に、インスタンスを見つけてインスタンス ID をクリックします。
左側のナビゲーションウィンドウで、ホワイトリスト設定 をクリックします。
[default] セキュリティグループで、修正 をクリックします。
説明また、ホワイトリストグループの追加 をクリックして新しいグループを作成することもできます。グループ名は 2~32 文字で、小文字、数字、アンダースコア (_) を使用できます。小文字で始まり、小文字または数字で終わる必要があります。
[追加方法] を [手動追加] に設定します。
グループ内ホワイトリスト テキストボックスに、IP アドレスまたは CIDR ブロックを入力します。
複数の IP アドレスはカンマ (,) で区切ります。IP アドレスは同じにすることはできません。最大 1,000 個の IP アドレスを追加できます。次のフォーマットがサポートされています。
10.23.12.24 などの特定の IP アドレス。
CIDR (Classless Inter-Domain Routing) ブロック。たとえば、/24 は、プレフィックスが 24 ビット長であることを示します。プレフィックスは 1~32 ビット長にすることができます。10.23.12.0/24 は、10.23.12.0 から 10.23.12.255 までの IP アドレス範囲を示します。
警告ホワイトリストに 0.0.0.0/0 を追加すると、すべての IP アドレスからのアクセスが許可されます。これは高いセキュリティリスクをもたらします。この設定は注意して構成してください。
[OK] をクリックします。
オプション: ホワイトリストグループからすべての IP アドレスを削除するには、ターゲットのホワイトリストグループの右側にある [削除] をクリックします。
[default] や [hdm_security_ips] などのシステムが生成したホワイトリストグループは削除できません。
セキュリティグループを使用して ECS インスタンスのプライベートおよびパブリック IP アドレスをバッチで追加する
複数の ECS インスタンスが Tair インスタンスにアクセスする必要がある場合は、Tair ホワイトリストにセキュリティグループを追加できます。セキュリティグループを追加すると、Tair インスタンスは、ECS インスタンスや Elastic Container Instance など、セキュリティグループ内の関連するすべてのインスタンスがプライベートおよびパブリック IP アドレスを使用してアクセスすることを許可します。
IP アクセス制御は、セキュリティグループに関連付けられている ECS インスタンスなどのインスタンスに対してのみ有効です。セキュリティグループで設定されているカスタム CIDR ブロックや IP アドレスとは関係ありません。
Tair インスタンスは、Redis 4.0 (最新のマイナーバージョン) 以降と互換性がある必要があります。メジャーバージョンのスペックアップ方法の詳細については、「メジャーバージョンのスペックアップ」をご参照ください。
コンソールにログインし、[インスタンス] ページに移動します。上部のナビゲーションバーで、管理するインスタンスが存在するリージョンを選択します。次に、インスタンスを見つけてインスタンス ID をクリックします。
左側のナビゲーションウィンドウで、ホワイトリスト設定 をクリックします。
セキュリティグループ タブをクリックします。
セキュリティグループ タブで、セキュリティグループを追加する をクリックします。
表示されるダイアログボックスで、追加するセキュリティグループを選択します。
[セキュリティグループ名] または [セキュリティグループ ID] であいまい検索を実行できます。
図 3. セキュリティグループの追加
説明各インスタンスに最大 10 個のセキュリティグループを追加できます。
[OK] をクリックします。
オプション: すべてのセキュリティグループを削除するには、セキュリティグループをクリアする をクリックします。
関連 API 操作
API 操作 | 説明 |
インスタンスの IP アドレスホワイトリストをクエリします。 | |
インスタンスの IP アドレスホワイトリストを設定します。 | |
インスタンスのホワイトリストに設定されているセキュリティグループをクエリします。 | |
インスタンスのホワイトリスト内のセキュリティグループをリセットします。 |