:高安全性

VPC ネットワークから Elasticsearch へのアクセス

Alibaba Cloud Elasticsearch インスタンスの内部ネットワークアドレスを使用して、VPC ネットワークからインスタンスにアクセスできます。 アプリケーションから Elasticsearch へのアクセス環境に関する要件が高い場合、Elasticsearch インスタンスと同じリージョンの Alibaba Cloud Elastic Compute Service (ECS) インスタンスと VPC ネットワークを購入します。 アプリケーションを ECS インスタンスにデプロイし、Elasticsearch インスタンスの内部ネットワーク アドレスを使用して、Elasticsearch にアクセスします。

アクセス制御

• ホワイトリスト

  Alibaba Cloud Elasticsearch インスタンスの内部ネットワークアドレスを使用してインスタンスにアクセスする場合、ホワイトリストを使用してアクセスを制御できます。 ホワイトリストに含まれる IP アドレスを持つクライアントのみ、Elasticsearch インスタンスにアクセスできます。

  Elasticsearch インスタンスのパブリックネットワークアクセス機能が有効化されている場合、パブリックネットワークホワイトリストを使用してアクセスを制御できます。 パブリックアクセスホワイトリストに含まれる IP アドレスを持つクライアントのみ、Elasticsearch インスタンスにアクセスできます。 詳細は、「パブリック IP アドレスのホワイトリスト」をご参照ください。

• RAM

  Alibaba Cloud Elasticsearch コンソールでは、Resource Access Management (RAM) ユーザーがサポートされています。 RAM ユーザーを使用してリソースを分離できます。 RAM ユーザーは、自分の Elasticsearch インスタンスの表示と管理が可能です。 詳細は、「ポリシーチェックルール」をご参照ください。

• X-Pack ロールベースの権限管理

  Alibaba Cloud Elasticsearch は、Elasticsearch の商用アドオンである X-Pack プラグインを提供しています。 X-Pack は、セキュリティ、アラート、モニタリング、グラフ、レポートなどの機能を備えたインストールしやすいバンドルです。 X-Pack は Kibana に統合され、権限付与と認証、ロールベースの権限制御、リアルタイムモニタリング、可視化レポート、機械学習など、多くの機能があります。 ロールベースの権限制御を使用すると、インデックス固有のアクセス制御を実現できます。 詳細は、Elasticsearch 公式ドキュメントの『Security APIs』をご参照ください。

システムセキュリティ

• VPC ネットワークから Alibaba Cloud Elasticsearch インスタンスにアクセスできます。 VPC ネットワークは、アプリケーションに対してより安全な環境を提供します。
• Alibaba Cloud Elasticsearch インスタンス内のノードが実行されているサーバーにログインすることはできません。
• デフォルトでは、Elasticsearch インスタンスのパブリックネットワークアクセスは、すべての IP アドレスに対してインスタンスへのアクセスを禁止しています。 インスタンスにアクセスするには、まずパブリック IP アドレスのホワイトリストを変更してください。
• 内部ネットワークアドレスまたはパブリックネットワークアクセスを使用して Alibaba Cloud Elasticsearch インスタンスにアクセスする場合、ホワイトリストを設定してアクセス制御を実装できます。
• Elasticsearch インスタンスの内部ネットワークアドレスまたはパブリックネットワークアクセスを使用してインスタンスにアクセスする場合、Elasticsearch サービスではポート 9200 と 9300 のみが有効化されています。
  重要 Alibaba Cloud Elasticsearch 6.3.2 with X-Pack では、ポート 9300 は無効化されています。