すべてのプロダクト
Search

このプロダクト

    ApsaraDB RDS:IP アドレスのホワイトリストを構成する

    ドキュメントセンター

    ApsaraDB RDS:IP アドレスのホワイトリストを構成する

    最終更新日:Mar 14, 2025

    ApsaraDB RDS for MariaDB インスタンスを作成した後、外部デバイスが RDS インスタンスにアクセスできるように、RDS インスタンスの IP アドレスのホワイトリストを構成する必要があります。

    背景情報

    RDS インスタンスのセキュリティのために、IP アドレスのホワイトリストを理解し、構成することが不可欠です。詳細な概要を以下に示します。

    • RDS インスタンスへのアクセスを許可するには、ホワイトリストに IP アドレスを追加します。デフォルトでは、ホワイトリストには 127.0.0.1 のみ含まれており、すべての外部アクセスがブロックされます。

    • IP アドレスのホワイトリストは標準パターンをサポートしており、クラシックネットワークと仮想プライベートクラウド (VPC) の両方と互換性があります。RDS MariaDB インスタンスは VPC のみサポートしています。

    • RDS インスタンスの高度なアクセスセキュリティを確保するために、IP アドレスのホワイトリストを定期的にメンテナンスすることをお勧めします。

    注意事項

    • デフォルトの IP アドレスのホワイトリストは変更またはクリアできますが、削除することはできません。

    • 各 RDS インスタンスには、最大 50 個の IP アドレスのホワイトリストを構成できます。

    • 1 つのインスタンスに最大 1000 個の IP アドレスまたはセグメントを追加できます。効率を高めるために、10.10.10.0/24 (詳細はこちら) などの CIDR パターンを使用して、分散した IP アドレスをセグメントに統合することをお勧めします。

    • ali_dms_group (DMS プロダクトの IP アドレスのホワイトリストグループ) と hdm_security_ips (DAS プロダクトの IP アドレスのホワイトリストグループ) は、システムによって自動的に生成されます。関連プロダクトの使用を中断しないように、これらを変更または削除しないでください。

      重要

      • 関連プロダクトの更新によってビジネス IP アドレスが上書きされ、通常の操作が中断される可能性があるため、これらのグループにビジネス IP アドレスを追加しないでください。

      • 2020 年 12 月以降に作成されたインスタンスの場合、誤って変更されないように、hdm_security_ips ホワイトリストグループはユーザーに表示されません。

    IP アドレスのホワイトリストを構成する

    1. [インスタンス] ページに移動します。上部のナビゲーションバーで、RDS インスタンスが存在するリージョンを選択します。次に、RDS インスタンスを見つけて、インスタンスの ID をクリックします。

    2. 左側のナビゲーションウィンドウで、[ホワイトリストとセキュリティグループ] をクリックします。

    3. [ホワイトリスト設定] タブで、[変更][デフォルト] ホワイトリストグループでクリックします。

      説明

      または、[ホワイトリストグループを追加] をクリックして、カスタムグループを作成します。

    4. [ホワイトリストグループの変更] ダイアログボックスで、インスタンスにアクセスする必要がある IP アドレスまたはセグメントを入力し、[OK] をクリックします。

      説明

      • default グループに新しい IP アドレスまたはセグメントを追加すると、デフォルトアドレス 127.0.0.1 が自動的に削除されます。

      • 複数の IP アドレスまたはセグメントはコンマで区切ります。たとえば、192.168.0.1,172.16.213.9 のように入力します。

      • [ECS 内部 IP のロード] をクリックすると、Alibaba Cloud アカウントのすべての ECS インスタンスの IP アドレスが表示され、ホワイトリストにすばやく追加できます。

    一般的な IP アドレスのホワイトリストの構成エラー

    • ホワイトリストとセキュリティグループ > ホワイトリスト設定 にデフォルトアドレス 127.0.0.1 のみが表示されている場合、RDS インスタンスにアクセスできるデバイスはありません。必要なデバイスの IP アドレスをホワイトリストに追加する必要があります。

      このアドレスは、デバイスが RDS インスタンスにアクセスすることを禁止されていることを意味します。そのため、RDS インスタンスにアクセスする必要があるデバイスの IP アドレスをホワイトリストに含める必要があります。

    • ホワイトリストを 0.0.0.0 に設定するのは正しくありません。正しい形式は 0.0.0.0/0 です。

      正しい形式は 0.0.0.0/0 です。

      重要

      0.0.0.0/0 を使用すると、すべてのデバイスが RDS インスタンスにアクセスできます。この設定は慎重に使用してください。

    • ホワイトリストに追加されたパブリック IP アドレスが、デバイスの実際の出力 IP アドレスと一致しない場合があります。その理由は次のとおりです。

      理由は次のとおりです。

      • パブリック IP アドレスは動的であり、時間の経過とともに変化します。

      • パブリック IP アドレスを確認するために使用されるツールまたは Web サイトが、不正確な結果を提供している可能性があります。

      解決策については、「インターネットから RDS MySQL または MariaDB に接続できない: オンプレミスデバイスのパブリック IP アドレスを正しく入力する方法」をご参照ください。

    よくある質問

    • Q: IP アドレスのホワイトリストは、構成後すぐに有効になりますか?

      A: ホワイトリストは、構成後約 1 分でアクティブになります。

    • Q: 作成していないホワイトリストグループがいくつか表示されるのはなぜですか?

      A: これらのグループは、DMS や DAS などの他の Alibaba Cloud プロダクトによって自動的に生成される場合があり、ビジネスデータに影響を与えることはありません。

    • Q: 内部ネットワークアクセスのみを許可し、外部ネットワークアクセスを開かない場合、セキュリティリスクはありますか?

      A: セキュリティを強化するために、RDS インスタンスを VPC に切り替え、同じ VPC 内の ECS インスタンスのみが接続できるようにすることをお勧めします。