データベースのセキュリティと安定性を確保するために、 RDS インスタンスの使用を開始する前に、データベースにアクセスする必要がある IP アドレスまたは IP アドレスセグメントをホワイトリストに登録する必要があります。 RDS のセキュリティを維持するために、定期的にホワイトリストを確認して要件に従って調整することを推奨します。 本ドキュメントでは、ホワイトリストの設定方法と設定手順について説明します。
背景情報
イントラネット、インターネット、またはイントラネットとインターネットの両方を介して RDS インスタンスにアクセスできます。 各接続タイプ (イントラネットとインターネット) に該当するシナリオの詳細については、「 イントラネットとインターネットの IP アドレスの設定」の背景情報をご参照ください。
接続タイプを設定する前に、アプリケーションサービスまたは ECS インスタンスの IP アドレスまたは IP アドレスセグメントを RDS インスタンスのホワイトリストに追加する必要があります。 ホワイトリストが設定されると、RDS インスタンスのイントラネット IP アドレスが自動的に生成されます。 インターネットのIPアドレスが必要な場合は、「インターネットアドレスの申請」をご参照ください。
注意事項
-
RDS インスタンスが新しく作成されるとデフォルトのホワイトリストグループが自動的に作成されます。 このデフォルトのホワイトリストグループは変更またはクリアのみ可能で、削除することはできません。
-
新しく作成された RDS インスタンスには、ローカルループバック IP アドレス 127.0.0.1 がデフォルトで、default ホワイトリストグループ追加されます。 これは、全ての IP アドレスまたは IP アドレスセグメントが、この RDS インスタンスにアクセスすることが禁止されていることを意味します。 したがって、ホワイトリストに他の IP アドレスまたは IP アドレスセグメントを追加する前に、デフォルトのホワイトリストグループから 127.0.0.1 を削除する必要があります。
-
% または 0.0.0.0/0 は、任意の IP アドレスが RDS インスタンスにアクセスできることを示します。 この設定はデータベースのセキュリティを大幅に低下させるため、推奨しません。
手順
- RDS コンソールにログインします。
- 対象インスタンスのリージョンを選択します。
- 対象インスタンスの名前をクリックし、基本情報ページに移動します。
- 左側のナビゲーションウィンドウで、 [セキュリティコントロール] をクリックします。セキュリティコントロールページにアクセスします。
- 次の図のように、ホワイトリスト設定タブページで、デフォルトホワイトリストグループの [変更] をクリックします。
注 カスタマイズしたホワイトリストグループを RDS インスタンスに追加する場合は、デフォルトのホワイトリストグループの [クリア] をクリックして IP アドレス 127.0.0.1 を最初に削除してから、[ホワイトリストグループを追加] をクリックします。 カスタマイズされたホワイトリストの設定手順は、次の手順と同じです。
- グループの変更ページで、RDS インスタンスへのアクセスが許可されている IP アドレスまたは IP アドレスセグメントをホワイトリストフィールドに追加します。 ECS イントラネットの IP アドレスを追加する場合は、 [ECS イントラネットの IP アドレスをアップロード] をクリックします。次の図に示すように、プロンプトに従って IP アドレスをクリックします。
注 新しい IP アドレスまたは IP アドレスセグメントをデフォルトグループに追加すると、ループバックアドレス 127.0.0.1 が自動的に削除されます。
パラメーターの説明
- グループ名: 2 〜 32 文字で、小文字、数字、またはアンダースコア (_) をを含めることができます。 グループ名は、小文字で始まり、文字または数字で終わる必要があります。 ホワイトリストグループが正常に作成されると、この名前を変更できなくなります。
- ホワイトリスト: RDS インスタンスへのアクセスが許可されているカスタマイズされた IP アドレスまたは IP アドレスセグメントを入力します。
- 10.10.10.0/24 のように IP アドレスセグメントを入力した場合は、10.10.10.x という形式の IP アドレスがRDS インスタンスにアクセスできることを示します。
- 複数の IP アドレスまたは IP アドレスセグメントを入力する場合は、"192.168.0.1,172.16.213.9" のように、カンマ (,) で区切ります (スペースを入れないでください)。
- ホワイトリストグループごとに、最大 1000 個の IP アドレスまたは IP アドレスセグメントを MySQL、PostgreSQL、および PPAS インスタンスに設定でき、最大 800 個を SQL Server インスタンスに設定できます。
- ECS イントラネットの IP アドレスをアップロード: このボタンをクリックして、RDS インスタンスと同じアカウントにある ECS インスタンスのイントラネット IP アドレスを選択できます。 これは、ECS イントラネットの IP アドレスを追加する簡単な方法です。
- [OK] をクリックします。
ホワイトリストグループの変更または削除
ビジネス要件に応じて、ホワイトリストグループの修正または削除ができます。 詳しい手順は次のとおりです。
- RDS コンソールにログインします。
- 対象インスタンスのリージョンを選択します。
- 対象インスタンスの名前をクリックして、基本情報ページに移動します。
- 左側のナビゲーションウィンドウで セキュリティをクリックします。
- ホワイトリスト設定のタブページで、対象のホワイトリストグループの [変更] ボタンまたは [削除] ボタンをクリックします。
- IP アドレスまたは IP アドレスセグメントを変更した後に [OK] をクリックします。 または、削除されるホワイトリストグループを確認できたら、[確認] をクリックします。