すべてのプロダクト
Search

このプロダクト

    ApsaraDB RDS:IP アドレスホワイトリストの設定

    ドキュメントセンター

    ApsaraDB RDS:IP アドレスホワイトリストの設定

    最終更新日:Nov 09, 2025

    このトピックでは、ApsaraDB RDS for PostgreSQL インスタンスの IP アドレスホワイトリストを設定する方法について説明します。RDS インスタンスを作成した後、RDS インスタンスの IP アドレスホワイトリストまたはセキュリティグループを設定する必要があります。そうしないと、RDS インスタンスにアクセスできません。

    シナリオ

    IP アドレスホワイトリストは、RDS インスタンスへのアクセスが許可されている IP アドレスと CIDR ブロックで構成されます。RDS インスタンスの IP アドレスホワイトリストを設定して、RDS インスタンスに高レベルのアクセスの制御とセキュリティ保護を提供できます。設定した IP アドレスホワイトリストは定期的に更新することをお勧めします。

    次のシナリオでは、IP アドレスホワイトリストを設定する必要があります。

    • シナリオ 1: RDS インスタンスを作成した後、外部 IP アドレスを IP アドレスホワイトリストに追加する必要があります。そうしないと、外部デバイスは RDS インスタンスにアクセスできません。

    • シナリオ 2: データベース接続の例外が発生した場合は、IP アドレスホワイトリストが正しく設定されているかどうかを確認できます。

    次の表に、さまざまな接続シナリオでの IP アドレスホワイトリストの設定を示します。

    接続シナリオ

    ネットワークタイプ

    IP アドレスホワイトリストの設定

    Elastic Compute Service (ECS) インスタンスを RDS インスタンスに接続する

    ECS インスタンスと RDS インスタンスが同じ VPC (推奨) にある

    ECS インスタンスのプライベート IP アドレスを RDS インスタンスの IP アドレスホワイトリストに追加します。

    ECS インスタンスと RDS インスタンスが異なる VPC にある

    異なる VPC のインスタンスは、内部ネットワークを介して相互に通信できません。この場合、次の操作を実行します。

    1. RDS インスタンスを ECS インスタンスが存在する VPC に移行します。

      説明

      この操作は、ECS インスタンスと RDS インスタンスが同じリージョンにある場合にのみサポートされます。ECS インスタンスと RDS インスタンスが異なるリージョンにある場合は、DTS を使用して RDS インスタンスを ECS インスタンスが存在するリージョンに移行することをお勧めします。これにより、データベースサービスの安定性を確保できます。詳細については、「ApsaraDB RDS for PostgreSQL インスタンス間でデータを移行する」をご参照ください。

    2. ECS インスタンスのプライベート IP アドレスを RDS インスタンスの IP アドレスホワイトリストに追加します。

    ACK クラスター内のコンテナーを RDS インスタンスに接続する

    ACK クラスターと RDS インスタンスが同じ VPC (推奨) にある

    • ACK クラスターのコンテナーネットワークプラグインが Flannel の場合は、アプリケーションが実行されているノードの IP アドレスを追加します。

    • ACK クラスターのコンテナーネットワークプラグインが Terway の場合は、アプリケーションが実行されている Pod の IP アドレスを追加します。

    Pod の IP アドレスとノードの IP アドレスは、ACK クラスターの Pod ページで表示できます。

    ACK クラスターと RDS インスタンスが異なる VPC にある

    異なる VPC 内のインスタンスは、内部ネットワークを介して相互に通信できません。この場合、次の操作を実行します。

    1. RDS インスタンスを ACK クラスターが存在する VPC に移行します。

      説明

      この操作は、ACK クラスターと RDS インスタンスが同じリージョンにある場合にのみサポートされます。ACK クラスターと RDS インスタンスが異なるリージョンにある場合は、DTS を使用して RDS インスタンスを ACK クラスターが存在するリージョンに移行することをお勧めします。これにより、データベースサービスの安定性を確保できます。詳細については、「ApsaraDB RDS for PostgreSQL インスタンス間でデータを移行する」をご参照ください。

    2. アプリケーションが実行されている ACK クラスターの IP アドレスを追加します。

      • ACK クラスターのコンテナーネットワークプラグインが Flannel の場合は、アプリケーションが実行されているノードの IP アドレスを追加します。

      • ACK クラスターのコンテナーネットワークプラグインが Terway の場合は、アプリケーションが実行されている Pod の IP アドレスを追加します。

    クラウド外の自己管理ホストを RDS インスタンスに接続する

    なし

    セルフマネージドホストのパブリック IP アドレスを RDS インスタンスの IP アドレスホワイトリストに追加します。

    • 自己管理ホストで実行されているアプリケーションは、RDS インスタンスのパブリックエンドポイントに接続します。

    • curl ipinfo.io/ip コマンドを実行して、自己管理ホストのパブリック IP アドレスをクエリできます。

      説明

      自己管理ホストに固定 IP アドレスがない場合、または IP アドレスが頻繁に変更される場合は、「よくある質問」で解決策をご参照ください。

    制限事項

    • RDS インスタンスには最大 50 個の IP アドレスホワイトリストを設定できます。

    • RDS インスタンスに IP アドレスホワイトリストを設定しても、インスタンス上のワークロードは影響を受けません。

    • IP アドレスホワイトリストグループは、IP アドレス管理にのみ使用されます。実際のアクセス権限には影響しません。すべての IP アドレスホワイトリストグループ内のすべての IP アドレスは、RDS インスタンスに対して同じアクセス権限を持ちます。

    • default というラベルの付いたホワイトリストはクリアできますが、削除はできません。

    • 他の Alibaba Cloud サービス用に生成された IP アドレスホワイトリストは変更または削除しないでください。これらの IP アドレスホワイトリストを削除すると、関連する Alibaba Cloud サービスは ApsaraDB RDS インスタンスに接続できなくなります。たとえば、ali_dms_group (DMS の IP アドレスホワイトリストグループ) または hdm_security_ips (DAS の IP アドレスホワイトリストグループ) を変更または削除しないでください。

      重要

      IP アドレスホワイトリストグループの誤った変更や削除を防ぐため、2020 年 12 月以降に作成されたインスタンスでは、hdm_security_ips IP アドレスホワイトリストグループはユーザーには表示されません。

    • デフォルトの IP アドレスホワイトリストには 127.0.0.1 のみが含まれています。これは、ローカル IP アドレス 127.0.0.1 を除く IP アドレスは RDS インスタンスにアクセスできないことを示します。

    標準 IP アドレスホワイトリストの設定

    1. RDS インスタンスページにアクセスし、ページ上部でリージョンを選択し、対象インスタンスの ID をクリックします。

    2. 左側のナビゲーションウィンドウで、[ホワイトリストとセキュリティグループ] をクリックします。

    3. [ホワイトリストの作成] をクリックし、[グループ名] を入力するか、既存の IP アドレスホワイトリストグループの [変更] をクリックします。

    4. RDS インスタンスにアクセスする必要がある IP アドレスまたは CIDR ブロックを入力し、[OK] をクリックします。

      重要

      • 複数の IP アドレスまたは CIDR ブロックはコンマ (,) で区切ります。コンマの前後にスペースを追加しないでください。例: 192.168.0.1,172.16.213.9

      • 各 RDS インスタンスには、最大 1,000 個の IP アドレスと CIDR ブロックを設定できます。多数の IP アドレスを指定するには、IP アドレスを 10.10.10.0/24 などの CIDR ブロックにまとめることをお勧めします。

    5. (オプション) 現在のインスタンスに読み取り専用インスタンスがある場合は、[読み取り専用インスタンスにホワイトリストを同期] パラメーターを設定して、プライマリインスタンスの IP アドレスホワイトリストを指定された読み取り専用インスタンスに同期できます。複数の読み取り専用 RDS インスタンスが RDS インスタンスにアタッチされている場合は、同期のために複数の読み取り専用 RDS インスタンスを選択できます。

    6. (オプション) [ECS 内部 IP アドレスの読み込み] をクリックすると、Alibaba Cloud アカウントに属するすべての ECS インスタンスの IP アドレスが表示されます。ECS インスタンスのプライベート IP アドレスを IP アドレスホワイトリストにすばやく追加できます。

      image.png

    拡張 IP アドレスホワイトリストの設定

    説明

    クラウドディスクインスタンスは、高セキュリティホワイトリストモードをサポートしていません。パフォーマンス専有型ローカルディスクストレージは購入できなくなりました

    高セキュリティホワイトリストモードは、クラシックネットワークと VPC を区別します。各 IP アドレスホワイトリストグループにネットワーク隔離モードを指定する必要があります。たとえば、クラシックネットワークの IP アドレスホワイトリスト内の IP アドレスは、VPC 経由で RDS インスタンスにアクセスするために使用することはできず、その逆も同様です。

    パフォーマンス専有型ローカルディスクインスタンスがすでに高セキュリティホワイトリストモードになっている場合は、このセクションの手順に従ってください。高セキュリティホワイトリストモードに切り替えるには、「高セキュリティホワイトリストモードに切り替える」をご参照ください。

    1. RDS インスタンスページにアクセスし、ページ上部でリージョンを選択し、対象インスタンスの ID をクリックします。

    2. 左側のナビゲーションウィンドウで、[ホワイトリストとセキュリティグループ] をクリックします。

    3. [ホワイトリストの作成] をクリックし、[ネットワーク分離モード] を選択します。

    4. [グループ名] を入力します。

    5. [IP アドレス] フィールドに、RDS インスタンスにアクセスする必要がある IP アドレスまたは CIDR ブロックを入力し、[OK] をクリックします。

      重要

      • 複数の IP アドレスまたは CIDR ブロックはコンマ (,) で区切ります。コンマの前後にスペースを追加しないでください。例: 192.168.0.1,172.16.213.9

      • 各 RDS インスタンスには、最大 1,000 個の IP アドレスと CIDR ブロックを設定できます。多数の IP アドレスを指定するには、IP アドレスを 10.10.10.0/24 などの CIDR ブロックにまとめることをお勧めします。

    1. (オプション) 現在のインスタンスに読み取り専用インスタンスがある場合は、[読み取り専用インスタンスにホワイトリストを同期] パラメーターを設定して、プライマリインスタンスの IP アドレスホワイトリストを指定された読み取り専用インスタンスに同期できます。複数の読み取り専用 RDS インスタンスが RDS インスタンスにアタッチされている場合は、同期のために複数の読み取り専用 RDS インスタンスを選択できます。

    2. (オプション) [ECS 内部 IP アドレスの読み込み] をクリックすると、Alibaba Cloud アカウントに属するすべての ECS インスタンスの IP アドレスが表示されます。ECS インスタンスのプライベート IP アドレスを IP アドレスホワイトリストにすばやく追加できます。

      説明

      RDS インスタンスで拡張ホワイトリストモードが有効になっている場合は、ネットワーク分離モードを選択する必要があります。

      image.png

    次のステップ

    データベースとアカウントを作成する

    よくある質問

    RDS コンソールで IP アドレスホワイトリストを追加すると、 InvalidSecurityIPListLength.Malformed というエラーが表示されるのはなぜですか?

    問題の説明

    RDS コンソールで IP アドレスホワイトリストを追加すると、次のエラーが表示されることがあります。

    エラーコード: InvalidSecurityIPListLength.Malformed
エラーメッセージ: セキュリティ IP アドレスが有効な範囲にないか、占有されています。

    解決策

    • 原因 1: 1 つの IP アドレスホワイトリストグループに追加できる IP アドレスまたは CIDR ブロックは最大 1,000 個です。追加しようとしている IP アドレスの数がこの制限を超えています。

      解決策: 1 つの IP アドレスホワイトリストグループ内の IP アドレスまたは CIDR ブロックの数が 1,000 を超えないようにしてください。エントリ数を減らすために、個々の IP アドレスを CIDR ブロック (例: 192.168.1.0/24) にまとめることをお勧めします。

    • 原因 2: 追加しようとしている IP アドレスホワイトリストに無効な IP アドレスが含まれています。

      解決策: 入力した IP アドレスが有効であることを確認してください。標準の CIDR フォーマット (例: 10.23.12.0/24) を使用することをお勧めします。マスクの有効値は 1 から 32 です。複数の IP アドレスを追加するには、コンマ (,) で区切ります。

    • 原因 3: 追加しようとしている IP アドレスホワイトリストが、既存の IP アドレスホワイトリストと競合しています。たとえば、RDS MySQL では、192.168.1.8192.168.1.1/8 と競合します。

      解決策: 実際の要件に基づいて IP アドレスホワイトリストを計画および追加し、既存のルールとの重複や競合を回避します。

    説明

    デフォルトグループ default (127.0.0.1 を含む) を削除したり、システムグループ (ali_dms_grouphdm_security_ips など) を変更したりしないでください。システム関数や接続のセキュリティに影響を与える可能性があります。

    関連する API 操作

    • API 操作 DescribeDBInstanceIPArrayList を呼び出して、RDS インスタンスの IP アドレスホワイトリストを表示できます。

    • API 操作 ModifySecurityIps を呼び出して、RDS インスタンスの IP アドレスホワイトリストを変更できます。