RDS インスタンスに接続できない場合は、必要なクライアントまたはサービスに対してアクセス権を付与する必要があります。セキュリティグループを使用すると、ECS インスタンスや特定の IP アドレス、CIDR ブロックからの ApsaraDB RDS for SQL Server インスタンスへのアクセスを許可できます。このトピックでは、各アクセス制御方法の使用タイミングと、セキュリティグループおよびセキュリティグループルールの設定方法について説明します。
アクセス制御方法の選択
セキュリティグループと IP アドレスホワイトリストはどちらも RDS インスタンスへのアクセスを許可しますが、動作原理が異なります。
| 方法 | 推奨用途 | インスタンスファミリー |
|---|---|---|
| セキュリティグループ | 複数の ECS インスタンスに対するアクセスを一括で許可する場合。グループへの変更は自動的に RDS インスタンスに適用されます。 | すべて |
| セキュリティグループルール | 特定の IP アドレスまたは CIDR ブロック(SQL Server Analysis Services (SSAS) や SQL Server Reporting Services (SSRS) を含む)へのアクセスを許可する場合。 | 汎用型および専用型のみ |
| IP アドレスホワイトリスト | セキュリティグループが不要な場合に、個別の IP アドレスまたは CIDR ブロックへのアクセスを許可する場合。 | すべて |
IP アドレスホワイトリストの詳細については、「IP アドレスホワイトリストの設定」をご参照ください。
制限事項
| 制約事項 | 詳細 |
|---|---|
| RDS インスタンスあたりのセキュリティグループ数 | 最大 10 個 |
| セキュリティグループあたりのルール数 | 無制限 |
| ネットワークタイプ | セキュリティグループと RDS インスタンスは、同じネットワークタイプ(VPC またはクラシックネットワーク)を使用する必要があります。 |
| ネットワークタイプの変更 | RDS インスタンスのネットワークタイプを変更した場合、それまで関連付けられていたセキュリティグループは無効になります。新しいネットワークタイプに一致するセキュリティグループを再度関連付けてください。 |
| セキュリティグループルール | 汎用型および専用型インスタンスでのみ利用可能です。「インスタンスファミリー」をご参照ください。 |
| VPC スコープ | VPC 内では、すべてのホストが同じセキュリティグループを共有します。セキュリティグループを変更すると、その VPC 内のすべての RDS インスタンスに影響します。 |
| ECS インスタンスの更新 | 関連付けられたセキュリティグループ内の ECS インスタンスの更新は、即座に有効になります。 |
セキュリティグループの関連付け
セキュリティグループを関連付けると、そのグループに属するすべての ECS インスタンスが RDS インスタンスにアクセスできるようになります。
インスタンスページに移動します。上部ナビゲーションバーで RDS インスタンスが配置されているリージョンを選択し、インスタンス ID をクリックします。
左側のナビゲーションウィンドウで ホワイトリストと SecGroup をクリックします。表示されたページで セキュリティグループ タブをクリックします。
ご利用のインスタンスファミリーに応じて、適切なボタンをクリックします。
共有型インスタンス: [セキュリティグループの追加] をクリックします。
汎用型または専用型インスタンス: [セキュリティグループホワイトリストの関連付け] をクリックします。
関連付けるセキュリティグループを選択し、[OK] をクリックします。
VPC タグが付いたセキュリティグループは、VPC タイプのセキュリティグループです。
セキュリティグループルールの追加
セキュリティグループルールにより、特定の IP アドレスまたは権限付与オブジェクトが RDS インスタンスや SSAS、SSRS などのサービスにアクセスできるようになります。
セキュリティグループルールは、汎用型および専用型インスタンスでのみ利用可能です。
インスタンスページに移動します。上部ナビゲーションバーで RDS インスタンスが配置されているリージョンを選択し、インスタンス ID をクリックします。
左側のナビゲーションウィンドウで ホワイトリストと SecGroup をクリックします。表示されたページで セキュリティグループ タブをクリックします。
[セキュリティグループルールの追加] をクリックします。ダイアログボックスで追加方法を選択し、ルールを設定して [OK] をクリックします。
VPC 内のセキュリティグループを変更すると、その VPC 内のすべての RDS インスタンスに影響します。
シナリオ別追加
一般的なサービス向けのプリセット構成を使用します。
| シナリオ | プロトコル | ポート範囲 | 権限付与オブジェクト |
|---|---|---|---|
| SSAS | TCP | 2383/2383 | 0.0.0.0/0 |
| SSRS | TCP | 443/443 | 0.0.0.0/0 |
0.0.0.0/0 の権限付与オブジェクトは、すべての IP アドレスからのインスタンスへのアクセスを許可します。公開範囲を制限するには、特定の CIDR ブロックに置き換えてください。
手動追加
以下のパラメーターを指定します。
| パラメーター | 説明 | 例 |
|---|---|---|
| プロトコルの種類 | ネットワークプロトコル。TCP および UDP がサポートされています。「セキュリティグループルール」をご参照ください。 | TCP |
| ポート範囲 | 宛先ポート範囲。「一般的なポート」をご参照ください。 | 22/22 |
| 権限付与オブジェクト | 許可する送信元 IP アドレス。 | 192.XX.XX.100 |
| 説明 | ルールの説明。 | — |
関連操作
セキュリティグループの関連付け解除
インスタンスページに移動します。上部ナビゲーションバーで RDS インスタンスが配置されているリージョンを選択し、インスタンス ID をクリックします。
左側のナビゲーションウィンドウで ホワイトリストと SecGroup をクリックします。表示されたページで セキュリティグループ タブをクリックします。
対象のセキュリティグループを見つけ、右側の [削除] をクリックします。
説明関連付けられているすべての ECS セキュリティグループを一度に削除するには、[クリア] をクリックします。
[OK] をクリックします。
セキュリティグループルールの変更
インスタンスページに移動します。上部ナビゲーションバーで RDS インスタンスが配置されているリージョンを選択し、インスタンス ID をクリックします。
左側のナビゲーションウィンドウで ホワイトリストと SecGroup をクリックします。表示されたページで セキュリティグループ タブをクリックします。
操作列で [変更] をクリックします。
表示されたダイアログボックスでルールのパラメーターを更新し、[OK] をクリックします。次のパラメーターが利用可能です。
パラメーター 説明 例 プロトコルの種類 ネットワークプロトコル。TCP および UDP がサポートされています。「セキュリティグループルール」をご参照ください。 TCP ポート範囲 宛先ポート範囲。「一般的なポート」をご参照ください。 22/22権限付与オブジェクト 許可する送信元 IP アドレス。 192.XX.XX.100説明 ルールの説明。 —
セキュリティグループルールの削除
インスタンスページに移動します。上部ナビゲーションバーで RDS インスタンスが配置されているリージョンを選択し、インスタンス ID をクリックします。
左側のナビゲーションウィンドウで ホワイトリストと SecGroup をクリックします。表示されたページで セキュリティグループ タブをクリックします。
対象のセキュリティグループルールを見つけ、操作列の [削除] をクリックします。
次のステップ
IP アドレスホワイトリストの設定: セキュリティグループの代替または補完として、個別の IP アドレスによるアクセス許可を行います。
セキュリティグループの作成: RDS インスタンスに関連付ける新しい ECS セキュリティグループを作成します。
アカウントとデータベースの作成:アクセスの制御を設定した後、RDS インスタンス用のデータベースとアカウントを作成します。