すべてのプロダクト
Search
ドキュメントセンター

Smart Access Gateway:SAG と CEN を使用した OSS への内部アクセス

最終更新日:Jun 05, 2026

このチュートリアルでは、オンプレミスクライアントを Smart Access Gateway (SAG) と Cloud Enterprise Network (CEN) を介して Alibaba Cloud に接続し、内部ネットワーク経由で Object Storage Service (OSS) リソースにアクセスする方法について説明します。

前提条件

背景情報

クラウドサービスは、OSS、SLS、DTS など、100.64.0.0/10 の CIDR ブロックを使用する Alibaba Cloud プロダクトです。オンプレミスユーザーは SAG を介して接続し、CEN を通じてこれらのサービスにアクセスできます。

OSS はスケーラブルなクラウドストレージサービスです。同一リージョン内の Alibaba Cloud サービス間の内部ネットワークアクセスは無料です。このチュートリアルでは、ある企業が中国 (上海) に VPC を持ち、同一リージョンの OSS を使用して機密性の低いデータを保存しているとします。従業員が内部ネットワーク経由でこのデータにアクセスする必要があるため、企業は SAG アプリを使用して Alibaba Cloud に接続します。

image

ワークフロー

image

ステップ 1:OSS のデプロイと設定

このチュートリアルでは、コンソールから OSS をデプロイします。詳細については、「Object Storage Service とは」をご参照ください。

  1. OSS を有効化します。 OSS を有効化する

  2. バケットを作成します。

    1. OSS コンソールにログインします。

    2. 左側のナビゲーションペインで、バケット をクリックし、次に バケットの作成 をクリックします。

    3. バケットの作成 ページで、バケットパラメーターを設定し、OK をクリックします。

      このチュートリアルで使用するパラメーター。詳細については、「バケットの作成」をご参照ください。

      パラメーター

      説明

      バケット名

      バケット名を入力します。名前は作成後に変更できません。この例では shosstest を使用します。

      [Region]

      バケットリージョン。作成後は変更できません。この例では、[中国 (上海)] が選択されています。

      ストレージクラス

      バケットストレージクラス。 この例では、[標準] が選択されています。

      Standard ストレージは、頻繁なデータアクセス向けの高性能オブジェクトストレージを提供し、ソーシャルメディア、大規模な Web サイト、ビッグデータ分析に適しています。詳細については、「ストレージクラスの概要」をご参照ください。

      冗長タイプ

      バケットのデータ冗長タイプ。

      • LRS

        ローカル冗長ストレージ (LRS) は、単一のアベイラビリティゾーン内で複数のデバイスにデータのコピーを保存し、ハードウェア障害に対するデータの耐久性と可用性を保証します。

      • [ゾーン冗長ストレージ]

        ゾーン冗長ストレージ (ZRS) は、同一リージョン内の複数のアベイラビリティゾーンにわたってデータのコピーを保存します。これにより、1 つのアベイラビリティゾーンで障害が発生した場合でも、データにアクセスできます。

      重要

      ZRS は、中国 (深セン)、中国 (北京)、中国 (杭州)、中国 (上海)、中国 (香港)、シンガポール、インドネシア (ジャカルタ) リージョンでサポートされています。ZRS は LRS よりも高価であり、一度有効にすると無効にできません。この機能を有効にする際はご注意ください。

      この例では、[LRS] が選択されています。

      ACL

      バケット ACL。この例では、[プライベート] が選択されています。

      バケットの所有者のみがオブジェクトの読み書きを行えます。他のユーザーはアクセスできません。

      バージョニング

      バージョニングを有効にするかどうかを指定します。この例では、[有効] が選択されています。

      バージョニングは、上書きまたは削除されたオブジェクトを履歴バージョンとして保存し、以前のバージョンを復元できるようにします。詳細については、「バージョニングの概要」をご参照ください。

      [暗号化の方法]

      サーバーサイド暗号化。この例では、[なし] が選択されています。

      [リアルタイムログ照会]

      OSS のリアルタイムログクエリ。この例では、[無効] が選択されています。

      スケジュールバックアップ

      OSS データをスケジュールに従ってバックアップする場合は、この機能を有効にします。 Cloud Backup は毎日バックアップを実行し、ファイルを 1 週間保持します。 この例では、[無効]が選択されています。

  3. オブジェクトをアップロードします。

    1. 左側のナビゲーションペインで、[バケット] をクリックします。[バケット名] 列で、目的のバケット名をクリックします。

    2. 左側のナビゲーションウィンドウで、オブジェクト管理 > オブジェクト を選択します。

    3. [オブジェクトのアップロード] をクリックします。

    4. [Upload Object] ページで、アップロードパラメーターを設定します。

      • アップロード先:アップロード後のストレージパス。この例では、デフォルト値を使用します。

      • オブジェクト ACL:オブジェクトの ACL です。 デフォルト:バケットから継承。 この例では、デフォルトが使用されます。

      • アップロードするファイル:アップロードするファイルまたはフォルダーを選択します。 ファイルの選択 または フォルダーの選択 をクリックするか、このエリアにファイルをドラッグアンドドロップします。 ファイルを削除するには、Remove をクリックします。

    5. アップロード をクリックします。[タスクリスト] パネルで、アップロードが完了するまで待機してから、[タスクリスト] パネルを閉じます。

  4. オブジェクトの権限を設定します。

    データセキュリティのため、このチュートリアルの OSS リソースはプライベートに設定されています。特定のユーザーが特定の OSS リソースにアクセスできるようにするには、アクセス権限を付与する必要があります。以下の手順では、すべてのユーザーに対して、ある画像への読み取り専用権限を付与します。詳細については、「バケットポリシーを使用して特定のリソースに対する権限を付与する」をご参照ください。

    1. 左側のナビゲーションペインで、[バケット] をクリックします。[バケット名] 列で、目的のバケットの名前をクリックします。

    2. 左側のナビゲーションペインで、オブジェクト管理 > オブジェクトを選択します。

    3. [承認] をクリックします。

    4. [バケットポリシー] ページで、[承認] をクリックします。

    5. [承認] パネルで、次のパラメーターを設定し、[OK] をクリックします。

      • 適用対象:この例では、[指定されたリソース] が選択されています。

      • リソースパス:この例では、SHOSS.jpg を入力します。

      • 承認済みユーザー:この例では、[すべてのアカウント (*)] が選択されています。

      • 許可された操作:この例では、[読み取り専用 (ListObject を除く)]が選択されています。

ステップ 2:クライアントの Alibaba Cloud への接続

SAG アプリインスタンスを購入し、ネットワークを設定し、SAG コンソールでクライアントアカウントを作成します。その後、オンプレミスクライアントは SAG クライアントを介して Alibaba Cloud に接続できます。

  1. SAG アプリインスタンスを購入します。

    1. SAG コンソールにログインします。

    2. 左側のナビゲーションペインで、Smart Access Gateway Software > SAG App Instances を選択します。

    3. Smart Access Gateway Software ページで、Create SAG App をクリックし、以下のパラメーターを設定します。

      • [Region][Region]: SAG クライアントを使用するリージョンです。この例では、[中国 (上海)] が選択されています。

      • [Number of Client Accounts]: クライアントアカウントの最大数です。 各ユーザーに 1 つのアカウントを作成します。 この例では、デフォルト値の 10 を使用します。

        説明

        5〜1,000 個のクライアントアカウントを購入できます。クライアントアカウントは段階的な料金モデルで価格設定されます。詳細については、「SAG アプリインスタンスの課金」をご参照ください。

      • アカウントごとのデータプラン:アカウントごとの月間無料データ転送量。共有不可で、繰り越しもできません。デフォルト: 5 GB/月。

      • データプランを使い切った場合の課金方法:無料プランを超過した分は、従量課金制で請求されます。

      • [Subscription Period]:各アカウントのデータプランのサブスクリプション期間 (月単位)。自動更新がサポートされています。この例では、デフォルト値の 1 か月を使用します。

    4. Buy Now をクリックし、注文を確認して、支払いを完了します。

  2. ネットワークを設定します。

    購入後、プライベート CIDR ブロックを指定し、それを Cloud Connect Network (CCN) インスタンスにバインドして SAG アプリのネットワークを設定します。

    CCN は SAG の主要コンポーネントです。バインド後、SAG インスタンスに関連付けられたオンプレミスクライアントは、CCN インスタンスを介して Alibaba Cloud にアクセスできます。詳細については、「CCN とは」をご参照ください。

    1. Smart Access Gateway Software ページで、作成したインスタンスを見つけ、Operation 列の Quick Configuration をクリックします。

    2. Quick Configuration ページで、ネットワークを設定します。

      • [CCN Instance ID/Name]: CCN インスタンスは 2 つの方法でバインドできます。この例では、[CCN の作成] が選択されています。

        • 既存の CCN:既存の CCN インスタンスがある場合は、ドロップダウンリストから選択できます。

        • CCN の作成:CCN インスタンスがない場合は、名前を入力します。システムは現在のリージョンに CCN インスタンスを自動的に作成し、バインドします。

      • オプション: [Standby and Active DNS]:このパラメーターはオプションです。SAG アプリインスタンスのプライマリおよびバックアップ DNS サーバーをカスタマイズします。システムは設定をクライアントに自動的にプッシュします。この例では、このパラメーターは空のままにします。

      • [Private CIDR Block]:クライアントのプライベート CIDR ブロックを設定します。システムは接続ごとにこのブロックから IP アドレスを割り当てます。CIDR ブロックが重複しないようにしてください。この例では、192.168.10.0/24 を使用します。

  3. CEN インスタンスと関連付けます。

    CCN インスタンスを CEN にバインドします。バインド後、オンプレミスクライアントは CEN を介して OSS クラウドサービスにアクセスできます。

    1. Next: Associate with a CEN (optional) をクリックして CEN インスタンスにバインドします。

    2. CEN インスタンスには 2 つの方法で関連付けることができます。 このチュートリアルでは、既存の CEN インスタンスを使用して、クライアントがクラウドリソースと通信できるようにします。 Existing CEN を選択して、お使いの CEN インスタンスを選択します。

      • [Existing CEN]:既存の CEN インスタンスがある場合は、ドロップダウンリストから選択できます。

      • [Create CEN]:CEN インスタンスがない場合は、名前を入力します。システムは CEN インスタンスを自動的に作成し、バインドします。

  4. クライアントアカウントを作成します。

    クライアントアカウントを作成します。ユーザーはこれらの認証情報を使用して SAG クライアントにログインし、内部ネットワークに接続します。

    1. Next: Create a client account をクリックしてクライアントアカウントを設定します。

      • [Username]:このパラメーターはオプションです。

        説明
        • 同じ SAG アプリインスタンス内のクライアントアカウントのユーザー名は一意である必要があります。

        • メールアドレスのみを提供した場合、システムはメールアドレスをユーザー名として使用し、ユーザー名とパスワードを自動的に生成します。

      • [Email Address]:このパラメーターは必須です。アカウント情報を受け取るためのメールアドレス。

      • [Static IP]:

        • この機能を有効にする場合は、クライアントの IP アドレスを指定します。アカウントは常にこの IP アドレスを使用して Alibaba Cloud にアクセスします。

          説明

          指定された IP アドレスは、プライベート CIDR ブロック内にある必要があります。

        • この機能を無効にすると、システムは接続ごとにプライベート CIDR ブロックから IP アドレスを割り当てます。

      • [Set Maximum Bandwidth]:アカウントあたりの最大帯域幅。この例では、デフォルト値を使用します。

        設定範囲: 1〜2,000 Kbps。デフォルト: 2,000 Kbps。

      • [Set Password]:このパラメーターはオプションです。クライアントログイン用のパスワードを設定します。

    2. Confirm Creation をクリックします。

      重要
      • リージョン間接続が存在しない場合は、VPC リージョンのトランジットルーターと CCN インスタンスのトランジットルーターの間にリージョン間接続を作成します。詳細については、「リージョン間接続の作成」をご参照ください。

      • リージョン間接続が既に存在する場合は、次のステップに進みます。

  5. クライアントを Alibaba Cloud に接続します。

    1. 設定後、Download Now をクリックしてクライアントをダウンロードしてインストールします。クライアントをインストールする

    2. インストール後、従業員は認証情報を使用してログオンし、内部ネットワークに接続します。内部ネットワークに接続する

    接続に成功すると、クライアントのステータスに [Internal Network Connection] が確立されたことが示されます。帯域幅制限は [2.0 Mbps] です。[Disconnect] をクリックすると接続を終了できます。

ステップ 3:OSS へのルート設定

CEN コンソールで OSS へのルートを設定します。設定後、CEN は CCN に関連付けられたネットワークからのトラフィックを OSS にルーティングし、オンプレミスクライアントが OSS にアクセスできるようにします。

  1. CEN コンソールにログインします。

  2. 対象の CEN インスタンスの ID をクリックします。

  3. Basic Information > トランジットルーター タブで、クラウドサービスと同じリージョンにあるトランジットルーターを見つけ、その ID をクリックします。

  4. トランジットルーターの詳細ページで、ルートテーブル タブをクリックします。

  5. ルートテーブル タブで、左側のリストから対象のルートテーブルを選択し、ルートテーブルの詳細 セクションの ルートエントリ タブで ルートエントリの追加 をクリックします。

  6. ルートエントリの追加 ダイアログボックスで、次のパラメーターを設定し、OK をクリックします。

    パラメーター

    説明

    [ルートテーブル]

    現在のルートテーブルがデフォルトで選択されます。

    [トランジットルーター ID]

    現在のトランジットルーターインスタンスがデフォルトで選択されます。

    [名前]

    ルートエントリの名前を入力します。

    [宛先 CIDR]

    クラウドサービスの IP アドレスまたは CIDR ブロックを入力します。

    たとえば、中国 (上海) リージョンの OSS のサービス CIDR ブロックを入力します:

    • 100.98.35.0/24

    • 100.98.110.0/24

    • 100.98.169.0/24

    • 100.118.102.0/24

    説明

    リージョンのすべてのサービス CIDR ブロックをルートエントリに追加することを推奨します。

    [ブラックホールルート]

    ブラックホールルートを設定するかどうか:

    • Yes:これはブラックホールルートです。このルートに一致するすべてのトラフィックは破棄されます。

    • No:これはブラックホールルートではありません。ルートのネクストホップを指定する必要があります。

    このチュートリアルでは、No を選択します。

    [ネクストホップ]

    ルートエントリのネクストホップを選択します。

    トランジットルーターにアタッチされている VPC インスタンスの接続 ID を選択します。

    [説明]

    ルートエントリの説明を入力します。

ステップ 4:接続のテスト

上記の手順を完了すると、オンプレミスクライアントは SAG クライアントを介して内部ネットワークに接続し、OSS リソースにアクセスできます。

たとえば、ブラウザで内部 URL https://shosstest.oss-cn-shanghai-internal.aliyuncs.com/SHOSS.jpg を使用して、アップロードした SHOSS.jpg 画像をダウンロードできます。