Tablestore インスタンスにネットワークアクセス制御リスト (ACL) を設定できます。 この方法で、ユーザーがインスタンスにアクセスできるネットワークの種類を制限できます。 これにより、ネットワークアクセス セキュリティが確保されます。
背景情報
デフォルトでは、Tablestore は、各インスタンスのパブリックエンドポイント、仮想プライベートクラウド (VPC) エンドポイント、およびクラシックネットワークエンドポイントを作成します。 詳細については、「エンドポイント」をご参照ください。
パブリックエンドポイント: インターネット経由のアクセスに使用されます。 ユーザーはパブリックエンドポイントを使用して、Tablestore インスタンス内のリソースにインターネット経由でアクセスできます。
重要インターネット経由で Tablestore にアクセスする場合、インターネット経由のアウトバウンド トラフィックに課金されます。 詳細については、「請求の概要」をご参照ください。
クラシックネットワークエンドポイント: Tablestore インスタンスと同じリージョンにある Elastic Compute Service (ECS) インスタンスからのアクセスに使用されます。 ECS インスタンス上のアプリケーションが、同じリージョンにある Tablestore インスタンスにクラシックネットワーク経由でアクセスする場合、応答の待ち時間は短くなり、インターネット経由のトラフィックは発生しません。
VPC エンドポイント: バインドされた VPC 内のアプリケーションからのアクセスに使用されます。 バインドされた VPC 内のアプリケーションは、VPC エンドポイントを使用して Tablestore インスタンスにアクセスできます。 詳細については、「VPC とは」をご参照ください。
Tablestore は、さまざまなネットワークタイプの組み合わせをサポートして、さまざまなネットワーク セキュリティ要件に対応します。 次の表に、ネットワークタイプを示します。
ネットワークタイプ | 説明 |
カスタム | デフォルトでは、Tablestore インスタンスはインターネット経由のアクセスを許可しません。 Tablestore インスタンスには、Tablestore コンソール内、またはクラシックネットワークもしくは VPC エンドポイントを使用してのみアクセスできます。 重要 インターネット経由で Tablestore インスタンスにアクセスするには、Tablestore コンソール にログインし、インターネット経由のアクセスを手動で許可します。 |
Tablestore コンソールまたはバインドされた VPC | Tablestore インスタンスは、Tablestore コンソール内、またはバインドされた VPC 経由でのアクセスを許可します。 インターネットまたはクラシックネットワーク経由で Tablestore インスタンスにアクセスすることはできません。 これにより、ネットワークの隔離が確保されます。 重要 インスタンスにこのネットワークタイプを選択する前に、ビジネスでインターネットまたはクラシックネットワーク経由のアクセスが必要ないことを確認してください。 |
バインドされた VPC | Tablestore インスタンスは、バインドされた VPC 経由でのみアクセスを許可します。 Tablestore コンソール内、またはインターネットもしくはクラシックネットワーク経由で Tablestore インスタンスにアクセスすることはできません。 また、Tablestore コンソールでインスタンス内のリソースにアクセスすることもできません。 これにより、ネットワークの隔離が確保されます。 重要 インスタンスにこのネットワークタイプを選択する前に、ビジネスでインターネットまたはクラシックネットワーク経由、あるいは Tablestore コンソール内でのアクセスが必要ないことを確認してください。 |
注意事項
インスタンス ポリシーとネットワーク ACL をインスタンスに設定する場合、アクセス ソースがインスタンス ポリシーとネットワーク ACL の条件を満たしている場合にのみ、インスタンスにアクセスできます。
特定の VPC 経由で Tablestore インスタンスにアクセスする場合は、インスタンスが VPC にバインドされていることを確認してください。 詳細については、「Tablestore インスタンスへの VPC のバインド」をご参照ください。
インスタンスの [アクセスタイプ] パラメーターを [バインドされた VPC] に設定した場合、バインドされた VPC 経由でインスタンスの VPC エンドポイントを使用して、Tablestore SDK または Tablestore CLI でのみ Tablestore インスタンスにアクセスできます。
Tablestore コンソールでインスタンスにアクセスすることはできません。 Tablestore コンソールの [インスタンス管理] ページの [インスタンス監視]、[ネットワーク管理]、および [セキュリティポリシー] タブの機能のみ使用できます。 [インスタンスの詳細]、[OSS へのデータ配信]、および [SQL ステートメントを実行してクエリ] タブの機能は使用できません。
Tablestore コンソールでインスタンスにアクセスする場合は、[ネットワーク管理] タブでインスタンスの [アクセスタイプ] パラメーターを変更します。
手順
Tablestore コンソール にログインします。
ページの上部で、リソース グループとリージョンを選択します。
[概要] ページの [インスタンスリスト] セクションで、管理するインスタンスの名前をクリックするか、インスタンスの [アクション] 列の [インスタンスの管理] をクリックします。
[インスタンス管理] ページの [ネットワーク管理] タブで、ネットワークアクセス制御に関連するパラメーターを変更し、[設定] をクリックします。 次の表に、パラメーターを示します。
デフォルトでは、Tablestore コンソール内、またはクラシックネットワークエンドポイントもしくは VPC エンドポイントを使用して、Tablestore インスタンスにアクセスできます。 ビジネス要件に基づいて、[許可されたネットワークタイプ] または [アクセスタイプ] パラメーターを変更できます。
パラメーター
説明
アクセスタイプ
ネットワークアクセスのタイプ。 有効な値:
[カスタム]: 選択したネットワークまたはソースタイプを使用してインスタンスにアクセスできます。
クライアントは、クライアントのネットワークまたはソースタイプが要件を満たしている場合にのみ、インスタンスにアクセスできます。
[tablestore コンソールまたはバインドされた VPC]: Tablestore コンソール内、またはバインドされた VPC 経由でインスタンスにアクセスできます。
[バインドされた VPC]: バインドされた VPC 経由で Tablestore SDK または Tablestore CLI を使用してインスタンスにアクセスできます。
許可されたネットワークタイプ
説明このパラメーターは、[アクセスタイプ] パラメーターを [カスタム] に設定した場合にのみ使用できます。
インスタンス内のリソースにアクセスするために使用できるネットワークのタイプ。 複数のネットワークタイプを同時に選択できます。 有効な値:
[VPC]: デフォルトでは、[VPC] が選択されています。これは、バインドされた VPC 経由でリソースにアクセスできることを指定します。 バインドされた VPC 経由でのアクセスが不要な場合は、[VPC] の選択を解除します。
[インターネット]: デフォルトでは、[インターネット] は選択されていません。これは、インターネット経由でリソースにアクセスできないことを指定します。 インターネット経由でのアクセスを許可する場合は、[インターネット] を選択します。
[クラシックネットワーク]: デフォルトでは、[クラシックネットワーク] が選択されています。これは、クラシックネットワーク経由でリソースにアクセスできることを指定します。 クラシックネットワーク経由でのアクセスが不要な場合は、[クラシックネットワーク] の選択を解除します。
許可されたソースタイプ
説明このパラメーターは、[アクセスタイプ] パラメーターを [カスタム] に設定した場合にのみ使用できます。
Tablestore コンソールでインスタンス内のリソースにアクセスできるかどうかを指定します。 デフォルトでは、[trusted Gateway (コンソール)] が選択されています。これは、Tablestore コンソールでリソースにアクセスできることを指定します。 Tablestore コンソール内でのアクセスが不要な場合は、[trusted Gateway (コンソール)] の選択を解除します。
[警告] ダイアログボックスでメッセージを読み、チェックボックスをオンにして、[OK] をクリックします。