インスタンスに対してネットワーク ACL を設定することで、Tablestore インスタンスにアクセス可能なネットワークタイプを制限し、安全なネットワークアクセスを確保できます。
背景情報
デフォルトでは、Tablestore は各インスタンスに対してパブリックエンドポイント、VPC エンドポイント、およびクラシックネットワークエンドポイントを作成します。詳細については、「エンドポイント」をご参照ください。
-
パブリックエンドポイント:インターネットからアクセス可能です。Tablestore リソースにアクセスする際にパブリックエンドポイントを使用できます。
重要インターネット経由で Tablestore にアクセスすると、アウトバウンドデータ転送料金が発生します。詳細については、「課金概要」をご参照ください。
-
クラシックネットワークエンドポイント:同一リージョン内の ECS サーバーから可視です。同一リージョンのクラシックネットワーク内にある ECS サーバーから Tablestore にアクセスすると、レスポンスレイテンシーが低くなり、パブリックネットワークトラフィックが発生しません。
-
VPC ドメイン名:このドメイン名は VPC 環境内のアプリケーションから可視です。VPC 環境内のアプリケーションは、VPC ドメイン名を使用して Tablestore にアクセスできます。詳細については、「Virtual Private Cloud (VPC) とは」をご参照ください。
Tablestore は、さまざまなネットワークセキュリティ要件に対応できるよう、インスタンスのネットワークタイプを複数の組み合わせでサポートしています。
|
インスタンスネットワークタイプ |
説明 |
|
カスタム |
デフォルトでは、新しく作成されたインスタンスはインターネットからアクセスできません。クラシックネットワークエンドポイント、VPC エンドポイント、またはコンソールからのみアクセスできます。 重要
インターネットからインスタンスにアクセスするには、Tablestore コンソール にログインし、手動でインスタンスのパブリックアクセスを有効にしてください。 |
|
コンソールまたはバインドされた VPC アクセスの制限 |
このインスタンスタイプでは、コンソールまたはバインドされた VPC からのみアクセスが許可されます。インターネットやクラシックネットワークからのアクセスはできません。これにより、ネットワーク分離が強化されます。 重要
このインスタンスネットワークタイプを選択する前に、ご利用のサービスがインターネットまたはクラシックネットワークからのアクセスを必要としないことを確認してください。サービスの一部停止を防ぐためです。 |
|
バインドされた VPC アクセスの制限 |
このインスタンスタイプでは、バインドされた VPC からのみアクセスが許可されます。インターネット、クラシックネットワーク、およびコンソールからのアクセスはできません。また、コンソールからインスタンスリソースにアクセスすることもできません。これにより、ネットワーク分離が強化されます。 重要
このインスタンスネットワークタイプを選択する前に、ご利用のサービスがインターネット、クラシックネットワーク、またはコンソールからのアクセスを必要としないことを確認してください。サービスの一部停止を防ぐためです。 |
注意事項
-
インスタンスに対してインスタンスポリシーとネットワーク ACL の両方を設定した場合、アクセスリクエストは両方の条件を満たす場合にのみ許可されます。
-
指定された VPC から Tablestore インスタンスにアクセスする場合は、その VPC をインスタンスにバインドしていることを確認してください。詳細については、「インスタンスへの VPC のバインド」をご参照ください。
-
インスタンスの アクセスタイプ を 関連付けられた VPC からのアクセスに限定する に設定した場合、SDK、コマンドラインツール、またはその他のツールを使用して、バインドされた VPC からのみ Tablestore インスタンスにアクセスできます。
-
コンソールから Tablestore にアクセスすることはできません。インスタンスの管理 ページでは、モニタニング、ネットワーク管理、および セキュリティポリシー タブの機能のみが利用可能です。インスタンスの詳細、OSS へのデータ配信、および SQL 文を実行してクエリ タブの機能は利用できません。
-
再度コンソールから Tablestore インスタンスにアクセスする必要がある場合は、ネットワーク管理 タブで アクセスタイプ を変更してください。
-
操作手順
-
Tablestore コンソール にログインします。
-
上部ナビゲーションバーで、リソースグループとリージョンを選択します。
-
概要 ページの インスタンスリスト セクションで、ご利用のインスタンスを見つけます。次に、インスタンス名をクリックするか、インスタンスの管理 を 操作 列でクリックします。
-
インスタンスの管理 ページで、ネットワーク管理 タブをクリックします。次の表に従ってネットワークアクセスパラメーターを設定し、設定 をクリックします。
デフォルトでは、Tablestore は VPC、クラシックネットワーク、またはコンソールからのアクセスを許可しています。許可されるネットワークタイプ または 許可されるソースタイプ を設定することで、アクセスを制限できます。
パラメーター
説明
アクセスタイプ
ネットワークアクセスタイプ。有効な値は以下のとおりです。
-
ユーザー定義:許可されるネットワークタイプとソースタイプをカスタマイズできます。
クライアントの接続が、設定されたネットワークタイプまたは許可されるソースタイプのいずれかの要件を満たす場合、Tablestore にアクセスできます。
-
コンソールまたは関連付けられた VPC からのアクセスに限定する:Tablestore へのアクセスをコンソールまたはバインドされた VPC に限定します。
-
関連付けられた VPC からのアクセスに限定する:SDK、コマンドラインツール、またはその他のツールを使用して、バインドされた VPC からのみ Tablestore にアクセスできます。
許可されるネットワークタイプ
説明このパラメーターは、アクセスタイプ が ユーザー定義 に設定されている場合にのみ利用可能です。
Tablestore リソースにアクセス可能なネットワークタイプを指定します。複数のネットワークタイプを選択できます。有効な値は以下のとおりです。
-
VPC:VPC 経由でのアクセスを許可するかどうかを指定します。デフォルトでは、VPC が選択されており、VPC 経由でのアクセスが許可されています。VPC 経由でのアクセスが不要な場合は、VPC の選択を解除してください。
-
インターネット:インターネットからのアクセスを許可します。デフォルトでは、インターネット チェックボックスはオフになっており、インターネットからのアクセスが拒否されています。インターネットからのアクセスを許可するには、インターネット チェックボックスをオンにしてください。
-
クラシックネットワーク:クラシックネットワークからのアクセスを許可するかどうかを指定します。デフォルトでは、クラシックネットワーク が選択されており、クラシックネットワークからのアクセスが許可されています。クラシックネットワークからのアクセスが不要な場合は、クラシックネットワーク の選択を解除してください。
許可されるソースタイプ
説明このパラメーターは、アクセスタイプ が ユーザー定義 に設定されている場合にのみ利用可能です。
Tablestore リソースへのコンソールからのアクセスを許可するかどうかを指定します。デフォルトでは、信頼できる Gateway (コンソール) が選択されており、コンソールアクセスが有効になります。コンソールアクセスが不要な場合は、信頼できる Gateway (コンソール) の選択を解除してください。
-
-
リスク通知 ダイアログボックスで、リスクをよく読み、確認チェックボックスをオンにしてから、OK をクリックします。