デフォルトでは、Tablestore は VPC、クラシックネットワーク、またはコンソール経由でのアクセスをサポートしています。ネットワークアクセスタイプを変更し、VPC をインスタンスにバインドすることで、Tablestore リソースへのアクセスをバインドされた VPC 経由のみに制限できます。この構成により、パブリックネットワーク、クラシックネットワーク、またはその他のバインドされていない VPC からのアクセスが防止され、ネットワークアクセスのセキュリティが確保されます。
インスタンスのネットワークタイプ
デフォルトでは、Tablestore は各インスタンスに対して、パブリックエンドポイント、VPC エンドポイント、およびクラシックネットワークエンドポイントを作成します。詳細については、「エンドポイント」をご参照ください。
-
パブリックエンドポイント:インターネットからアクセス可能です。パブリックエンドポイントを使用して Tablestore リソースにアクセスできます。
重要インターネット経由で Tablestore にアクセスすると、アウトバウンドデータ転送料金が発生します。詳細については、「課金概要」をご参照ください。
-
クラシックネットワークエンドポイント:このエンドポイントは、同じリージョン内の ECS サーバーから可視です。同じリージョンのクラシックネットワーク内の ECS サーバーから Tablestore にアクセスすると、レスポンスレイテンシーが低減され、パブリックネットワークのトラフィックは発生しません。
-
VPC ドメイン名:このドメイン名は、VPC 環境内のアプリケーションから可視です。VPC 環境内のアプリケーションは、VPC ドメイン名を使用して Tablestore にアクセスできます。詳細については、「Virtual Private Cloud (VPC) とは」をご参照ください。
Tablestore は、さまざまなネットワークセキュリティ要件を満たすために、インスタンスネットワークタイプのさまざまな組み合わせをサポートしています。
|
インスタンスのネットワークタイプ |
説明 |
|
カスタム |
デフォルトでは、新しく作成されたインスタンスはインターネットからアクセスできません。クラシックネットワークエンドポイント、VPC エンドポイント、またはコンソール経由でのみアクセスできます。 重要
インターネットからインスタンスにアクセスするには、Tablestore コンソールにログインし、インスタンスのパブリックアクセスを手動で有効にする必要があります。 |
|
コンソールまたはバインドされた VPC アクセスに制限 |
インスタンスは、コンソールまたはバインドされた VPC からのアクセスのみを許可します。インターネットやクラシックネットワークからはアクセスできません。これにより、ネットワーク分離が強化されます。 重要
このインスタンスネットワークタイプを選択する前に、サービスの中断を防ぐため、ご利用のサービスがインターネットまたはクラシックネットワークからのアクセスを必要としないことを確認してください。 |
|
バインドされた VPC アクセスに制限 |
インスタンスは、バインドされた VPC からのアクセスのみを許可します。インターネット、クラシックネットワーク、またはコンソールからはアクセスできません。また、コンソールからインスタンスリソースにアクセスすることもできません。これにより、ネットワーク分離が強化されます。 重要
このインスタンスネットワークタイプを選択する前に、サービスの中断を防ぐため、ご利用のサービスがインターネット、クラシックネットワーク、またはコンソールからのアクセスを必要としないことを確認してください。 |
Tablestore へのアクセスをバインドされた VPC に制限
前提条件
-
ネットワークを計画し、Virtual Private Cloud (VPC) と vSwitch を作成済みであること。詳細については、「ネットワークの計画」および「Virtual Private Cloud と vSwitch の作成 (IPv4)」をご参照ください。
-
Tablestore インスタンスを作成済みであること。詳細については、「Tablestore の有効化とインスタンスの作成」をご参照ください。
ステップ 1:ネットワークアクセスタイプの変更
デフォルトでは、Tablestore はクラシックネットワークエンドポイント、VPC エンドポイント、またはコンソール経由でのアクセスを許可します。インスタンスへのネットワークアクセスを制御するには、アクセスタイプを コンソールまたは関連付けられた VPC からのアクセスに限定する または 関連付けられた VPC からのアクセスに限定する に変更できます。
アクセスタイプを制限すると、インスタンスはパブリックネットワークまたはクラシックネットワークからアクセスできなくなります。操作は慎重に行ってください。
-
Tablestore コンソールにログインします。
-
上部のナビゲーションバーで、リソースグループとリージョンを選択します。
-
概要 ページで、インスタンスリスト セクションのインスタンス名をクリックするか、操作 列の インスタンスの管理 をクリックします。
-
ネットワーク管理 タブの ネットワークアクセス制御 セクションで、セキュリティ要件に基づいてアクセスタイプを選択します。
-
Tablestore インスタンスリソースへのアクセスをコンソールまたはバインドされた VPC からのみ許可する場合は、アクセスタイプ を コンソールまたは関連付けられた VPC からのアクセスに限定する に設定します。
-
Tablestore インスタンスリソースへのアクセスをバインドされた VPC 経由でのみ許可する場合は、アクセスタイプ を 関連付けられた VPC からのアクセスに限定する に設定します。
説明また、アクセスタイプ を ユーザー定義 に設定すると、許可されたネットワークタイプとソースを設定できます。
-
-
リスク通知 ダイアログボックスで、リスクを注意深く読み、確認チェックボックスを選択してから、[OK] をクリックします。
ステップ 2:インスタンスへの VPC のバインド
VPC を Tablestore インスタンスにバインドすると、その VPC 内の VPC のみが Tablestore インスタンスにアクセスできるようになります。
VPC で VPC を管理する場合、ご利用の VPC はそのユーザーに AliyunVPCReadOnlyAccess 権限を付与する必要があります。この権限がないと、VPC は VPC 情報を取得できません。
-
Tablestore コンソールにログインします。
-
上部のナビゲーションバーで、リソースグループとリージョンを選択します。
-
概要 ページで、インスタンスリスト セクションのインスタンス名をクリックするか、操作 列の インスタンスの管理 をクリックします。
-
ネットワーク管理 タブで、VPC のバインド をクリックします。
-
VPC のバインド ダイアログボックスで、VPC とその VPC 内の VPC を選択し、VPC バインドの名前を入力します。
VPC バインド名は、3~16 文字の長さで、英字で始まり、英字と数字のみを含む必要があります。
-
OK をクリックします。
バインドが成功すると、バインドされた VPC が ネットワーク管理 タブの VPC リスト セクションにリストされます。この VPC 内の VPC は、その VPC エンドポイントを使用して、バインドされた Tablestore インスタンスにアクセスできるようになります。
必要に応じて、次の操作を実行できます。
操作
説明
VPC の詳細の表示
VPC の 操作 列にある VPC インスタンスリスト をクリックします。その後、VPC ID、インスタンス名、VPC バインド名、および VPC エンドポイントを表示できます。
インスタンスからの VPC のバインド解除
Tablestore へのアクセスに VPC を使用しなくなった場合は、インスタンスを VPC からバインド解除できます。
重要VPC をバインド解除すると、その VPC 内の VPC は、VPC エンドポイントを介して Tablestore インスタンスにアクセスできなくなります。操作は慎重に行ってください。アクセスを復元するには、VPC を再バインドする必要があります。
-
VPC の 操作 列にある バインド解除 をクリックします。
-
バインド解除 VPC ダイアログボックスで、リスクを理解したことを確認します。
-
[OK]をクリックします。
-
ステップ 3:バインドされた VPC から Tablestore へのアクセス
バインドされた VPC 内の VPC 上で Tablestore SDK または Tablestore を使用して、VPC エンドポイントを介して Tablestore リソースにアクセスします。
その他のアクセス制御操作
以下の方法を使用して、リソースへのユーザーアクセスをさらに制限できます。
-
RAM ポリシーを使用して、IP アドレス、HTTPS プロトコル、アクセス時間、TLS バージョンなどの条件に基づいて、特定のリソースへの RAM ユーザーのアクセスを制御します。詳細については、「RAM ポリシーを使用して RAM ユーザーに権限を付与する」および「カスタム RAM ポリシー」をご参照ください。
-
インスタンスポリシーを使用して、ソース VPC、IP アドレス、TLS バージョンなどの条件に基づいて Tablestore インスタンスへのアクセスを制御します。詳細については、「インスタンスポリシーの構成」および「インスタンスポリシーの権限」をご参照ください。
-
エンタープライズアカウントの場合、Resource Directory のコントロールポリシーを使用して、リソースアクセスの境界を定義します。たとえば、最小 TLS バージョンを強制したり、ユーザーがパブリックネットワークからアクセスできないインスタンスのみを作成できるようにしたりできます。詳細については、「コントロールポリシーを使用した権限付与」および「カスタムコントロールポリシー」をご参照ください。