すべてのプロダクト
Search

このプロダクト

    PolarDB:データセキュリティと暗号化に関する FAQ

    ドキュメントセンター

    PolarDB:データセキュリティと暗号化に関する FAQ

    最終更新日:Apr 19, 2025

    このトピックでは、データセキュリティと暗号化に関するよくある質問への回答を提供します。

    IP ホワイトリストについて

    • クラスター内の特定のノードにのみサーバーがアクセスできるようにするにはどうすればよいですか?

      カスタムクラスターエンドポイントを使用できます。 クラスターのカスタムクラスターエンドポイントに接続するサーバーは、クラスター内の特定のノードにのみアクセスできます。

    • すべての IP ホワイトリストにいくつの IP アドレスまたは CIDR ブロックを追加できますか?

      すべての IP ホワイトリストに最大 1,000 個の IP アドレスまたは CIDR ブロックを追加できます。 セキュリティグループにはこの制限はありません。

    • Elastic Compute Service (ECS) インスタンスの IP アドレスを IP ホワイトリストに追加した後、ECS インスタンスをクラスターに接続できないのはなぜですか?

      次の手順を実行して原因を特定できます。

      1. IP ホワイトリストの設定が正しいかどうかを確認します。 ECS インスタンスをクラスターの内部エンドポイントに接続する場合は、ECS インスタンスのプライベート IP アドレスを IP ホワイトリストに追加する必要があります。 ECS インスタンスをクラスターのパブリックエンドポイントに接続する場合は、ECS インスタンスのパブリック IP アドレスを IP ホワイトリストに追加する必要があります。

      2. ECS インスタンスと PolarDB for MySQL クラスタが同じタイプのネットワークにデプロイされているかどうかを確認します。 ECS インスタンスがクラシックネットワークで実行されている場合は、PolarDB クラスタがデプロイされている Virtual Private Cloud (VPC) に ECS インスタンスを移行できます。 詳細については、「移行ソリューションの概要」をご参照ください。

        説明

        ECS インスタンスをクラシックネットワークにある他の内部リソースに接続する場合は、ECS インスタンスを VPC に移行しないでください。 ECS インスタンスを VPC に移行した後、ECS インスタンスはクラシックネットワークに接続できません。

        ClassicLink 機能を使用して、クラシックネットワークを VPC ネットワークに接続することもできます。

      3. ECS インスタンスと PolarDB for MySQL クラスタが同じ VPC で実行されているかどうかを確認します。 ECS インスタンスとクラスターが異なる VPC で実行されている場合は、ECS インスタンスの VPC に別の PolarDB クラスタを購入するか、Cloud Enterprise Network (CEN) をアクティブ化して 2 つの VPC を接続する必要があります。

    • クラスターのパブリックエンドポイントに接続できないのはなぜですか?

      次の理由により、クラスターのパブリックエンドポイントに接続できない場合があります。

      1. ECS インスタンスをクラスターのパブリックエンドポイントに接続する場合は、ECS インスタンスのパブリック IP アドレスをクラスターの IP ホワイトリストに追加する必要があります。 ECS インスタンスのプライベート IP アドレスを追加しないでください。

      2. IP ホワイトリストを 0.0.0.0/0 に設定し、クラスターへのアクセスを試みます。 クラスターにアクセスできる場合、以前に使用されていたパブリックエンドポイントは正しくありません。 パブリックエンドポイントを確認する方法の詳細については、「クラスターのエンドポイントを管理する」をご参照ください。

    • 指定した IP アドレスからのみユーザーアカウントが PolarDB クラスタにアクセスできるようにするにはどうすればよいですか?

      次のコマンドを実行して、特権アカウントを作成できます。 次に、特権アカウントでログインし、標準アカウントがクラスターへのアクセスに使用できる IP アドレスを指定できます。 Command lines

    • クラスターの IP ホワイトリストを設定した後、データベースにアクセスできないのはなぜですか?

      IP ホワイトリストが設定されているかどうかを確認します。 すべてのソースからのアクセスを許可するには、ホワイトリストの IP アドレスを 0.0.0.0 ではなく 0.0.0.0/0 に設定します。 クラスターに IP ホワイトリストが設定されている場合は、次の手順を実行して、IP ホワイトリストが有効かどうかを確認します。

      1. IP ホワイトリストの形式を確認します。

        • 特定の IP アドレスをホワイトリストに追加する場合、CIDR ブロックを指定する必要はありません。 1.1.1.1 をホワイトリストに追加するには、1.1.1.1/2 に設定することはできません。

        • CIDR ブロックをホワイトリストに追加するには、CIDR ブロックの形式が x.x.x.x/x である必要があります。

      2. パブリック IP アドレスをホワイトリストに追加するには、現在の環境の送信 IP アドレスの数を確認する必要があります。 結果を複数回更新して、送信 IP アドレスが変更されるかどうかを確認します。 複数の送信 IP アドレスが設定されている場合は、すべてのパブリック IP アドレスをホワイトリストに追加します。 現在の環境のすべてのパブリック IP アドレスがホワイトリストに追加されている場合、または内部ネットワーク経由のアクセスが異常な場合は、次の手順を実行します。

      3. ホワイトリストの IP アドレスを 0.0.0.0/0 に設定します。

      4. データベースに接続し、select user(),current_user(); 文を実行します。 取得した IP アドレスをホワイトリストに追加します。

      5. ホワイトリストから 0.0.0.0/0 を削除します。

    • データベースが攻撃された場合はどうすればよいですか?

      クラスターのホワイトリストの IP アドレスが 0.0.0.0/0 に設定されているかどうかを確認します。

    • ECS インスタンスから PolarDB データベースにアクセスできないのはなぜですか?

      次の手順を実行できます。

      1. ECS インスタンスと PolarDB クラスタが同じリージョンにデプロイされているかどうかを確認します。

      2. ECS インスタンスと PolarDB クラスタが同じネットワークタイプを使用しているかどうかを確認します。 ECS インスタンスと PolarDB クラスタが VPC ネットワークタイプを使用している場合は、同じ VPC 上にある必要があります。 同じ VPC 上にない場合は、「CEN と Basic Edition 転送ルーターを使用して、同じリージョン内の VPC を接続する」で説明されているように、CEN を使用して接続できます。

      3. ECS インスタンスの IP アドレスがクラスターの IP ホワイトリストに追加されているかどうかを確認します。 インターネット経由で PolarDB データベースにアクセスする場合は、ECS インスタンスのパブリック IP アドレスを PolarDB クラスタの IP ホワイトリストに追加する必要があります。 詳細については、「IP ホワイトリストを設定する」をご参照ください。

    SSL 暗号化について

    期限切れの SSL 証明書を更新しないとどうなりますか? インスタンスの実行が停止したり、データセキュリティが侵害されたりしますか?

    SSL 証明書の期限が切れた後に更新しない場合でも、インスタンスは通常どおり実行され、データセキュリティは侵害されません。 ただし、暗号化された接続を介してインスタンスに接続するアプリケーションは切断されます。

    透過的データ暗号化 (TDE) について

    • TDE を有効にした後も、Navicat などの一般的なデータベースツールを引き続き使用できますか?

      はい、TDE を有効にした後も、一般的なデータベースツールを引き続き使用できます。

    • 暗号化された後もデータがプレーンテキストで表示されるのはなぜですか?

      データがクエリされると、データは復号化されてメモリにロードされます。 そのため、データはプレーンテキストで表示されます。 TDE が有効になると、保存されているデータは暗号化されます。

    • 既存のテーブルの TDE を変更する必要がありますか?

      空のクラスターに対して TDE を有効にすると、新しく作成されたテーブルは自動的に暗号化されます。 既存のテーブルの場合は、暗号化または復号化のために DDL 操作を実行する必要があります。

    セキュリティ管理について

    • TDE 暗号化とは何ですか?

      透過的データ暗号化 (TDE) を使用すると、データファイルに対してリアルタイムの I/O 暗号化と復号化を実行できます。 データはディスクに書き込まれる前に暗号化され、ディスクからメモリに読み取られるときに復号化されます。 PolarDB for MySQL の TDE は、高度暗号化標準 (AES) アルゴリズムを採用しています。 キーの長さは 256 ビットです。 TDE で使用されるキーは、KMS によって生成および管理されます。 PolarDB for MySQL は、キーまたは証明書を提供しません。 詳細については、「PolarDB クラスタの TDE を設定する」をご参照ください。

    • SSL 暗号化とは何ですか?

      SSL は、Web サーバーとブラウザー間の暗号化された通信を可能にするために Netscape によって開発されました。 SSL は、RC4、MD5、RSA など、さまざまな暗号化アルゴリズムをサポートしています。 このトピックでは、Secure Sockets Layer (SSL) 暗号化を設定することでデータ転送をより安全にする方法について説明します。 SSL 暗号化を有効にし、必要なアプリケーションに認証局 (CA) によって発行された SSL 証明書をインストールする必要があります。 SSL は、トランスポート層で接続を暗号化し、転送されるデータのセキュリティと整合性を強化するために使用されます。 ただし、SSL 暗号化は往復レイテンシを増加させます。 詳細については、「SSL 暗号化を設定する」をご参照ください。

    • Q: TDE 暗号化と SSL 暗号化の違いは何ですか?

      データファイルの暗号化には TDE を有効にする必要があります。 転送の暗号化には SSL を有効にする必要があります。

    • Q: TDE にカスタムキーを使用できますか?

      はい、高い同時実行性シナリオで PHP の短命接続を最適化できます。

      • カスタムキーがない場合は、KMS コンソールでキーを作成し、独自のキーマテリアルをインポートできます。 詳細については、「CMK を作成する」をご参照ください。

      • 既存のカスタムキーを使用する場合は、次の点に注意してください。

        • キーを無効にするか、キーを削除する計画を設定するか、キーマテリアルを削除すると、キーは使用できなくなります。

        • PolarDB クラスタへの承認が取り消されると、PolarDB クラスタを再起動した場合、PolarDB クラスタは使用できなくなります。

        • Alibaba Cloud アカウントまたは AliyunSTSAssumeRoleAccess 権限を持つアカウントを使用する必要があります。

    • TDE のカスタムキーを管理するにはどうすればよいですか?

      デフォルトでは、キーは組み込みであり、KMS によって管理されます。 カスタムキーを使用することもでき、これも KMS で管理できます。 詳細については、「PolarDB クラスタの TDE を設定する」をご参照ください。

    • SQL ファイアウォールを設定するにはどうすればよいですか?

      PolarDB PolarProxy は SQL ファイアウォール機能を提供します。これは、ブラックliリストとホワイトリストのルールを設定した後、許可およびブロックする SQL 文を識別できます。 詳細については、「ブラックliストルールを設定する」をご参照ください。

    • TDE が有効になっている場合、データを暗号化できますか?

      TDE を有効にした後にテーブルを暗号化または復号化するには、データベースにログインして関連する DDL 文を実行する必要があります。 次の表に、異なる MySQL バージョンの PolarDB for MySQL クラスタでテーブルを暗号化および復号化するために実行される DDL 文を示します。 詳細については、「PolarDB クラスタの TDE を設定する」をご参照ください。