すべてのプロダクト
Search

このプロダクト

    Tablestore:インスタンスポリシーを使用してインスタンスのアクセスソースを制限する

    ドキュメントセンター

    Tablestore:インスタンスポリシーを使用してインスタンスのアクセスソースを制限する

    最終更新日:Dec 28, 2024

    インスタンスポリシーは、ユーザーがインスタンスへのアクセスに使用できるIPアドレス、ネットワーク、TLSバージョンなど、インスタンスのアクセスソースを制限するために使用できる認証ポリシーです。これにより、アクセスソースのセキュリティとインスタンスのリソースセキュリティが確保されます。

    前提条件

    Tablestore インスタンスが作成されていること。詳細については、Tablestoreコンソールでワイドカラムモデルを使用するトピックの「ステップ2:インスタンスを作成する」セクションを参照してください。

    使用上の注意

    • 単一のインスタンスに設定できるインスタンスポリシーのサイズは最大4KBです。

    • 複数の条件を含むインスタンスポリシーでEffectパラメータがAllowに設定されている場合、アクセスソースがいずれかの条件を満たしていればインスタンスにアクセスできます。

    • インスタンスポリシーでEffectパラメータがDenyに設定されている場合、インスタンスポリシーで指定されたアクセスソースは、他の認証ポリシーで許可されていても、インスタンスへのアクセスが拒否されます。拒否の結果となるインスタンスポリシーは、認証中に最も高い優先順位を持ちます。

    • アクセスソースがインスタンスポリシーによって許可と拒否の両方になっている場合、アクセスソースは拒否されたと見なされます。

    • インスタンスポリシーとネットワークアクセス制御リスト(ACL)の両方がインスタンスに設定されている場合、インスタンスポリシーの条件とネットワークACLのルールが満たされている場合にのみ、インスタンスにアクセスできます。

    • ビジネスシナリオに基づいてEffectパラメータを設定します。

      • アクセスソースを許可するには、EffectパラメータをAllowに設定し、条件を設定します。このアクセスソースがResource Access Management(RAM)ポリシーなどの他の認証ポリシーによって拒否されている場合、アクセスソースは拒否されます。

      • アクセスソースを拒否するには、EffectパラメータをDenyに設定し、条件を設定します。このアクセスソースがRAMポリシーなどの他の認証ポリシーによって許可されている場合でも、アクセスソースは拒否されます。このアクセスソースを許可する認証ポリシーは有効になりません。

    手順

    1. ポリシーの作成パネルに移動します。

      1. Tablestoreコンソールにログオンします。

      2. 左側のナビゲーションペインで、概要をクリックします。上部のナビゲーションバーで、リージョンを選択します。管理するインスタンスを見つけ、インスタンスの名前をクリックします。

      3. 表示されるページで、セキュリティポリシータブをクリックします。セキュリティポリシータブで、認証をクリックします。

    2. ビジュアル化ポリシータブのポリシーの作成パネルで、ビジネス要件に基づいてEffectパラメータをAllowまたはDenyに設定します。

      説明

      サービスパラメータの値はTablestoreに固定され、アクションパラメータの値はすべてのアクション(*)に固定され、リソースパラメータの値はすべてのリソース(*)に固定されています。これらのパラメータは変更できません。

    3. ビジネス要件に基づいて条件を追加します。

      複数の条件を追加する必要がある場合は、以下の操作を複数回実行して条件を設定します。

      1. ポリシーの作成パネルで、条件の追加をクリックします。編集をクリックして条件を設定します。

      2. 条件の追加パネルで、次の表に示すパラメータを設定します。

        パラメータ

        説明

        条件キー

        条件のキー。有効な値:

        • acs:SourceVpc:指定された仮想プライベートクラウド(VPC)内のクライアントを許可または拒否します。

        • ots:TLSVersion:指定されたTLSバージョンを使用するクライアントを許可または拒否します。

        • acs:SourceIP:指定されたIPアドレスからのクライアントを許可または拒否します。

        演算子

        条件を定義する演算子。

        条件キーパラメータがacs:SourceVpcまたはots:TLSVersionに設定されている場合の有効な値:

        • StringEquals:実際の値が条件の値と等しい場合、条件が有効になります。

        • StringNotEquals:実際の値が条件の値と等しくない場合、条件が有効になります。

        条件キーパラメータがacs:SourceIPに設定されている場合の有効な値:

        • IpAddress:実際のIPアドレスが指定されたIPアドレスに含まれている場合、条件が有効になります。

        • NotIpAddress:実際のIPアドレスが指定されたIPアドレスに含まれていない場合、条件が有効になります。

        条件値

        条件の値。ビジネス要件に基づいて条件値パラメータを設定します。

        • 条件キーパラメータがacs:SourceVpcに設定されている場合は、ドロップダウンリストからインスタンスに関連付けられているVPCを選択するか、有効なVPC IDを入力します。

        • 条件キーパラメータがots:TLSVersionに設定されている場合は、ドロップダウンリストからTLSバージョンを選択します。有効な値:1.0、1.1、1.2、および1.3。

        • 条件キーパラメータがacs:SourceIPに設定されている場合は、IPアドレスまたはCIDRブロックを入力します。

          IPアドレスまたはCIDRブロックはコンマ(,)で区切ります。

      3. はいをクリックします。

        条件が設定されると、ポリシーの作成パネルのスクリプトベースのポリシータブでポリシーのスクリプトを表示できます。

    4. ポリシーの作成パネルで、はいをクリックします。

      認証ポリシーをインスタンスに追加した後、スクリプトベースのポリシータブでポリシーの完全なスクリプトを表示できます。インスタンスポリシーの設定方法の詳細については、インスタンスポリシーを設定するを参照してください。

    関連操作

    インスタンスポリシーを追加した後、ビジネス要件に基づいてビジュアル化ポリシータブでポリシーに対して次の操作を実行できます。

    操作

    説明

    ポリシーに関する情報を表示する

    次のいずれかの方法を使用して、リソース、アクション、条件、プリンシパル、効果など、ポリシーの設定を表示できます。

    • ポリシーリストでポリシーの設定を表示します。

    • ポリシーの詳細列のアクションをクリックします。ポリシーの詳細パネルで、ポリシーの設定とスクリプトを表示します。

    ポリシーの条件を編集する

    ビジネス要件に基づいて、ポリシーの効果と条件を変更できます。

    1. 編集列のアクションをクリックします。

    2. ポリシーの編集パネルで、ビジネス要件に基づいてポリシーの効果と条件を変更します。

    3. はいをクリックします。

    ポリシーを削除する

    不要になったポリシーは削除できます。

    削除列のアクションをクリックします。表示されるメッセージで、はいをクリックします。

    重要

    • 削除されたポリシーは復元できません。ポリシーを使用する場合は、ポリシーを再設定する必要があります。

    • ポリシーが削除されると、ポリシーで定義されたアクセス制御は無効になります。インスタンスが安全な環境にあることを確認してください。