すべてのプロダクト
Search

このプロダクト

    Tablestore:インスタンスポリシーの設定

    ドキュメントセンター

    Tablestore:インスタンスポリシーの設定

    最終更新日:Dec 28, 2024

    インスタンスポリシーを設定して、Tablestore インスタンスへのアクセスに使用できる IP アドレス、仮想プライベートクラウド (VPC)、および TLS バージョンを制限できます。このトピックでは、インスタンスポリシーを設定する方法について説明します。

    構文

    インスタンスポリシーは、effect、action、resource、および condition という基本要素で構成されます。

    要素

    次の表に、インスタンスポリシーの要素を示します。

    要素

    説明

    Effect

    ポリシーの結果が明示的な許可か明示的な拒否かを指定します。有効な値: Allow および Deny。

    Action

    許可または拒否される操作。すべてのアクション (*) が値で、変更できません。

    Resource

    操作が実行されるオブジェクト。すべてのリソース (*) が値で、変更できません。

    Condition

    ポリシーを有効にするために必要な条件。設定可能な条件の詳細については、このトピックの条件セクションを参照してください。一般的な設定例の詳細については、このトピックのサンプルポリシーセクションを参照してください。

    条件

    インスタンスポリシーでは、Tablestore 固有の条件と共通条件を設定できます。次の表に、条件を示します。アスタリスク (*) はすべてのアクションを示します。共通条件の詳細については、ポリシー要素を参照してください。

    タイプ

    条件キー

    アクション

    説明

    Tablestore 固有の条件

    ots:EncryptionRequired

    • CreateTable

    • UpdateTable

    暗号化されたテーブルのみを作成または更新するかどうかを指定する条件。

    有効な値: true および false。

    例: "ots:EncryptionRequired": "true".

    ots:IsFromTrustProxy

    *

    信頼できるプロキシ (Tablestore コンソール) からのアクセスを許可するかどうかを指定する条件。

    有効な値: true および false。

    例: "ots:IsFromTrustProxy": "true".

    ots:AllowInstanceInternetAccess

    • CreateInstance

    • UpdateInstance

    インターネット経由でアクセスできないインスタンスのみを作成するかどうかを指定する条件。

    有効な値: true および false。

    例: "ots:AllowInstanceInternetAccess": "true".

    ots:TLSVersion

    *

    Tablestore インスタンスへのアクセスに使用できる TLS バージョン。この条件を指定すると、ユーザーは HTTPS 経由でのみ Tablestore インスタンスにアクセスできます。

    有効な値: 1.1、1.2、および 1.3。

    各条件で複数の TLS バージョンを指定できます。複数の TLS バージョンが指定されている場合、クライアントは指定された TLS バージョンのいずれかを使用して Tablestore インスタンスにアクセスできます。

    共通条件

    acs:SourceIp

    *

    リクエストが VPC から送信されない場合に許可または拒否される送信元 IP アドレスまたは CIDR ブロック。

    有効な値には、IPv4 アドレス、IPv6 アドレス、および CIDR ブロックが含まれます。

    1 つの条件で特定の IP アドレスと CIDR ブロックを同時に指定できます。

    acs:SourceVpc

    *

    許可または拒否される送信元 VPC。

    この条件には有効な VPC ID を指定します。

    1 つの条件で複数の VPC ID を設定できます。

    サンプルポリシー

    インスタンスポリシーを設定することで、Tablestore インスタンスへのアクセスを許可または拒否できます。インスタンスポリシーを設定して、TLS バージョン、送信元 IP アドレス、および送信元 VPC を制限できます。ビジネス要件に基づいてインスタンスポリシーを設定します。

    Tablestore インスタンスへのアクセスに使用できる TLS バージョンを制限する

    インスタンスポリシーを設定して、指定された TLS バージョンを使用する場合にのみ Tablestore インスタンスへのアクセスを制限できます。これにより、Tablestore アクセスセキュリティが強化されます。

    次のサンプルポリシーでは、TLS 1.2 および TLS 1.3 を使用する場合にのみ Tablestore インスタンスへのアクセスを許可します。この例では、条件キーパラメーターはots:TLSVersion に設定され、演算子パラメーターはStringEquals に設定され、条件値1.2 および1.3 に設定されます。

    image.png

    サンプルスクリプト:

    {
    "Action": [
        "ots:*"
    ],
    "Resource": [
        "acs:ots:*:13791xxxxxxxxxxx:instance/myinstance*"
    ],
    "Principal": [
        "*"
    ],
    "Effect": "Allow",
    "Condition": {
        "StringEquals": {
            "ots:TLSVersion": [
                "1.2",
                "1.3"
            ]
        }
    }
}

    Tablestore インスタンスへのアクセスに使用できる IP アドレスまたは CIDR クロックを制限する

    インスタンスポリシーを設定して、指定された CIDR ブロックまたは IP アドレスからのみ Tablestore インスタンスへのアクセスを許可できます。

    次のサンプルポリシーでは、IP アドレス 10.10.XX.XX または CIDR ブロック 10.10.XX.XX/24 からのリクエストのみ許可します。

    image.png

    サンプルスクリプト:

    {
    "Action": [
        "ots:*"
    ],
    "Resource": [
        "acs:ots:*:13791xxxxxxxxxxx:instance/myinstance*"
    ],
    "Principal": [
        "*"
    ],
    "Effect": "Allow",
    "Condition": {
        "IpAddress": {
            "acs:SourceIp": [
                "10.10.XX.XX",
                "10.10.XX.XX/24"
            ]
        }
    }
}

    Tablestore インスタンスへのアクセスに使用できる VPC を制限する

    インスタンスポリシーを設定して、Tablestore インスタンスへのアクセスに使用できる VPC を制限できます。

    次のサンプルポリシーでは、指定された VPC からのリクエストのみ許可します。

    image.png

    サンプルスクリプト:

    {
    "Action": [
        "ots:*"
    ],
    "Resource": [
        "acs:ots:*:13791xxxxxxxxxxx:instance/myinstance*"
    ],
    "Principal": [
        "*"
    ],
    "Effect": "Allow",
    "Condition": {
        "StringEquals": {
            "acs:SourceVpc": [
                "vpc-bp1gri6xxxxxxxxxxx"
            ]
        }
    }
}

    一般的なシナリオ

    上記の例に基づいて、次の一般的なシナリオでインスタンスポリシーを設定できます。

    シナリオ 1: 特定の CIDR ブロックのユーザーのみが指定された TLS バージョンを使用して Tablestore インスタンスにアクセスできるようにする

    10.10.XX.XX/24 CIDR ブロックのユーザーのみが TLS 1.2 および TLS 1.3 を使用して myinstance という名前の Tablestore インスタンスにアクセスできるようにインスタンスポリシーを設定するには、次の手順を実行します。

    1. ポリシーの作成パネルに移動します。

      1. Tablestore コンソールにログオンします。

      2. 概要ページで、リージョンを選択し、インスタンス名 myinstance をクリックします。

      3. インスタンスの詳細ページで、セキュリティポリシータブをクリックします。[セキュリティポリシー] タブで、承認をクリックします。

    2. ポリシーの作成パネルで、視覚化されたポリシータブをクリックします。[視覚化されたポリシー] タブで、効果パラメーターを許可に設定します。

    3. 条件を追加します。

      1. 条件の追加をクリックし、条件の編集をクリックします。条件の追加パネルで、条件キーパラメーターを acs:SourceIp に、演算子パラメーターをIpAddress に、条件値パラメーターを 10.10.XX.XX/24 に設定します。次に、はいをクリックします。

      2. 条件の追加をクリックし、条件の編集をクリックします。条件の追加パネルで、条件キーパラメーターを ots:TLSVersion に、演算子パラメーターをStringEquals に、条件値パラメーターを1.2 および1.3 に設定します。次に、はいをクリックします。

    4. はいをクリックします。

    シナリオ 2: 指定された VPC からのみ Tablestore インスタンスにアクセスできるようにする

    IP アドレス 10.10.XX.XX を使用するユーザーが指定された VPC からのみ myinstance という名前の Tablestore インスタンスにアクセスできるようにインスタンスポリシーを設定するには、次の手順を実行します。

    1. ポリシーの作成パネルに移動します。

      1. Tablestore コンソールにログオンします。

      2. 概要ページで、リージョンを選択し、インスタンス名 myinstance をクリックします。

      3. インスタンスの詳細ページで、セキュリティポリシータブをクリックします。[セキュリティポリシー] タブで、承認をクリックします。

    2. ポリシーの作成パネルで、視覚化されたポリシータブをクリックします。[視覚化されたポリシー] タブで、効果パラメーターを許可に設定します。

    3. 条件を追加します。

      1. 条件の追加をクリックし、条件の編集をクリックします。条件の追加パネルで、条件キーパラメーターを acs:SourceIp に、演算子パラメーターをIpAddress に、条件値パラメーターを 10.10.XX.XX に設定します。次に、はいをクリックします。

      2. 条件の追加をクリックし、条件の編集をクリックします。条件の追加パネルで、条件キーパラメーターを acs:SourceVpc に、演算子パラメーターをStringEquals に、条件値パラメーターの値を指定された VPC の ID に設定します。次に、はいをクリックします。

    4. はいをクリックします。