Tablestore インスタンスのネットワークアクセス制御リスト (ACL) を設定できます。この方法で、ユーザーがインスタンスにアクセスできるネットワークの種類を制限できます。これにより、ネットワークアクセスセキュリティが確保されます。
背景情報
デフォルトでは、Tablestore は、各インスタンスのパブリックエンドポイント、仮想プライベートクラウド (VPC) エンドポイント、およびクラシックネットワークエンドポイントを作成します。詳細については、エンドポイント を参照してください。
パブリックエンドポイント: インターネット経由のアクセスに使用されます。ユーザーはパブリックエンドポイントを使用して、Tablestore インスタンス内のリソースにインターネット経由でアクセスできます。
重要インターネット経由で Tablestore にアクセスする場合、インターネット経由の送信トラフィックに対して課金されます。詳細については、課金概要 を参照してください。
クラシックネットワークエンドポイント: Tablestore インスタンスと同じリージョンにある Elastic Compute Service (ECS) インスタンスからのアクセスに使用されます。ECS インスタンス上のアプリケーションが同じリージョン内の Tablestore インスタンスにクラシックネットワーク経由でアクセスする場合、応答レイテンシが低くなり、インターネット経由の送信トラフィックは発生しません。
VPCエンドポイント: VPC 内のアプリケーションからのアクセスに使用されます。必要なVPCをTablestoreコンソールでインスタンスにバインドする必要があります。その後、VPC内のアプリケーションは、VPCエンドポイントを使用してインスタンスにアクセスできます。詳細については、VPCとは を参照してください。
Tablestore は、さまざまなネットワークタイプの組み合わせをサポートして、さまざまなネットワークセキュリティ要件に対応します。次の表に、ネットワークタイプを示します。
ネットワークタイプ | 説明 |
カスタム | デフォルトでは、Tablestore インスタンスはインターネット経由のアクセスを許可しません。Tablestore インスタンスには、Tablestore コンソール内、またはクラシックネットワークもしくは VPC エンドポイントを使用してのみアクセスできます。 重要 インターネット経由で Tablestore インスタンスにアクセスするには、Tablestore コンソール にログインし、インターネット経由のアクセスを手動で許可します。 |
Tablestore コンソールまたはバインドされた VPC | Tablestore インスタンスは、Tablestore コンソールまたはバインドされた VPC からのアクセスを許可します。インターネットまたはクラシックネットワーク経由で Tablestore インスタンスにアクセスすることはできません。これにより、ネットワークの分離が確保されます。 重要 インスタンスにこのネットワークタイプを選択する前に、ビジネスでインターネットまたはクラシックネットワーク経由のアクセスが必要ないことを確認してください。 |
バインドされた VPC | Tablestore インスタンスは、バインドされた VPC 経由でのみアクセスを許可します。Tablestore コンソール内、またはインターネットもしくはクラシックネットワーク経由で Tablestore インスタンスにアクセスすることはできません。また、Tablestore コンソールでインスタンス内のリソースにアクセスすることもできません。これにより、ネットワークの分離が確保されます。 重要 インスタンスにこのネットワークタイプを選択する前に、ビジネスでインターネットまたはクラシックネットワーク経由、あるいは Tablestore コンソールからのアクセスが必要ないことを確認してください。 |
注意事項
特定の VPC 経由で Tablestore インスタンスにアクセスする場合は、インスタンスが VPC にバインドされていることを確認してください。詳細については、Tablestore インスタンスへの VPC のバインド を参照してください。
インスタンスポリシーとネットワーク ACL をインスタンスに設定する場合、アクセス元がインスタンスポリシーとネットワーク ACL の条件を満たしている場合にのみ、インスタンスにアクセスできます。
インスタンスの アクセスタイプ パラメーターを バインドされた VPC に設定した後、SDK などのインターフェースを使用してバインドされた VPC 経由でのみインスタンスにアクセスできます。Tablestore コンソールでインスタンスにアクセスすることはできません。Tablestore コンソールからインスタンスにアクセスする場合は、ネットワーク管理 タブでインスタンスのアクセスタイプパラメーターを変更できます。
インスタンスのアクセスタイプパラメーターをバインドされた VPC に設定した後、Tablestore コンソールの インスタンス管理 ページの インスタンス監視、ネットワーク管理、セキュリティポリシー タブの機能のみを使用できます。インスタンスの詳細、OSS へのデータ配信、SQL ステートメントの実行によるクエリ タブの機能は使用できません。
手順
Tablestore コンソール にログインします。
上部のナビゲーションバーで、リソースグループとリージョンを選択します。
概要 ページのインスタンスリストで、管理するインスタンスの名前をクリックします。
ネットワーク管理 タブで、ネットワークアクセス制御に関連するパラメーターを変更し、設定 をクリックします。次の表に、パラメーターを示します。
デフォルトでは、Tablestore は、VPC、クラシックネットワーク、およびインターネット経由のアクセスをサポートし、Tablestore コンソールからのアクセスを許可します。ビジネス要件に基づいて、特定のネットワークタイプまたはソースタイプを除外できます。
パラメーター
説明
アクセスタイプ
ネットワークアクセスのタイプ。有効な値:
カスタム: 選択したネットワークまたはソースタイプを使用してインスタンスにアクセスできます。
クライアントは、クライアントのネットワークまたはソースタイプが要件を満たしている場合にのみ、インスタンスにアクセスできます。
Tablestore コンソールまたはバインドされた VPC: Tablestore コンソールまたはバインドされた VPC 経由でインスタンスにアクセスできます。
バインドされた VPC: バインドされた VPC 経由で SDK などのインターフェースを使用してのみインスタンスにアクセスできます。
許可されたネットワークタイプ
インスタンス内のリソースにアクセスするために使用できるネットワークのタイプ。複数のネットワークタイプを同時に選択できます。このパラメーターは、アクセスタイプ パラメーターを カスタム に設定した場合にのみ使用できます。有効な値:
VPC: デフォルトでは、VPC が選択されています。これは、バインドされた VPC 経由でリソースにアクセスできることを示します。VPC 経由のアクセスが不要な場合は、VPC の選択を解除します。
インターネット: デフォルトでは、インターネット は選択されていません。これは、インターネット経由でリソースにアクセスできないことを示します。インターネット経由のアクセスを許可する場合は、インターネット を選択します。
重要デフォルトでは、新しいインスタンスにインターネット経由でアクセスすることはできません。
クラシックネットワーク: デフォルトでは、クラシックネットワーク が選択されています。これは、クラシックネットワーク経由でリソースにアクセスできることを示します。クラシックネットワーク経由のアクセスが不要な場合は、クラシックネットワーク の選択を解除します。
許可されたソースタイプ
インスタンス内のリソースに Tablestore コンソールからアクセスできるかどうかを指定します。このパラメーターは、アクセスタイプ パラメーターを カスタム に設定した場合にのみ使用できます。
デフォルトでは、Trusted Gateway (コンソール) が選択されています。これは、Tablestore コンソールからリソースにアクセスできることを示します。Tablestore コンソールからのアクセスが不要な場合は、Trusted Gateway (コンソール) の選択を解除します。
警告 ダイアログボックスでメッセージを読み、チェックボックスをオンにして、OK をクリックします。