デフォルトでは、Tablestore インスタンスには、Tablestoreコンソールで、またはクラシックネットワークエンドポイントまたは仮想プライベートクラウド(VPC)エンドポイントを使用してアクセスできます。VPC を Tablestore インスタンスにバインドし、アクセスタイプ パラメーターを バインドされた VPC に設定して、バインドされた VPC からのみアクセスできるようにすることができます。これにより、ネットワークアクセスセキュリティが確保されます。
Tablestore インスタンスのネットワークタイプ
デフォルトでは、Tablestore は、インスタンスごとにパブリックエンドポイント、仮想プライベートクラウド (VPC) エンドポイント、およびクラシックネットワークエンドポイントを作成します。 詳細については、エンドポイント を参照してください。
パブリックエンドポイント: インターネット経由のアクセスに使用されます。 ユーザーはパブリックエンドポイントを使用して、インターネット経由で Tablestore インスタンス内のリソースにアクセスできます。
重要インターネット経由で Tablestore にアクセスする場合、インターネット経由のアウトバウンドトラフィックに対して課金されます。 詳細については、請求の概要 を参照してください。
クラシックネットワークエンドポイント: Tablestore インスタンスと同じリージョンにある Elastic Compute Service (ECS) インスタンスからのアクセスに使用されます。 ECS インスタンス上のアプリケーションがクラシックネットワーク経由で同じリージョンにある Tablestore インスタンスにアクセスする場合、応答レイテンシが短くなり、インターネット経由のアウトバウンドトラフィックは発生しません。
VPCエンドポイント: VPC 内のアプリケーションからのアクセスに使用されます。必要な VPC をTablestore コンソールのインスタンスにバインドする必要があります。その後、VPC 内のアプリケーションは、VPC エンドポイントを使用してインスタンスにアクセスできます。詳細については、VPC とは を参照してください。
Tablestore は、さまざまなネットワークタイプの組み合わせをサポートしており、さまざまなネットワークセキュリティ要件に対応できます。 次の表に、ネットワークタイプを示します。
ネットワークタイプ | 説明 |
カスタム | デフォルトでは、Tablestore インスタンスはインターネット経由のアクセスを許可しません。 Tablestore インスタンスには、Tablestore コンソール内、またはクラシックネットワークもしくは VPC エンドポイントを使用してのみアクセスできます。 重要 インターネット経由で Tablestore インスタンスにアクセスするには、Tablestore コンソール にログインし、インターネット経由のアクセスを手動で許可します。 |
Tablestore コンソールまたはバインドされた VPC | Tablestore インスタンスは、Tablestore コンソールから、またはバインドされた VPC 経由のアクセスを許可します。 インターネットまたはクラシックネットワーク経由で Tablestore インスタンスにアクセスすることはできません。 これにより、ネットワーク分離が確保されます。 重要 インスタンスにこのネットワークタイプを選択する前に、ビジネスでインターネットまたはクラシックネットワーク経由のアクセスが必要ないことを確認してください。 |
バインドされた VPC | Tablestore インスタンスは、バインドされた VPC 経由のアクセスのみを許可します。 Tablestore コンソール内、またはインターネットもしくはクラシックネットワーク経由で Tablestore インスタンスにアクセスすることはできません。 また、Tablestore コンソールでインスタンス内のリソースにアクセスすることもできません。 これにより、ネットワーク分離が確保されます。 重要 インスタンスにこのネットワークタイプを選択する前に、ビジネスでインターネットまたはクラシックネットワーク経由のアクセス、あるいは Tablestore コンソールからのアクセスが必要ないことを確認してください。 |
VPC 経由で Tablestore インスタンスにアクセスするTablestore
前提条件
ネットワーク計画が完了し、VPC と vSwitch が作成されていること。 詳細については、ネットワークを計画する および IPv4 CIDR ブロックを使用して VPC を作成する を参照してください。
Tablestore インスタンスとデータテーブルが作成されていること。 詳細については、Tablestore コンソールでワイドカラムモデルを使用する または Tablestore CLI でワイドカラムモデルを使用する を参照してください。
手順 1: VPC を Tablestore インスタンスにバインドする
VPC を Tablestore インスタンスにバインドすると、Tablestore インスタンスと同じリージョンにある VPC 内の Elastic Compute Service (ECS) インスタンスから Tablestore インスタンスにアクセスできます。
RAM ユーザーとして VPC を管理する場合、RAM ユーザーが属する Alibaba Cloud アカウントを使用して、AliyunVPCReadOnlyAccess ポリシーが RAM ユーザーにアタッチされていることを確認してください。 そうしないと、VPC に関する情報を取得できません。
- Tablestore コンソール にログインします。
概要 ページで、管理するインスタンスの名前をクリックするか、インスタンスの インスタンスの管理アクション 列にある をクリックします。
ネットワーク管理 タブで、VPC のバインド をクリックします。
VPC のバインド ダイアログボックスで、VPC と vSwitch を選択し、VPC の名前を入力します。VPC
VPC の名前には、文字と数字のみを含めることができ、文字で始まる必要があります。 名前の長さは 3 ~ 16 文字である必要があります。
表示されるメッセージで、OK をクリックします。
VPC が Tablestore インスタンスにバインドされると、ネットワーク管理 タブの VPC セクションで VPC に関する情報を表示できます。 VPC 内の ECS インスタンスは、VPC エンドポイントを使用して、VPC がバインドされている Tablestore インスタンスにアクセスできます。
VPC に対して追加の操作を実行することもできます。 次の表に、操作を示します。
操作
説明
VPC の詳細を表示する
詳細列のアクションをクリックすると、VPCに関する情報(VPC ID、VPC名、VPCエンドポイント、VPCがバインドされているTablestoreインスタンスの名前など)を表示できます。
Tablestore インスタンスから VPC のバインドを解除する
TablestoreVPC 経由で Tablestore インスタンスにアクセスする必要がなくなった場合は、Tablestore インスタンスから VPC のバインドを解除できます。 Tablestore インスタンスから VPC のバインドを解除すると、VPC 内の ECS インスタンスは、TablestoreVPC エンドポイントを使用して Tablestore インスタンスにアクセスできなくなります。 ECS インスタンスから Tablestore インスタンスにアクセスするには、VPC を Tablestore インスタンスに再バインドする必要があります。
重要VPC を Tablestore インスタンスから解除すると、VPC エンドポイントを使用して Tablestore インスタンスにアクセスできなくなります。慎重に実行してください。
VPC の アクション 列にある バインド解除 をクリックします。
VPC のバインド解除 ダイアログボックスで、リスクを理解していることを確認します。
OK をクリックします。
手順 2: (オプション) Tablestore インスタンスのネットワークタイプを変更する
デフォルトでは、Tablestore コンソールで、またはクラシックネットワークエンドポイントもしくは VPC エンドポイントを使用して、Tablestore インスタンスにアクセスできます。 Tablestore インスタンスが Tablestore コンソールからのみ、または VPC 経由でのみアクセスを許可するように設定する場合は、インスタンスの アクセスタイプ パラメーターを Tablestore コンソールまたはバインドされた VPC または バインドされた VPC に設定できます。
Tablestore インスタンスの アクセスタイプ パラメーターを Tablestore コンソールまたはバインドされた VPC または バインドされた VPC に設定すると、インターネットまたはクラシックネットワーク経由で Tablestore インスタンスにアクセスできなくなります。 Tablestore インスタンスには、Tablestore コンソールから、またはバインドされた VPC 経由でのみアクセスできます。 慎重に行ってください。
- Tablestore コンソール にログインします。
概要 ページで、管理するインスタンスの名前をクリックするか、インスタンスの インスタンスの管理アクション 列にある をクリックします。
ネットワークアクセス制御 セクションの [ネットワーク管理] タブで、ネットワーク セキュリティ要件に基づいてアクセスの種類を選択します。
説明アクセスタイプ パラメーターを カスタム に設定すると、許可されるネットワークタイプと許可されるソースタイプを設定できます。
Tablestore コンソールからのみ、または VPC 経由で Tablestore インスタンスと同じリージョンにある ECS インスタンスからのみアクセスを許可するには、アクセスタイプ パラメーターを Tablestore コンソールまたはバインドされた VPC に設定します。
バインドされた VPC 経由でのみアクセスを許可するには、アクセスタイプ パラメーターを バインドされた VPC に設定します。
設定 をクリックします。 警告 ダイアログボックスで、メッセージをよく読んでチェックボックスをオンにし、OK をクリックします。
Tablestore インスタンスに VPC 経由でアクセスする場合は、インスタンスにバインドされている VPC のエンドポイントのみを使用できます。
手順 3: TablestoreVPC 経由で Tablestore インスタンスにアクセスする
Tablestore SDK または Tablestore CLI を使用して、VPC 内の ECS インスタンスから Tablestore インスタンスに、VPC エンドポイントを使用してアクセスします。
その他のアクセス制御方法
次の方法を使用して、Tablestore リソースへのアクセスをさらに制限できます。
RAM ポリシーを RAM ユーザーにアタッチして、Tablestore リソースへのアクセスを制御できます。 たとえば、ユーザーが Tablestore リソースにアクセスするために使用できる IP アドレス、プロトコル、Transport Layer Security (TLS) バージョン、およびユーザーが Tablestore リソースにアクセスできる時間を制限できます。 詳細については、RAM ポリシーを使用して RAM ユーザーに権限を付与する および カスタムポリシーを作成する を参照してください。
Tablestore インスタンスのインスタンスポリシーを設定して、ユーザーがインスタンスにアクセスするために使用できる VPC、IP アドレス、TLS バージョンなど、インスタンスのアクセス元を制限できます。 詳細については、インスタンスポリシーを使用してインスタンスのアクセス元を制限する および インスタンスポリシーを設定する を参照してください。
Resource Directory の制御ポリシー機能を使用して、リソースディレクトリ内のエンタープライズアカウントの権限境界を定義できます。 たとえば、Tablestore リソースにアクセスするために使用できる TLS バージョンを制限し、パブリックアクセスをサポートしていないインスタンスのみをユーザーが作成できるようにすることができます。 詳細については、カスタムアクセス制御ポリシーを使用してエンタープライズユーザーの権限境界を定義する および カスタムアクセス制御ポリシーを使用する を参照してください。