アクセス制御ルール(ACL)を使用したネットワーク・アクセスの構成

アクセス制御リストを指定すると、ACLリストにないすべてのIPアドレスがデータベースにアクセスできなくなります。アクセス制御リストの指定後、Autonomous Databaseはアクセス制御リストにあるアドレスからの接続のみを受け入れ、他のすべてのクライアント接続を拒否します。

インスタンスのプロビジョニング時またはクローニング時のアクセス制御リストの構成

「許可されたIPおよびVCNのみからのセキュア・アクセス」オプションを使用してAutonomous Databaseをプロビジョニングまたはクローニングする場合、アクセス制御リスト(ACL)を定義してネットワーク・アクセスを制限できます。

Autonomous Databaseのプロビジョニングの詳細は、Autonomous Databaseインスタンスのプロビジョニングを参照してください。

ACLを次のように構成します。

  1. 「ネットワーク・アクセスの選択」領域で、「許可されたIPおよびVCN限定のセキュア・アクセス」を選択します。

    「許可されたIPおよびVCN限定のセキュア・アクセス」を選択すると、ACLを指定するフィールドおよびオプションがコンソールに表示されます:

    adb_network_access_acl_provision.pngの説明が続きます
  2. 「ネットワーク・アクセスの選択」領域で、IP表記法タイプを選択し、選択したタイプに適したを入力してアクセス制御ルールを指定します:
    • IPアドレス:

      「値」フィールドに、IPアドレスの値を入力します。ネットワークACLエントリに指定されたIPアドレスは、アクセス権を付与する、パブリック・インターネット上で可視化されたクライアントのパブリックIPアドレスです。たとえば、Oracle Cloud Infrastructure VMの場合、これはそのVMのOracle Cloud Infrastructureコンソールの「パブリックIP」フィールドに表示されるIPアドレスです。

      ノート

      オプションで、「自分のIPアドレスを追加」をクリックして、現在のIPアドレスをACLエントリに追加します。
    • CIDRブロック:

      「値」フィールドに、CIDRブロックの値を入力します。指定されたCIDRブロックは、アクセス権を付与する、パブリック・インターネット上で可視化されたクライアントのパブリックCIDRブロックです。

    • 仮想クラウド・ネットワーク:

      このオプションは、クライアントからデータベースへのネットワーク・ルートがOracle Cloud Infrastructure Service Gatewayを経由する場合に使用します。詳細は、Oracleサービスへのアクセス: サービス・ゲートウェイを参照してください。

      このオプションは、Oracle Cloud Infrastructure Service Gatewayで使用するVCNを指定する場合に使用します。

      • 「仮想クラウド・ネットワーク」フィールドで、アクセス権を付与するVCNを選択します。テナンシ内のVCNを表示する権限がない場合、このリストは空です。この場合、「仮想クラウド・ネットワーク(OCID)」を選択して、VCNのOCIDを指定します。
      • オプションで、「IPアドレスまたはCIDR」フィールドに、プライベートIPアドレスまたはプライベートCIDRブロックをカンマ区切りリストとして入力し、VCN内の特定のクライアントを許可します。
    • 仮想クラウド・ネットワーク(OCID):

      このオプションは、クライアントからデータベースへのネットワーク・ルートがOracle Cloud Infrastructure Service Gatewayを経由する場合に使用します。詳細は、Oracleサービスへのアクセス: サービス・ゲートウェイを参照してください。

      • 「値」フィールドに、アクセス権を付与するVCNのOCIDを入力します。
      • オプションで、「IPアドレスまたはCIDR」フィールドに、プライベートIPアドレスまたはプライベートCIDRブロックをカンマ区切りリストとして入力し、VCN内の特定のクライアントを許可します。

    同じVCN内の複数のIPアドレスまたはCIDR範囲を指定する場合は、複数のACLエントリを作成しないでください。複数のIPアドレスまたはCIDR範囲の値をカンマで区切って指定した、1つのACLエントリを使用します。

  3. 新しい値をアクセス制御リストに追加するには、「アクセス制御ルールの追加」をクリックします。
  4. エントリを削除するには、「x」をクリックします。
    「IPアドレス」または「CIDRブロック」フィールドの値をクリアして、エントリを削除することもできます。
  5. 相互TLS (mTLS)認証が必要。

    IP表記法タイプと値を入力した後、このオプションを選択できます。オプションは次のとおりです。

    • 「相互TLS (mTLS)認証が必要」が選択されている場合、mTLS接続のみが許可されます(TLS認証は許可されません)。

    • 「相互TLS (mTLS)認証が必要」の選択を解除すると、TLSおよびmTLS接続が許可されます。これはデフォルト構成です。

    詳細は、Autonomous DatabaseでTLS認証を許可するか相互TLS (mTLS)認証のみを必要とするようにネットワーク・オプションを更新を参照してください。

  6. Autonomous DatabaseインスタンスのプロビジョニングAutonomous DatabaseインスタンスのクローニングまたはバックアップからのAutonomous Databaseのクローニングの説明に従って、プロビジョニングまたはクローニングの残りのステップを実行します。

プロビジョニングが完了したら、パブリック・エンドポイントACLを更新するか、プライベート・エンドポイントを使用するようにAutonomous Database構成を変更できます。

ACLの更新の詳細は、既存のAutonomous Databaseインスタンスのアクセス制御リストの構成を参照してください。

プライベート・エンドポイントへの変更の詳細は、Autonomous Databaseでのパブリック・エンドポイントからプライベート・エンドポイントへの変更を参照してください。

既存のAutonomous Databaseインスタンスのアクセス制御リストの構成

ネットワーク・アクセス制御リスト(ACL)を指定することで、Autonomous Databaseへのアクセスを制御および制限できます。パブリック・エンドポイントを使用する既存のAutonomous Databaseインスタンスで、ACLを追加、変更または削除できます。

次のように、Autonomous DatabaseインスタンスのACLを構成するか、既存のACLを追加、削除または更新します:

  1. 「詳細」ページで、「他のアクション」ドロップダウン・リストから「ネットワーク・アクセスの更新」を選択します。

    これは、「ネットワーク・アクセスの更新」ダイアログを示しています。

    adb_network_access_update.pngの説明が続きます
  2. ダイアログの「アクセス・タイプ」で、「許可されたIPおよびVCNのみからのアクセスの保護」を選択し、「IP表記法タイプ」および値を選択してアクセス制御ルールを指定します:

    次のいずれかを選択します。

    • IPアドレス:

      「値」フィールドに、IPアドレスの値を入力します。ネットワークACLエントリに指定されたIPアドレスは、アクセス権を付与する、パブリック・インターネット上で可視化されたクライアントのパブリックIPアドレスです。たとえば、Oracle Cloud Infrastructure VMの場合、これはそのVMのOracle Cloud Infrastructureコンソールの「パブリックIP」フィールドに表示されるIPアドレスです。

      ノート

      オプションで、「自分のIPアドレスを追加」をクリックして、現在のIPアドレスをACLエントリに追加します。
    • CIDRブロック:

      「値」フィールドに、CIDRブロックの値を入力します。指定されたCIDRブロックは、アクセス権を付与する、パブリック・インターネット上で可視化されたクライアントのパブリックCIDRブロックです。

    • 仮想クラウド・ネットワーク:

      このオプションは、クライアントからデータベースへのネットワーク・ルートがOracle Cloud Infrastructure Service Gatewayを経由する場合に使用します。詳細は、Oracleサービスへのアクセス: サービス・ゲートウェイを参照してください。

      このオプションは、Oracle Cloud Infrastructure Service Gatewayで使用するVCNを指定する場合に使用します。

      • 「仮想クラウド・ネットワーク」フィールドで、アクセス権を付与するVCNを選択します。テナンシ内のVCNを表示する権限がない場合、このリストは空です。この場合、「仮想クラウド・ネットワーク(OCID)」を選択して、VCNのOCIDを指定します。
      • オプションで、「IPアドレスまたはCIDR」フィールドに、プライベートIPアドレスまたはプライベートCIDRブロックをカンマ区切りリストとして入力し、VCN内の特定のクライアントを許可します。
    • 仮想クラウド・ネットワーク(OCID):

      このオプションは、クライアントからデータベースへのネットワーク・ルートがOracle Cloud Infrastructure Service Gatewayを経由する場合に使用します。詳細は、Oracleサービスへのアクセス: サービス・ゲートウェイを参照してください。

      • 「値」フィールドに、アクセス権を付与するVCNのOCIDを入力します。
      • オプションで、「IPアドレスまたはCIDR」フィールドに、プライベートIPアドレスまたはプライベートCIDRブロックをカンマ区切りリストとして入力し、VCN内の特定のクライアントを許可します。

    同じVCN内の複数のIPアドレスまたはCIDR範囲を指定する場合は、複数のACLエントリを作成しないでください。複数のIPアドレスまたはCIDR範囲の値をカンマで区切って指定した、1つのACLエントリを使用します。

  3. アクセス制御リストに新しい値を追加するには、「アクセス制御の追加」をクリックします。
  4. エントリを削除するには、「x」をクリックします。
    「IPアドレス」または「CIDRブロック」フィールドの値をクリアして、エントリを削除することもできます。
  5. 「更新」をクリックします。

「更新」をクリックしたときにライフサイクル状態が「使用可能」の場合、ライフサイクル状態は、ACLが設定されるまで「更新中」に変わります。データベースは引き続き稼働中でアクセス可能であり、停止時間はありません。更新が完了すると、ライフサイクル状態は「使用可能」に戻り、アクセス制御リストのネットワークACLが有効になります。

Autonomous Databaseでのプライベート・エンドポイントからパブリック・エンドポイントへの変更

Autonomous Databaseインスタンスがプライベート・エンドポイントを使用するように構成されている場合、パブリック・エンドポイントを使用するように構成を変更できます。

次のように、インスタンスをプライベート・エンドポイントからパブリック・エンドポイントに変更するための前提条件がいくつかあります:
  • Autonomous Databaseインスタンスは、使用可能状態(ライフサイクル状態: 使用可能)である必要があります。

  • ネットワーク構成をプライベート・エンドポイントからパブリック・エンドポイントに変更する前に、TLS接続を許可しないように構成を変更する必要があります。これにより、既存のTLS接続がすべて閉じられます。詳細は、mTLS認証を必要とし、TLS認証を許可しないようにAutonomous Databaseインスタンスを更新を参照してください。

Autonomous Databaseのパブリック・エンドポイントを指定するには、次を実行します:

  1. 「詳細」ページで、「他のアクション」ドロップダウン・リストから「ネットワーク・アクセスの更新」を選択します。
  2. 「ネットワーク・アクセスの更新」ダイアログで、「すべての場所からのアクセスの保護」または「許可されたIPおよびVCNのみからのアクセスの保護」のいずれかを選択します。

    たとえば、「許可されたIPおよびVCN限定のセキュア・アクセス」を選択した場合、ダイアログにはアクセス制御ルールを構成するためのフィールドが表示されます:

    adb_network_access_update.pngの説明が続きます
  3. ダイアログの「アクセス制御ルールの構成」で、IP表記法タイプおよび値を選択してルールを指定します:
    • IPアドレス:

      「値」フィールドに、IPアドレスの値を入力します。ネットワークACLエントリに指定されたIPアドレスは、アクセス権を付与する、パブリック・インターネット上で可視化されたクライアントのパブリックIPアドレスです。たとえば、Oracle Cloud Infrastructure VMの場合、これはそのVMのOracle Cloud Infrastructureコンソールの「パブリックIP」フィールドに表示されるIPアドレスです。

      ノート

      オプションで、「自分のIPアドレスを追加」をクリックして、現在のIPアドレスをACLエントリに追加します。
    • CIDRブロック:

      「値」フィールドに、CIDRブロックの値を入力します。指定されたCIDRブロックは、アクセス権を付与する、パブリック・インターネット上で可視化されたクライアントのパブリックCIDRブロックです。

    • 仮想クラウド・ネットワーク:

      このオプションは、クライアントからデータベースへのネットワーク・ルートがOracle Cloud Infrastructure Service Gatewayを経由する場合に使用します。詳細は、Oracleサービスへのアクセス: サービス・ゲートウェイを参照してください。

      • 「仮想クラウド・ネットワーク」フィールドで、アクセス権を付与するVCNを選択します。テナンシ内のVCNを表示する権限がない場合、このリストは空です。この場合、「仮想クラウド・ネットワーク(OCID)」を選択して、VCNのOCIDを指定します。
      • オプションで、「IPアドレスまたはCIDR」フィールドに、プライベートIPアドレスまたはプライベートCIDRブロックをカンマ区切りリストとして入力し、VCN内の特定のクライアントを許可します。
    • 仮想クラウド・ネットワーク(OCID):

      このオプションは、クライアントからデータベースへのネットワーク・ルートがOracle Cloud Infrastructure Service Gatewayを経由する場合に使用します。詳細は、Oracleサービスへのアクセス: サービス・ゲートウェイを参照してください。

      • 「値」フィールドに、アクセス権を付与するVCNのOCIDを入力します。
      • オプションで、「IPアドレスまたはCIDR」フィールドに、プライベートIPアドレスまたはプライベートCIDRブロックをカンマ区切りリストとして入力し、VCN内の特定のクライアントを許可します。

    同じVCN内の複数のIPアドレスまたはCIDR範囲を指定する場合は、複数のACLエントリを作成しないでください。複数のIPアドレスまたはCIDR範囲の値をカンマで区切って指定した、1つのACLエントリを使用します。

  4. 新しい値をアクセス制御リストに追加するには、「アクセス制御ルールの追加」をクリックします。
  5. エントリを削除するには、「x」をクリックします。
    「IPアドレス」または「CIDRブロック」フィールドの値をクリアして、エントリを削除することもできます。
  6. 「更新」をクリックします。
  7. 「確認」ダイアログで、Autonomous Databaseの名前を入力します。
  8. 「確認」ダイアログで、「更新」をクリックします。

ライフサイクル状態は、操作が完了するまで「更新中」に変わります。

プライベート・エンドポイント・ネットワーク・アクセスからパブリック・エンドポイント・ネットワーク・アクセスへの変更に関するノート:

  • ネットワーク・アクセス・タイプを更新した後、すべてのデータベース・ユーザーは、新しいウォレットを取得し、新しいウォレットを使用してデータベースにアクセスする必要があります。詳細は、クライアント資格証明(ウォレット)のダウンロードを参照してください。

  • 更新が完了したら、パブリック・エンドポイントのアクセス制御ルールのACLを変更するか、新しく定義できます。詳細は、既存のAutonomous Databaseインスタンスのアクセス制御リストの構成を参照してください。

  • データベース・アクションおよびデータベース・ツールのURLは、データベースがプライベート・エンドポイントを使用する場合と比較して異なります。プライベート・エンドポイントからパブリック・エンドポイントに変更した後、Oracle Cloud Infrastructure Consoleで「データベース・アクション」をクリックして更新されたデータベース・アクションURLを検索し、「データベース・アクション」で適切なカードをクリックして更新されたデータベース・ツールURLを検索します。

アクセス制御リストの制限およびノート

Autonomous Databaseでのアクセス制御ルールの制限およびノートについて説明します。

  • サービス・ゲートウェイを介した接続のみを許可する場合は、ACL定義でサービス・ゲートウェイのIPアドレスを使用する必要があります。これを行うには、CIDRソース・タイプで値が240.0.0.0/4のACL定義を追加する必要があります。ただし、これはお薦めしません。そのかわりに、アクセスを許可するVCNのACL定義で個々のVCNを指定できます。

    詳細は、Oracleサービスへのアクセス: サービス・ゲートウェイを参照してください。

  • データベースをリストアしても、既存のACLはリストアによって上書きされません。

  • ネットワークACLは、データベース接続およびOracle Machine Learningノートブックに適用されます。ACLが定義されている場合、そのACLにIPが指定されていないクライアントからOracle Machine Learningノートブックにログインしようとすると、「管理者が設定したアクセス制御リストに基づいてログインが拒否されました」というエラーが表示されます。

  • 次のAutonomous DatabaseツールはACLの対象です。仮想クラウド・ネットワーク、仮想クラウド・ネットワーク(OCID)、IPアドレスまたはCIDRブロックのACLを使用して、これらのツールへのアクセスを制御できます:

    • データベース・アクション
    • Oracle APEX
    • Oracle Graph Studio
    • Oracle Machine Learningノートブック
    • Oracle REST Data Services
  • NATゲートウェイを介してパブリック・インターネットにアクセスするように構成されたプライベート・サブネットがVCNにある場合、ACL定義にNATゲートウェイのパブリックIPアドレスを入力する必要があります。プライベート・サブネット内のクライアントには、パブリックIPアドレスはありません。詳細は、NATゲートウェイを参照してください。

  • ACLを使用し、TLS接続が許可されている場合は、すべてのACLを削除する前に、TLS接続を許可しないようにネットワーク構成を変更する必要があります。詳細は、mTLS認証を必要とし、TLS認証を許可しないようにAutonomous Databaseインスタンスを更新を参照してください。

  • インスタンスのネットワーク情報を表示するには、OCIコンソールでのネットワーク情報の表示を参照してください。