ACLを使用したアクセス制限の概要
インスタンスをプロビジョニングまたはクローニングするときにネットワーク・アクセスの「任意の場所からのセキュア・アクセスを許可」オプションを選択すると、アクセス制御リスト(ACL)を定義してネットワーク・アクセスを制限できます。アクティブなインスタンスのACLを追加、更新または削除することもできます。
アクセス制御リストを指定すると、ACLリストにないすべてのIPアドレスがデータベースにアクセスできなくなります。アクセス制御リストの指定後、データベースはアクセス制御リストのアドレスからの接続のみを受け入れ、他のすべてのクライアント接続を拒否します。
データベースに接続するクライアント・マシンの場所に応じて、ACLには次のようなオプションがあります:
-
クライアント・マシンがパブリック・インターネットを介してデータベースに接続する場合、ACLを使用してクライアント・マシンのパブリックIPアドレスまたはそのパブリックCIDRブロックを指定できます。この場合、指定したパブリックIPアドレスのみがデータベースにアクセスできます。
-
クライアント・マシンがOracle Cloud Infrastructure Virtual Cloud Network (VCN)に存在する場合、サービス・ゲートウェイを構成してデータベースに接続できます。この場合、ACLでVCNを指定すると、そのVCN内のすべてのクライアント・マシンがデータベースにアクセスできるようになり、他のすべての接続がブロックされます。さらに、VCNと、そのVCN内のプライベートIPアドレスまたはCIDRブロックのリストを指定できます。これにより、指定したIPアドレスまたはCIDRブロックを持つクライアント・マシンのみがデータベースにアクセスできるようになり、他のすべての接続がブロックされます。
Virtual Cloud Networks (VCN)の詳細は、VCNs and Subnetsを参照してください。
サービス・ゲートウェイの設定の詳細は、Oracle Servicesへのアクセス: サービス・ゲートウェイを参照してください。
-
転送ルーティングを介してデータベースに接続するオンプレミス・クライアントがある場合、VCNを指定できるだけでなく、データベースにアクセスするこれらのオンプレミス・クライアントのプライベートIPアドレスまたはCIDRブロックも指定できます。
転送ルーティングの詳細は、「転送ルーティング: Oracle Servicesへのプライベート・アクセス」を参照してください。
-
これらのオプションを一緒に使用して、様々なタイプのクライアントからのアクセスを許可するように複数のルールを設定できます。複数のルールが相互に排除することはありません。
データベースをプロビジョニングまたはクローニングする場合、あるいはACLを追加、変更または削除する場合に、ACLを使用してネットワーク・アクセスを構成するステップは、アクセス制御ルール(ACL)を使用したネットワーク・アクセスの構成を参照してください。