RDB:DBファイアウォール
DBファイアウォールを利用すれば、DBサーバーへのアクセスを制御できます。
仕様
- 許可設定を追加しないと、DBサーバーへのアクセスはすべて遮断されます。
- アプリケーションからDBサーバーを利用するには以下のどちらかを実施します。
- DBファイアウォールグループでニフクラのファイアウォールグループからのアクセスを許可する。
- IP帯からのアクセスを許可する。
- DBファイアウォールグループでニフクラのファイアウォールグループからのアクセス許可を行うには、両方のグループが同じゾーンに所属している必要があります。
異なるゾーンのニフクラ ファイアウォールグループはエラーが出て指定できません。
作成単位 | ゾーン |
DBファイアウォールグループ名 | 半角英数字、ハイフン 1~255文字 |
グループ設定数 | 25個まで |
メモ | 全半角255文字以内 |
※DBファイアウォールグループのグループ設定数の上限を変更するには、下記フォームより申請してください。
各種変更申請フォーム
DBファイアウォールグループのルール
- DB ファイアウォールグループにルールを追加すると、特定のアクセス元からそのグループに紐づいたDBサーバーへの通信を許可できます。
- アクセス元にはIP帯またはニフクラのファイアウォールグループを指定できます。
- DBファイアウォールグループのルールを作成する際に、ポート番号を指定する必要はありません。DBサーバーに設定されているポート番号が、DBファイアウォールグループに含まれるすべてのルールに適用されます。
通信許可設定 | Incomingのみ |
ルール設定数 | 100個まで |
IN/OUT設定 | INのみ(OUTは設定できません) |
※DBファイアウォールグループのルール設定数の上限を変更するには、下記フォームより申請してください。
各種変更申請フォーム
ニフクラのファイアウォールグループを許可した時の注意点
- ニフクラのファイアウォールグループを指定すると、そのファイアウォールグループを利用しているすべてのサーバーからのアクセスが許可されます。
- ルールに追加したニフクラのファイアウォールグループの名前は変更しないでください。
- 名前の変更を実施しDBファイアウォールグループを利用したDBサーバーの操作を行うと、DBファイアウォールグループのルールのステータスが「追加エラー(グループが存在しません)」になります。
- DBファイアウォールグループを利用したDBサーバーの操作
例)- DBファイアウォールグループを指定したDBサーバーの新規作成
- DBファイアウォールグループを指定したDBサーバーのリストア
- DBファイアウォールグループ設定済みのDBサーバーのDBファイアウォールグループを変更する
- DBファイアウォールグループを指定したDBサーバーの新規作成
- DBファイアウォールグループを利用したDBサーバーの操作
- ステータスが「追加エラー(グループが存在しません)」になったら、ニフクラのファイアウォールグループの名前をもとに戻してください。
DBファイアウォールグループのルールのステータスは自動的に復旧します。
- 名前の変更を実施しDBファイアウォールグループを利用したDBサーバーの操作を行うと、DBファイアウォールグループのルールのステータスが「追加エラー(グループが存在しません)」になります。
DBファイアウォールルールのステータス
DBファイアウォールグループに許可したルールの状態は、コントロールパネルのDBファイアウォールグループ詳細タブまたはDescribeDBSecurityGroups APIで確認できます。
下記がステータスの一覧です。
コントロールパネルでの表示 | API | 説明 |
---|---|---|
有効 | authorized | ルールが有効です。 |
追加中 | authorizing | ルールを許可しています。 |
削除中 | revoking | ルールを取り消しています。 |
追加エラー | auth-failed | ルールの許可に失敗しました。手動でルールを削除し、しばらく時間を置いてからもう一度許可を行ってください。 |
削除エラー | revoke-failed | ルールの取り消しに失敗しました。しばらく時間を置いてからもう一度取り消しを行ってください。 |
追加エラー(グループが存在しません) | not-exists | 指定したニフクラのファイアウォールグループが存在しなかったため、ルール許可に失敗しました。 手動で削除を行うか、「DBファイアウォールグループのルール」を参照し、適切な対処を実施してください。 |