機械翻訳について

アクセス制御ルール(ACL)を使用したネットワーク・アクセスの構成

アクセス制御リストを指定すると、ACLリストに含まれていないすべてのIPアドレスがデータベースへのアクセスをブロックされます。 アクセス制御リストを指定した後、Autonomous AI Databaseはアクセス制御リストのアドレスからの接続のみを受け入れ、データベースは他のすべてのクライアント接続を拒否します。

• インスタンスのプロビジョニングまたはクローニング時のアクセス制御リストの構成
  Autonomous AI Databaseを「許可されたIPおよびVCNsのみからのセキュアなアクセス」オプションを使用してプロビジョニングまたはクローニングすると、アクセス制御リスト(ACL)を定義することでネットワーク・アクセスを制限できます。
• 既存のAutonomous AIデータベース・インスタンスのアクセス制御リストの構成
  ネットワーク・アクセス制御リスト(ACL)を指定することで、Autonomous AI Databaseへのアクセスを制御および制限できます。 パブリック・エンドポイントを含む既存のAutonomous AI Databaseインスタンスで、ACLを追加、変更または削除できます。
• Autonomous AI Databaseを使用したプライベート・エンドポイントからパブリック・エンドポイントへの変更
  Autonomous AI Databaseインスタンスがプライベート・エンドポイントを使用するように構成されている場合は、パブリック・エンドポイントを使用するように構成を変更できます。
• アクセス制御リストの制限事項およびノート
  Autonomous AI Databaseのアクセス制御ルールの制限およびノートについて説明します。

インスタンスのプロビジョニングまたはクローニング時のアクセス制御リストの構成

「許可されたIPおよびVCNsからのセキュア・アクセスのみ」オプションを使用してAutonomous AI Databaseをプロビジョニングまたはクローニングする場合、アクセス制御リスト(ACL)を定義することでネットワーク・アクセスを制限できます。

Autonomous AI Databaseのプロビジョニングの詳細は、Autonomous AI Databaseインスタンスのプロビジョニングを参照してください。

ACLを次のように構成します:

1. ネットワーク・アクセスの選択領域で、「許可されたIPおよびVCNからのみアクセスを保護」を選択します。

   「許可されたIPおよびVCNからのみアクセスを保護」を選択すると、コンソールにACLを指定するためのフィールドおよびオプションが表示されます:

   
   「図adb_network_access_acl_provision.pngの説明」
2. 「ネットワーク・アクセスの選択」領域で、アクセス制御ルールを指定するには、IP表記法タイプを選択し、選択したタイプに適した値を入力します:
   • IPアドレス:

     「値」フィールドに、「IPアドレス」の値を入力します。 ネットワークACLエントリで指定されたIPアドレスは、アクセス権を付与するパブリック・インターネットで表示可能なクライアントのパブリックIPアドレスです。 たとえば、Oracle Cloud Infrastructure VMの場合、これは、そのVMのOracle Cloud Infrastructureコンソールの「パブリックIP」フィールドに表示されているIPアドレスです。

     ノート:

     オプションで、「IPアドレスを追加」を選択して、現在のIPアドレスをACLエントリに追加します。
   • CIDRブロック:

     「値」フィールドに、「CIDRブロック」の値を入力します。 指定されたCIDRブロックは、アクセス権を付与するパブリック・インターネットで表示可能なクライアントのパブリックCIDRブロックです。

   • 仮想クラウド・ネットワーク:

     このオプションは、クライアントからデータベースへのネットワーク・ルートがOracle Cloud Infrastructureサービス・ゲートウェイを経由する場合に使用します。 詳細については、「Oracle Servicesへのアクセス: サービス・ゲートウェイ」を参照してください。

     このオプションを使用して、Oracle Cloud Infrastructureサービス・ゲートウェイで使用するVCNを指定します:

     • 「仮想クラウド・ネットワーク」フィールドで、アクセス権を付与するVCNを選択します。 テナンシ内のVCNを参照する権限がない場合、このリストは空です。 この場合、選択「仮想クラウド・ネットワーク(OCID)」を使用してVCNのOCIDを指定します。
     • 必要に応じて、「IPアドレスまたはCIDR」フィールドに、プライベートIPアドレスまたはプライベートCIDRブロックをカンマ区切りリストとして入力し、VCN内の特定のクライアントを許可します。
   • 仮想クラウド・ネットワーク(OCID):

     このオプションは、クライアントからデータベースへのネットワーク・ルートがOracle Cloud Infrastructureサービス・ゲートウェイを経由する場合に使用します。 詳細については、「Oracle Servicesへのアクセス: サービス・ゲートウェイ」を参照してください。

     • 「値」フィールドに、アクセス権を付与するVCNのOCIDを入力します。
     • 必要に応じて、「IPアドレスまたはCIDR」フィールドに、プライベートIPアドレスまたはプライベートCIDRブロックをカンマ区切りリストとして入力し、VCN内の特定のクライアントを許可します。

   同じVCN内で複数のIPアドレスまたはCIDR範囲を指定する場合は、複数のACLエントリを作成しないでください。 複数のIPアドレスまたはCIDR範囲の値をカンマで区切って、単一のACLエントリを使用します。

3. アクセス・コントロール・リストに新しい値を追加するには、「アクセス制御ルールの追加」をクリックします。
4. エントリを削除するには、xをクリックします。
   「IPアドレス」または「CIDRブロック」フィールドの値をクリアして、エントリを削除することもできます。
5. 相互TLS (mTLS)認証が必要

   IP表記法タイプおよび値を入力した後、このオプションを選択できます。 オプションは次のとおりです。

   • 「相互TLS (mTLS)認証が必要」を選択すると、mTLS接続のみが許可されます(TLS認証は許可されません)。

   • 「相互TLS (mTLS)認証が必要」の選択を解除すると、TLSおよびmTLS接続が許可されます。 これはデフォルトの構成です。

   詳細は、Autonomous AI DatabaseでTLSまたは相互TLS (mTLS)認証のみを要求するためのネットワーク・オプションの更新を参照してください。

6. Autonomous AI Databaseインスタンスのプロビジョニング、Autonomous AI DatabaseインスタンスのクローニングまたはバックアップからのAutonomous AI Databaseのクローニングの説明に従って、残りのプロビジョニングまたはクローニングのステップを実行します。

プロビジョニングの完了後、パブリック・エンドポイントACLを更新するか、プライベート・エンドポイントを使用するようにAutonomous AI Database構成を変更できます。

ACLの更新の詳細は、既存のAutonomous AIデータベース・インスタンスのアクセス制御リストの構成を参照してください。

プライベート・エンドポイントへの変更の詳細は、Autonomous AI Databaseを使用したパブリック・エンドポイントからプライベート・エンドポイントへの変更を参照してください。

既存のAutonomous AI Databaseインスタンスのアクセス制御リストの構成

ネットワーク・アクセス制御リスト(ACL)を指定することで、Autonomous AI Databaseへのアクセスを制御および制限できます。 パブリック・エンドポイントを含む既存のAutonomous AI Databaseインスタンスで、ACLを追加、変更または削除できます。

Autonomous AI DatabaseインスタンスのACLを構成するか、次のように既存のACLを追加、削除または更新します:

1. 「詳細」ページの「ネットワーク」領域で、「アクセス制御リスト・フィールド」の横にある「編集」をクリックします。

   これは、「ネットワーク・アクセスの更新」ペインを示しています。

   
   「図adb_network_access_update.pngの説明」

   別の方法として、「その他のアクション」をクリックして「ネットワーク・アクセスの更新」を選択し、ペインの「アクセス・タイプ」で「許可されたIPおよびVCNのみからのセキュア・アクセス」を選択します。

2. IP表記法タイプおよび値を選択して、アクセス制御ルールを指定します:

   次のいずれかを選択します。

   • IPアドレス:

     「値」フィールドに、「IPアドレス」の値を入力します。 ネットワークACLエントリで指定されたIPアドレスは、アクセス権を付与するパブリック・インターネットで表示可能なクライアントのパブリックIPアドレスです。 たとえば、Oracle Cloud Infrastructure VMの場合、これは、そのVMのOracle Cloud Infrastructureコンソールの「パブリックIP」フィールドに表示されているIPアドレスです。

     ノート:

     オプションで、「IPアドレスを追加」を選択して、現在のIPアドレスをACLエントリに追加します。
   • CIDRブロック:

     「値」フィールドに、「CIDRブロック」の値を入力します。 指定されたCIDRブロックは、アクセス権を付与するパブリック・インターネットで表示可能なクライアントのパブリックCIDRブロックです。

   • 仮想クラウド・ネットワーク:

     このオプションは、クライアントからデータベースへのネットワーク・ルートがOracle Cloud Infrastructureサービス・ゲートウェイを経由する場合に使用します。 詳細については、「Oracle Servicesへのアクセス: サービス・ゲートウェイ」を参照してください。

     このオプションを使用して、Oracle Cloud Infrastructureサービス・ゲートウェイで使用するVCNを指定します:

     • 「仮想クラウド・ネットワーク」フィールドで、アクセス権を付与するVCNを選択します。 テナンシ内のVCNを参照する権限がない場合、このリストは空です。 この場合、選択「仮想クラウド・ネットワーク(OCID)」を使用してVCNのOCIDを指定します。
     • 必要に応じて、「IPアドレスまたはCIDR」フィールドに、プライベートIPアドレスまたはプライベートCIDRブロックをカンマ区切りリストとして入力し、VCN内の特定のクライアントを許可します。
   • 仮想クラウド・ネットワーク(OCID):

     このオプションは、クライアントからデータベースへのネットワーク・ルートがOracle Cloud Infrastructureサービス・ゲートウェイを経由する場合に使用します。 詳細については、「Oracle Servicesへのアクセス: サービス・ゲートウェイ」を参照してください。

     • 「値」フィールドに、アクセス権を付与するVCNのOCIDを入力します。
     • 必要に応じて、「IPアドレスまたはCIDR」フィールドに、プライベートIPアドレスまたはプライベートCIDRブロックをカンマ区切りリストとして入力し、VCN内の特定のクライアントを許可します。

   同じVCN内で複数のIPアドレスまたはCIDR範囲を指定する場合は、複数のACLエントリを作成しないでください。 複数のIPアドレスまたはCIDR範囲の値をカンマで区切って、単一のACLエントリを使用します。

3. アクセス・コントロール・リストに新しい値を追加するには、「アクセス制御の追加」をクリックします。
4. エントリを削除するには、xをクリックします。
   「IPアドレス」または「CIDRブロック」フィールドの値をクリアして、エントリを削除することもできます。
5. 「更新」をクリックします。

「更新」をクリックすると、ライフサイクル状態が「使用可能」の場合、ACLが設定されるまでライフサイクル状態は「更新中」に変わります。 データベースは稼働中でアクセス可能なため、停止時間はありません。 更新が完了すると、ライフサイクル状態は「使用可能」に戻り、アクセス制御リストのネットワークACLが有効になります。

Autonomous AI Databaseを使用したプライベート・エンドポイントからパブリック・エンドポイントへの変更

Autonomous AI Databaseインスタンスがプライベート・エンドポイントを使用するように構成されている場合は、パブリック・エンドポイントを使用するように構成を変更できます。

次のように、プライベート・エンドポイントからパブリック・エンドポイントにインスタンスを変更するための前提条件がいくつかあります:

• Autonomous AI Databaseインスタンスは、使用可能な状態(ライフサイクル状態: 使用可能)である必要があります。

• ネットワーク構成をプライベート・エンドポイントからパブリック・エンドポイントに変更する前に、TLS接続を許可しないように構成を変更する必要があります。 これにより、既存のすべてのTLS接続が閉じられます。 詳細は、mTLSが必要でTLS認証が許可されないようにAutonomous AI Databaseインスタンスを更新を参照してください。

Autonomous AI Databaseのパブリック・エンドポイントを指定するには、次を実行します:

1. 「詳細」ページで、「その他のアクション」ドロップダウン・リストから「ネットワーク・アクセスの更新」を選択します。
2. 「ネットワーク・アクセスの更新」ダイアログで、「あらゆる場所からの安全なアクセス」または「許可されたIPおよびVCNのみからのセキュア・アクセス」のいずれかを選択します。

   たとえば、「許可されたIPおよびVCNからのみアクセスを保護」を選択した場合、ダイアログにはアクセス制御ルールを構成するフィールドが表示されます:

   
   「図adb_network_access_update.pngの説明」
3. ダイアログで、アクセス制御ルールの構成で、IP表記法タイプおよび値を選択してルールを指定します:
   • IPアドレス:

     「値」フィールドに、「IPアドレス」の値を入力します。 ネットワークACLエントリで指定されたIPアドレスは、アクセス権を付与するパブリック・インターネットで表示可能なクライアントのパブリックIPアドレスです。 たとえば、Oracle Cloud Infrastructure VMの場合、これは、そのVMのOracle Cloud Infrastructureコンソールの「パブリックIP」フィールドに表示されているIPアドレスです。

     ノート:

     オプションで、「IPアドレスを追加」を選択して、現在のIPアドレスをACLエントリに追加します。
   • CIDRブロック:

     「値」フィールドに、「CIDRブロック」の値を入力します。 指定されたCIDRブロックは、アクセス権を付与するパブリック・インターネットで表示可能なクライアントのパブリックCIDRブロックです。

   • 仮想クラウド・ネットワーク:

     このオプションは、クライアントからデータベースへのネットワーク・ルートがOracle Cloud Infrastructureサービス・ゲートウェイを経由する場合に使用します。 詳細については、「Oracle Servicesへのアクセス: サービス・ゲートウェイ」を参照してください。

     • 「仮想クラウド・ネットワーク」フィールドで、アクセス権を付与するVCNを選択します。 テナンシ内のVCNを参照する権限がない場合、このリストは空です。 この場合、選択「仮想クラウド・ネットワーク(OCID)」を使用してVCNのOCIDを指定します。
     • 必要に応じて、「IPアドレスまたはCIDR」フィールドに、プライベートIPアドレスまたはプライベートCIDRブロックをカンマ区切りリストとして入力し、VCN内の特定のクライアントを許可します。
   • 仮想クラウド・ネットワーク(OCID):

     このオプションは、クライアントからデータベースへのネットワーク・ルートがOracle Cloud Infrastructureサービス・ゲートウェイを経由する場合に使用します。 詳細については、「Oracle Servicesへのアクセス: サービス・ゲートウェイ」を参照してください。

     • 「値」フィールドに、アクセス権を付与するVCNのOCIDを入力します。
     • 必要に応じて、「IPアドレスまたはCIDR」フィールドに、プライベートIPアドレスまたはプライベートCIDRブロックをカンマ区切りリストとして入力し、VCN内の特定のクライアントを許可します。

   同じVCN内で複数のIPアドレスまたはCIDR範囲を指定する場合は、複数のACLエントリを作成しないでください。 複数のIPアドレスまたはCIDR範囲の値をカンマで区切って、単一のACLエントリを使用します。

4. アクセス・コントロール・リストに新しい値を追加するには、「アクセス制御ルールの追加」をクリックします。
5. エントリを削除するには、xをクリックします。
   「IPアドレス」または「CIDRブロック」フィールドの値をクリアして、エントリを削除することもできます。
6. 「更新」をクリックします。
7. 「確認」ダイアログで、Autonomous AI Database名を入力して変更を確認します。
8. 「確認」ダイアログで、「更新」をクリックします。

ライフサイクル状態は、操作が完了するまで「更新中」に変わります。

プライベート・エンドポイントからパブリック・エンドポイントへのネットワーク・アクセスを変更する場合のノート:

• ネットワーク・アクセス・タイプを更新した後、すべてのデータベース・ユーザーは新しいウォレットを取得し、新しいウォレットを使用してデータベースにアクセスする必要があります。 詳細については、「クライアント資格証明(ウォレット)のダウンロード」を参照してください。

• 更新の完了後、パブリック・エンドポイントの新しいアクセス制御ルールACLを変更または定義できます。 詳細は、既存のAutonomous AIデータベース・インスタンスのアクセス制御リストの構成を参照してください。

• データベース・アクションおよびデータベース・ツールのURLは、データベースでプライベート・エンドポイントを使用する場合とパブリック・エンドポイントを使用する場合とで異なります。 Oracle Cloud Infrastructureコンソールでデータベース・アクションをクリックして、更新されたデータベース・アクションURLを見つけ、データベース・アクションで適切なカードをクリックして、プライベート・エンドポイントからパブリック・エンドポイントに変更した後、更新されたデータベース・ツールURLを見つけます。

アクセス制御リストの制限およびノート

Autonomous AI Databaseのアクセス制御ルールの制限およびノートについて説明します。

• Oracle Cloud InfrastructureのパブリックIPアドレス範囲の詳細は、「IPアドレス範囲」を参照してください。 パブリック・エンドポイント上のAutonomous AI Databaseインスタンスへのアクセスを確保するには、これらのCIDRブロックへのトラフィックを許可する必要があります。

• サービス・ゲートウェイを介した接続のみを許可する場合は、サービス・ゲートウェイのIPアドレスをACL定義で使用する必要があります。 これを行うには、240.0.0.0/4の値にCIDRソース・タイプのACL定義を追加する必要があります。 これはお薦めしません。かわりに、アクセスを許可するVCNに対するACL定義で個々のvcnを指定できることに注意してください。

  詳細については、「Oracle Servicesへのアクセス: サービス・ゲートウェイ」を参照してください。

• データベースをリストアする場合、既存のAclはリストアによって上書きされません。

• ネットワークAclはデータベース接続およびOracle Machine Learningノートブックに適用されます。 ACLが定義されている場合、ACLにIPが指定されていないクライアントからOracle Machine Learningノートブックにログインしようとすると、「管理者が設定したアクセス制御リストに基づいてログインが拒否されました」というエラーが表示されます。

• 次のAutonomous AI DatabaseツールはACLの対象です。 仮想クラウド・ネットワーク、仮想クラウド・ネットワーク(OCID)、IPアドレスまたはCIDRブロックACLを使用して、次のツールへのアクセスを制御できます:

  • データベース・アクション
  • Oracle APEX
  • Oracle Graph Studio
  • Oracle Machine Learning Notebooks
  • Oracle REST Data Services

• VCN内に、NAT Gatewayを介してパブリック・インターネットにアクセスするように構成されているプライベート・サブネットがある場合、NAT GatewayのパブリックIPアドレスをACL定義に入力する必要があります。 プライベート・サブネット内のクライアントには、パブリックIPアドレスはありません。 詳細については、NAT Gatewayを参照してください。

• ACLおよびTLS接続を使用できる場合は、すべてのACLを削除する前に、TLS接続を許可しないようにネットワーク構成を変更する必要があります。 詳細は、mTLSが必要でTLS認証が許可されないようにAutonomous AI Databaseインスタンスを更新を参照してください。

• インスタンスのネットワーク情報を表示するには、「OCIコンソールでのネットワーク情報の表示」を参照してください。