アクセス制御ルール(ACL)を使用したネットワーク・アクセスの設定

アクセス制御リストを指定すると、ACLリストにないすべてのIPアドレスがデータベースにアクセスできなくなります。アクセス制御リストの指定後、Autonomous AI Databaseはアクセス制御リストにあるアドレスからの接続のみを受け入れ、他のすべてのクライアント接続を拒否します。

インスタンスのプロビジョニング時またはクローニング時のアクセス制御リストの構成

「許可されたIPおよびVCNsからのセキュア・アクセスのみ」オプションを使用してAutonomous AIデータベースをプロビジョニングまたはクローニングする場合、アクセス制御リスト(ACL)を定義することでネットワーク・アクセスを制限できます。

Autonomous AI Databaseのプロビジョニングの詳細は、Autonomous AI Databaseインスタンスのプロビジョニングを参照してください。

ACLを次のように構成します。

1. 「ネットワーク・アクセスの選択」領域で、「許可されたIPおよびVCNsからのアクセスのみの保護」を選択します。

   「許可されたIPおよびVCNsからのセキュア・アクセスのみ」が選択されている場合、コンソールにACLを指定するフィールドおよびオプションが表示されます:

   

   図adb_network_access_acl_provision.pngの説明

2. 「ネットワーク・アクセスの選択」領域では、IP表記法タイプを選択し、選択したタイプに適した値を入力して、アクセス制御ルールを指定します:

   a. IPアドレス:

   「値」フィールドに、IPアドレスの値を入力します。ネットワークACLエントリに指定されたIPアドレスは、アクセス権を付与する、パブリック・インターネット上で可視化されたクライアントのパブリックIPアドレスです。たとえば、Oracle Cloud Infrastructure VMの場合は、このIPアドレスが、そのVMのOracle Cloud Infrastructureコンソールの「パブリックIP」フィールドに表示されます。

   ノート
   
   ノート:オプションで、「IPアドレスの追加」を選択して、現在のIPアドレスをACLエントリに追加します。

   b. CIDRブロック:

   In Values field enter values for the CIDR block. 指定されたCIDRブロックは、アクセス権を付与する、パブリック・インターネット上で可視化されたクライアントのパブリックCIDRブロックです。

   c. 仮想クラウド・ネットワーク:

   このオプションは、クライアントからデータベースへのネットワーク・ルートがOracle Cloud Infrastructure Service Gatewayを経由する場合に使用します。詳細は、Oracleサービスへのアクセス: サービス・ゲートウェイを参照してください。

   Oracle Cloud Infrastructure Service Gatewayで使用するVCNを指定するには、このオプションを使用します:

   • 「仮想クラウド・ネットワーク」フィールドで、アクセス権を付与するVCNを選択します。テナンシ内のVCNを表示する権限がない場合、このリストは空です。この場合、選択仮想クラウド・ネットワーク(OCID)を使用して、VCNのOCIDを指定します。

   • オプションで、「IPアドレスまたはCIDR」フィールドに、プライベートIPアドレスまたはプライベートCIDRブロックをカンマ区切りのリストとして入力します。これにより、VCN内の特定のクライアントが許可されます。

   • 仮想クラウド・ネットワーク(OCID):

   このオプションは、クライアントからデータベースへのネットワーク・ルートがOracle Cloud Infrastructure Service Gatewayを経由する場合に使用します。詳細は、Oracleサービスへのアクセス: サービス・ゲートウェイを参照してください。

   • 「値」フィールドに、アクセス権を付与するVCNのOCIDを入力します。

   • オプションで、「IPアドレスまたはCIDR」フィールドに、プライベートIPアドレスまたはプライベートCIDRブロックをカンマ区切りのリストとして入力します。これにより、VCN内の特定のクライアントが許可されます。

   同じVCN内の複数のIPアドレスまたはCIDR範囲を指定する場合は、複数のACLエントリを作成しないでください。複数のIPアドレスまたはCIDR範囲の値をカンマで区切って指定した、1つのACLエントリを使用します。

3. 「アクセス制御ルールの追加」をクリックして、アクセス制御リストに新しい値を追加します。

4. エントリを削除するには、「x」をクリックします。

   「IPアドレス」または「CIDRブロック」フィールドの値をクリアして、エントリを削除することもできます。

5. 相互TLS (mTLS)認証が必要。

   IP表記法タイプと値を入力した後、このオプションを選択するオプションがあります。オプションは次のとおりです。

   • 「相互TLS (mTLS)認証が必要」が選択されている場合、mTLS接続のみが許可されます(TLS認証は許可されません)。

   • 「相互TLS (mTLS)認証が必要」を選択解除すると、TLSおよびmTLS接続が許可されます。これはデフォルト構成です。

   詳細は、Autonomous AI DatabaseでTLSまたは相互TLS (mTLS)認証のみを必要とするようネットワーク・オプションを更新を参照してください。

6. 「Autonomous AIデータベース・インスタンスのプロビジョニング」、「Autonomous AIデータベース・インスタンスのクローニング」または「バックアップからのAutonomous AIデータベースのクローニング」の説明に従って、残りのプロビジョニングまたはクローニング・ステップを完了します。

プロビジョニングが完了したら、パブリック・エンドポイントACLを更新するか、プライベート・エンドポイントを使用するようにAutonomous AI Database構成を変更できます。

ACLの更新については、既存のAutonomous AIデータベース・インスタンスのアクセス制御リストの構成を参照してください。

プライベート・エンド・ポイントへの変更の詳細は、「Autonomous AI Databaseでのパブリック・エンドポイントからプライベート・エンドポイントへ変更」を参照してください。

既存のAutonomous AI Databaseインスタンスのアクセス制御リストの構成

ネットワーク・アクセス制御リスト(ACL)を指定することで、自律型AIデータベースへのアクセスを制御および制限できます。パブリック・エンドポイントを含む既存のAutonomous AI Databaseインスタンスで、ACLを追加、変更または削除できます。

次のように、Autonomous AI DatabaseインスタンスのACLを構成するか、既存のACLを追加、削除または更新します:

1. 「詳細」ページの「ネットワーク」領域で、「アクセス制御リスト」フィールドの横にある「編集」をクリックします。

   これは、「ネットワーク・アクセスの更新」ペインを示しています。

   

   図adb_network_access_update.pngの説明

   別の方法として、「その他のアクション」をクリックして「ネットワーク・アクセスの更新」を選択し、ペインの「アクセス・タイプ」で「許可されたIPおよびVCNsからのアクセスの保護のみ」を選択します。

2. アクセス制御ルールを指定するには、IP表記法タイプと値を選択します。

   次のいずれかを選択します。

   a. IPアドレス:

   「値」フィールドに、IPアドレスの値を入力します。ネットワークACLエントリに指定されたIPアドレスは、アクセス権を付与する、パブリック・インターネット上で可視化されたクライアントのパブリックIPアドレスです。たとえば、Oracle Cloud Infrastructure VMの場合は、このIPアドレスが、そのVMのOracle Cloud Infrastructureコンソールの「パブリックIP」フィールドに表示されます。

   ノート
   
   ノート:オプションで、「IPアドレスの追加」を選択して、現在のIPアドレスをACLエントリに追加します。

   b. CIDRブロック:

   In Values field enter values for the CIDR block. 指定されたCIDRブロックは、アクセス権を付与する、パブリック・インターネット上で可視化されたクライアントのパブリックCIDRブロックです。

   c. 仮想クラウド・ネットワーク:

   このオプションは、クライアントからデータベースへのネットワーク・ルートがOracle Cloud Infrastructure Service Gatewayを経由する場合に使用します。詳細は、Oracleサービスへのアクセス: サービス・ゲートウェイを参照してください。

   Oracle Cloud Infrastructure Service Gatewayで使用するVCNを指定するには、このオプションを使用します:

   • 「仮想クラウド・ネットワーク」フィールドで、アクセス権を付与するVCNを選択します。テナンシ内のVCNを表示する権限がない場合、このリストは空です。この場合、選択仮想クラウド・ネットワーク(OCID)を使用して、VCNのOCIDを指定します。

   • オプションで、「IPアドレスまたはCIDR」フィールドに、プライベートIPアドレスまたはプライベートCIDRブロックをカンマ区切りのリストとして入力します。これにより、VCN内の特定のクライアントが許可されます。

   • 仮想クラウド・ネットワーク(OCID):

   このオプションは、クライアントからデータベースへのネットワーク・ルートがOracle Cloud Infrastructure Service Gatewayを経由する場合に使用します。詳細は、Oracleサービスへのアクセス: サービス・ゲートウェイを参照してください。

   • 「値」フィールドに、アクセス権を付与するVCNのOCIDを入力します。

   • オプションで、「IPアドレスまたはCIDR」フィールドに、プライベートIPアドレスまたはプライベートCIDRブロックをカンマ区切りのリストとして入力します。これにより、VCN内の特定のクライアントが許可されます。

   同じVCN内の複数のIPアドレスまたはCIDR範囲を指定する場合は、複数のACLエントリを作成しないでください。複数のIPアドレスまたはCIDR範囲の値をカンマで区切って指定した、1つのACLエントリを使用します。

3. アクセス制御リストに新しい値を追加するには、「アクセス制御の追加」をクリックします。

4. エントリを削除するには、「x」をクリックします。

   「IPアドレス」または「CIDRブロック」フィールドの値をクリアして、エントリを削除することもできます。

5. 「更新」をクリックします。

「更新」をクリックしたときにライフサイクル状態が「使用可能」の場合、ACLが設定されるまでライフサイクル状態は「更新中」に変わります。データベースは引き続き稼働中でアクセス可能であり、停止時間はありません。更新が完了すると、ライフサイクル状態は「使用可能」に戻り、アクセス制御リストのネットワークACLが有効になります。

自律型AIデータベースでのプライベート・エンドポイントからパブリック・エンドポイントへの移行

Autonomous AI Databaseインスタンスがプライベート・エンド・ポイントを使用するように構成されている場合、パブリック・エンド・ポイントを使用するように構成を変更できます。

次のように、インスタンスをプライベート・エンドポイントからパブリック・エンドポイントに変更するための前提条件がいくつかあります:

• Autonomous AI Databaseインスタンスは、使用可能な状態である必要があります(ライフサイクル状態: 使用可能)。

• ネットワーク構成をプライベート・エンドポイントからパブリック・エンドポイントに変更する前に、TLS接続を許可しないように構成を変更する必要があります。これにより、既存のTLS接続がすべて閉じられます。詳細は、mTLS認証を必要とするし、TLS認証を許可しないようにAutonomous AIデータベース・インスタンスを更新しますを参照してください。

Autonomous AI Databaseのパブリック・エンドポイントを指定するには、次を実行します。

1. 「詳細」ページで、「その他のアクション」ドロップダウン・リストから「ネットワーク・アクセス権の更新」を選択します。

2. 「ネットワーク・アクセスの更新」ダイアログで、「すべての場所からのセキュア・アクセス」または「許可されたIPおよびVCNsからのセキュア・アクセスのみ」のいずれかを選択します。

   たとえば、「許可されたIPおよびVCNsからのアクセスのみの保護」を選択した場合、ダイアログにはアクセス制御ルールを構成するためのフィールドが表示されます:

   

   図adb_network_access_update.pngの説明

3. ダイアログの「アクセス制御ルールの構成」で、IP表記法タイプおよび値を選択してルールを指定します:

   a. IPアドレス:

   「値」フィールドに、IPアドレスの値を入力します。ネットワークACLエントリに指定されたIPアドレスは、アクセス権を付与する、パブリック・インターネット上で可視化されたクライアントのパブリックIPアドレスです。たとえば、Oracle Cloud Infrastructure VMの場合は、このIPアドレスが、そのVMのOracle Cloud Infrastructureコンソールの「パブリックIP」フィールドに表示されます。

   ノート
   
   ノート:オプションで、「IPアドレスの追加」を選択して、現在のIPアドレスをACLエントリに追加します。

   b. CIDRブロック:

   In Values field enter values for the CIDR block. 指定されたCIDRブロックは、アクセス権を付与する、パブリック・インターネット上で可視化されたクライアントのパブリックCIDRブロックです。

   • 仮想クラウド・ネットワーク:

     このオプションは、クライアントからデータベースへのネットワーク・ルートがOracle Cloud Infrastructure Service Gatewayを経由する場合に使用します。詳細は、Oracleサービスへのアクセス: サービス・ゲートウェイを参照してください。

     • 「仮想クラウド・ネットワーク」フィールドで、アクセス権を付与するVCNを選択します。テナンシ内のVCNを表示する権限がない場合、このリストは空です。この場合、選択仮想クラウド・ネットワーク(OCID)を使用して、VCNのOCIDを指定します。

     • オプションで、「IPアドレスまたはCIDR」フィールドに、プライベートIPアドレスまたはプライベートCIDRブロックをカンマ区切りのリストとして入力します。これにより、VCN内の特定のクライアントが許可されます。

   c. 仮想クラウド・ネットワーク(OCID):

   このオプションは、クライアントからデータベースへのネットワーク・ルートがOracle Cloud Infrastructure Service Gatewayを経由する場合に使用します。詳細は、Oracleサービスへのアクセス: サービス・ゲートウェイを参照してください。

   • 「値」フィールドに、アクセス権を付与するVCNのOCIDを入力します。

   • オプションで、「IPアドレスまたはCIDR」フィールドに、プライベートIPアドレスまたはプライベートCIDRブロックをカンマ区切りのリストとして入力します。これにより、VCN内の特定のクライアントが許可されます。

   同じVCN内の複数のIPアドレスまたはCIDR範囲を指定する場合は、複数のACLエントリを作成しないでください。複数のIPアドレスまたはCIDR範囲の値をカンマで区切って指定した、1つのACLエントリを使用します。

4. 「アクセス制御ルールの追加」をクリックして、アクセス制御リストに新しい値を追加します。

5. エントリを削除するには、「x」をクリックします。

   「IPアドレス」または「CIDRブロック」フィールドの値をクリアして、エントリを削除することもできます。

6. 「更新」をクリックします。

7. 「確認」ダイアログで、Autonomous AIデータベース名を入力して変更を確認します。

8. 「確認」ダイアログで、「更新」をクリックします。

ライフサイクル状態は、操作が完了するまで「更新中」に変わります。

プライベート・エンドポイント・ネットワーク・アクセスからパブリック・エンドポイント・ネットワーク・アクセスへの変更に関するノート:

• ネットワーク・アクセス・タイプを更新した後、すべてのデータベース・ユーザーは、新しいウォレットを取得し、新しいウォレットを使用してデータベースにアクセスする必要があります。詳細は、クライアント資格証明(ウォレット)のダウンロードを参照してください。

• 更新が完了したら、パブリック・エンドポイントのアクセス制御ルールのACLを変更するか、新しく定義できます。詳細は、既存のAutonomous AIデータベース・インスタンスのアクセス制御リストの構成を参照してください。

• データベース・アクションのURLとデータベース・ツールでは、データベースでプライベート・エンド・ポイントを使用する場合、パブリック・エンド・ポイントを使用する場合とは異なります。Oracle Cloud Infrastructure Consoleで「データベース・アクション」をクリックして更新されたデータベース・アクションURLを検索し、「データベース・アクション」で適切なカードをクリックして、プライベート・エンドポイントからパブリック・エンドポイントに変更した後、更新されたデータベース・ツールURLを検索します。

アクセス制御リストの制限およびノート

Autonomous AI Databaseでのアクセス制御ルールの制限およびノートについて説明します。

• Oracle Cloud InfrastructureのパブリックIPアドレス範囲の詳細は、IPアドレス範囲を参照してください。パブリック・エンドポイント上のAutonomous AI Databaseインスタンスへのアクセスを保証するには、これらのCIDRブロックへのトラフィックを許可する必要があります。

• サービス・ゲートウェイを介した接続のみを許可する場合は、ACL定義でサービス・ゲートウェイのIPアドレスを使用する必要があります。これを行うには、CIDRソース・タイプで値が240.0.0.0/4のACL定義を追加する必要があります。ただし、これはお薦めしません。そのかわりに、アクセスを許可するVCNのACL定義で個々のVCNを指定できます。

  詳細は、Oracleサービスへのアクセス: サービス・ゲートウェイを参照してください。

• データベースをリストアしても、既存のACLはリストアによって上書きされません。

• ネットワークACLは、データベース接続およびOracle Machine Learning (OML)ノートブックに適用されます。ACLが定義されている場合、そのACLにIPが指定されていないクライアントからOML Notebooksにログインしようとすると、「管理者が設定するアクセス制御リストに基づいてログインを拒否されました」というエラーが示されます。

• 次の自律型AIデータベース・ツールはACLの対象です。仮想クラウド・ネットワーク、仮想クラウド・ネットワーク(OCID)、IPアドレスまたはCIDRブロックのACLを使用して、これらのツールへのアクセスを制御できます:

  • データベース・アクション

  • Oracle APEX

  • Oracle Spatial Studio

  • Oracle Graph Studio

  • OML Notebooks

  • Oracle REST Data Services

• NATゲートウェイを介してパブリック・インターネットにアクセスするように構成されたプライベート・サブネットがVCNにある場合、ACL定義にNATゲートウェイのパブリックIPアドレスを入力する必要があります。プライベート・サブネット内のクライアントには、パブリックIPアドレスはありません。詳細は、NATゲートウェイを参照してください。

• ACLを使用し、TLS接続が許可されている場合は、すべてのACLを削除する前に、TLS接続を許可しないようにネットワーク構成を変更する必要があります。詳細は、mTLS認証を必要とするし、TLS認証を許可しないようにAutonomous AIデータベース・インスタンスを更新しますを参照してください。

• インスタンスのネットワーク情報を表示するには、OCIコンソールでのネットワーク情報の表示を参照してください。