IBM Cloud Docs
コンテキスト・ベースの制限を使用したデータの保護

コンテキスト・ベースの制限を使用したデータの保護

このチュートリアルでは、トラステッド・ネットワーク・ゾーンから要求が発信されない限り、オブジェクト・ストレージ・データにアクセスできないようにする コンテキスト・ベースの制限 を設定します。

開始前に

Cloud Object Storage バケットを使用した コンテキスト・ベースの制限 の使用を計画する前に、以下が必要です。

コンテキストベースの制限コンソールにナビゲートします。

「管理」 メニューから、 「コンテキスト・ベースの制限」 を選択します。

CBR にナビゲートする
CBR にナビゲートする

新規ルールの作成

  1. 「ルール」 をクリックします。
  2. ルールの名前を選択する。 これにより、すべてのクラウド・サービスにわたって多くの異なるルールを使用することになった場合に、物事を整理することができます。
  3. 「続行」 をクリックします。

ルールの名前
ルールの名前

ルールのスコープ

ここで、コンテキスト・ベースの制限を適用する特定のオブジェクト・ストレージ・リソースを選択できます。 これは、必要に応じて特定または汎用にすることができます。ルールは、すべてのオブジェクト・ストレージ・インスタンスとバケット、特定のサービス・インスタンス、または特定のバケットにも適用できます。 さらに、どのネットワーク (パブリック、プライベート、またはダイレクト) を含めるかを選択できます。

この例では、サービス・インスタンスを選択します。

  1. **「IAM サービス」**を選択します。
  2. ドロップダウン・メニューから Cloud Object Storage を選択します。
  3. 「特定の属性に基づくリソース」 ラジオ・ボタンを選択します。
  4. 「サービス・インスタンス」 ボックスにチェック・マークを付けます。
  5. ルールを適用するサービス・インスタンスを選択します。

ルールのスコープ
ルールのスコープ

代わりに特定のバケットへのアクセスのみを制限する場合は、代わりに 「リソース ID」 チェック・ボックスを選択できます。 フィールドにバケットの名前を指定します。他に必要なものはありません。

ネットワーク・ゾーンの作成

ルールが何に影響するかが分かっているので、ルールが何を許可するかを決定する必要があります。 これを行うには、新しい ネットワーク・ゾーン を作成し、それを新しいルールに適用します。

  1. Create + をクリックする。

ルールのスコープ
ルールのスコープ

  1. ネットワーク・ゾーンに役立つ名前と説明を指定します。
  2. いくつかの IP 範囲を 「許可される IP アドレス (Allowed IP addresses)」 テキスト・ボックスに追加します。
  3. 次へ をクリックします。

ルールのスコープ
ルールのスコープ

ルールを終了し、動作することを確認します。

最後に、 「作成」 をクリックするだけで、新しいルールがアクティブになります。

機能することを確認する簡単な方法は、バケット・リスト (ic cos buckets) など、許可されたネットワーク・ゾーンの外部から [単純な CLI コマンドを送信] することです。 403 エラー・コードで失敗します。

次のステップ

コンテキスト・ベースの制限と、レガシー・バケット・ファイアウォールとの関係 について説明します。