コンテキスト・ベースの制限を使用したデータの保護
このチュートリアルでは、トラステッド・ネットワーク・ゾーンから要求が発信されない限り、オブジェクト・ストレージ・データにアクセスできないようにする コンテキスト・ベースの制限 を設定します。
開始前に
Cloud Object Storage バケットを使用した コンテキスト・ベースの制限 の使用を計画する前に、以下が必要です。
- IBM Cloud™ プラットフォーム・アカウント
- IBM Cloud Object Storage のインスタンス
- コンテキスト・ベースの制限のための
Administrator
の役割 - バケット
コンテキストベースの制限コンソールにナビゲートします。
「管理」 メニューから、 「コンテキスト・ベースの制限」 を選択します。

新規ルールの作成
- 「ルール」 をクリックします。
- ルールの名前を選択する。 これにより、すべてのクラウド・サービスにわたって多くの異なるルールを使用することになった場合に、物事を整理することができます。
- 「続行」 をクリックします。

ルールのスコープ
ここで、コンテキスト・ベースの制限を適用する特定のオブジェクト・ストレージ・リソースを選択できます。 これは、必要に応じて特定または汎用にすることができます。ルールは、すべてのオブジェクト・ストレージ・インスタンスとバケット、特定のサービス・インスタンス、または特定のバケットにも適用できます。 さらに、どのネットワーク (パブリック、プライベート、またはダイレクト) を含めるかを選択できます。
この例では、サービス・インスタンスを選択します。
- **「IAM サービス」**を選択します。
- ドロップダウン・メニューから Cloud Object Storage を選択します。
- 「特定の属性に基づくリソース」 ラジオ・ボタンを選択します。
- 「サービス・インスタンス」 ボックスにチェック・マークを付けます。
- ルールを適用するサービス・インスタンスを選択します。

代わりに特定のバケットへのアクセスのみを制限する場合は、代わりに 「リソース ID」 チェック・ボックスを選択できます。 フィールドにバケットの名前を指定します。他に必要なものはありません。
ネットワーク・ゾーンの作成
ルールが何に影響するかが分かっているので、ルールが何を許可するかを決定する必要があります。 これを行うには、新しい ネットワーク・ゾーン を作成し、それを新しいルールに適用します。
- Create + をクリックする。

- ネットワーク・ゾーンに役立つ名前と説明を指定します。
- いくつかの IP 範囲を 「許可される IP アドレス (Allowed IP addresses)」 テキスト・ボックスに追加します。
- 次へ をクリックします。

ルールを終了し、動作することを確認します。
最後に、 「作成」 をクリックするだけで、新しいルールがアクティブになります。
機能することを確認する簡単な方法は、バケット・リスト (ic cos buckets
) など、許可されたネットワーク・ゾーンの外部から [単純な CLI コマンドを送信] することです。 403
エラー・コードで失敗します。
次のステップ
コンテキスト・ベースの制限と、レガシー・バケット・ファイアウォールとの関係 について説明します。