IBM Cloud Docs
ネットワーク・コンテキストによるアクセスの制限

ネットワーク・コンテキストによるアクセスの制限

コンテキスト・ベースの制限 は、管理者がリソースへのアクセスを制限する方法を提供します。 特定のデータには信頼できるネットワークからのみアクセスする必要がある場合はどうすればよいでしょうか。 正しく構成されたポリシーは、承認された ネットワーク・ゾーン およびエンドポイント・タイプ (パブリック、プライベート、またはダイレクト) から要求が発信されない限り、すべてのデータへのアクセスを制限します。

この機能は現在、 Object Storage for Satelliteではサポートされていません。 詳細はこちらをご覧ください。

コンテキストベースの制限の使用

コンテキスト・ベースの制限 は、 ルール と、1 つ以上の コンテキスト (ネットワーク・ゾーンまたはエンドポイント・タイプ、あるいはその両方) で構成されます。 これらの制限は IAM ポリシーに置き換わるものではなく、単に、許可されたコンテキスト (IP アドレス、VPC、サービス参照の範囲など) からの要求であることを確認するだけです。

ルールを作成、更新、または削除するには、ユーザーにサービスに対する Administrator 役割が必要です。 ネットワーク・ゾーンを作成、更新、または削除するには、ユーザーに Editor 役割または Administrator 役割のいずれかが必要です。

コンテキスト・ベースの制限は、バケット・レベルでのみ、特定のオブジェクトまたはフォルダーに対するコンテキスト・ベースの制限ルールの適用をサポートしません。

コンテキスト・ベースの制限がどのように機能するかについて詳しくは、 詳細な資料 を参照するか、 クイック・チュートリアル に従ってください。

生成される監査ログ・イベントは、 Object Storageではなく、コンテキスト・ベースの制限サービスから取得されます。

特定のリソースに適用できるルールがない場合、IAM ポリシーおよびレガシー・バケット・ファイアウォールの存在によってアクセス権限が決定されます。

コンテキスト・ベースの制限はバケット・レベルでのみ適用され、特定のオブジェクトやフォルダーには適用されません。

アカウントは、 サポートできるルールおよびネットワーク・ゾーンの数 に制限されています。

バケット・ファイアウォールとコンテキスト・ベースの制限

コンテキスト・ベースの制限が使用可能になる前は、 Object Storage 自体が IP アドレスに基づいてアクセス制限を適用していました。 この方法は引き続きサポートされますが、レガシー・バケット・ファイアウォールの代わりに 新しいコンテキスト・ベースの制限を使用する ことをお勧めします。

バケット・ファイアウォールとコンテキスト・ベースの制限は、相互に独立して機能します。つまり、一方の要求が許可され、他方の要求が拒否される可能性があります。

  • バケット作成要求は、コンテキスト・ベースの制限によって許可 しなければなりません
  • その他のすべてのバケットまたはオブジェクト要求の場合、コンテキスト・ベースの制限 バケット・ファイアウォールの両方で要求を許可する必要があります。

コンテキスト・ベースの制限によって許可される IP アドレスは、バケット・ファイアウォールによって拒否される可能性があります。

レガシー・バケット・ファイアウォールについて

ファイアウォールの設定には、以下の規則があります。

  • ファイアウォールを設定または表示するユーザーは、バケットに対する「Manager」役割を持っている必要があります。
  • バケットに対する「Manager」役割を持っているユーザーは、偶発的なロックアウトを防止するため、任意の IP アドレスから、許可される IP アドレスのリストを表示および編集できます。
  • ユーザーの IP アドレスが許可されていれば、Object Storage コンソールはまだバケットにアクセスできます。
  • その他の IBM Cloud サービスは、ファイアウォールを迂回することを許可されません。 この制限は、バケットのアクセスに関する IAM ポリシーに依存するその他のサービス (Aspera、SQL Query、Security Advisor、Watson Studio、Cloud Functions など) がそれを行えないことを意味します。

ファイアウォールが設定されると、バケットは IBM Cloud の残りの部分から隔離されます。 バケットに直接アクセスする他のサービスに依存するアプリケーションおよびワークフローにこれが与える影響を検討した後で、ファイアウォールを有効にしてください。 これは、代わりに サービス参照とコンテキスト・ベースの制限 を使用することで回避できます。

VPC 環境からのアクセスは allowed_network_type 検査に合格し、VPC ゾーンのアンダーレイ IP アドレスを allowed_ip リストに追加できます。 個々の VPC VSI またはベア・メタル・サーバーのオーバーレイ IP へのアクセスを制限することはできません。

まず、 Object Storage のインスタンスがあり、少なくとも 1 つのバケットがプロビジョンされていることを確認します。 そうでない場合は、 入門チュートリアル に従って前提条件を取得し、コンソールについてよく理解してください。

レガシー・ファイアウォールを使用して、許可された IP アドレスのリストを設定します。

  1. まず、 「ストレージ」 を選択してリソース・リストを表示します。
  2. 次に、**「ストレージ」**メニュー内から、バケットがあるサービス・インスタンスを選択します。 これによって Object Storage コンソールが表示されます。
  3. 許可される IP アドレスにアクセスを限定する対象のバケットを選択します。
  4. ナビゲーション・メニューから**「アクセス・ポリシー」**を選択します。
  5. **「許可される IP」**タブを選択します。
  6. **「IP アドレスの追加」をクリックし、「追加」**を選択します。
  7. CIDR 表記で IP アドレスのリストを指定します (例: 192.168.0.0/16, fe80:021b::0/64)。 IPv4 標準または IPv6 標準のいずれかに従うアドレスを使用できます。
  8. 追加 をクリックします。
  9. ファイアウォールは、アドレスがコンソールに保存されるまでは適用されません。 ファイアウォールを適用するには、**「すべて保存」**をクリックします。
  10. このバケット内のすべてのオブジェクトは、それらの IP アドレスからのみアクセス可能であることに注意してください。

レガシー・ファイアウォールを使用した IP アドレス制限の解除

  1. **「許可される IP」**タブで、許可リストから削除する IP アドレスまたは範囲の横にあるボックスにチェック・マークを付けます。
  2. **「削除」を選択し、次に、もう一度「削除」**をクリックしてダイアログ・ボックスを確認します。
  3. 更新されたリストは、変更がコンソールに保存されるまで適用されません。 新しいルールを適用するには、**「すべて保存」**をクリックします。
  4. これで、このバケット内のすべてのオブジェクトは、これらの IP アドレスからのみアクセス可能になります。

許可された IP アドレスがリストされていない場合は、コンテキスト・ベースの制限が適用されていない限り、通常の IAM ポリシーがバケットに適用され、ユーザーの IP アドレスに対する制限はありません。

API を使用したレガシー・ファイアウォールの設定

ファイアウォールは、COS Resource Configuration API を使用して管理されます。 この新しい REST API はバケットを構成するために使用されます。

manager」役割を持っているユーザーは、偶発的なロックアウトを防止するため、任意のネットワークから、許可される IP アドレスのリストを表示および編集できます。