網(wǎng)絡(luò)安全管理
表格存儲默認(rèn)允許通過經(jīng)典網(wǎng)域名、VPC域名或者控制臺進行訪問,您可以通過為實例綁定VPC并更改網(wǎng)絡(luò)訪問類型實現(xiàn)在專有網(wǎng)絡(luò) VPC中使用表格存儲資源,保證網(wǎng)絡(luò)訪問安全。
實例網(wǎng)絡(luò)類型
表格存儲默認(rèn)會為每個實例創(chuàng)建一個公網(wǎng)域名、一個VPC域名以及一個經(jīng)典網(wǎng)域名。更多信息,請參見服務(wù)地址。
公網(wǎng)域名:對互聯(lián)網(wǎng)可見。用戶可以在互聯(lián)網(wǎng)通過公網(wǎng)域名訪問表格存儲資源。
重要通過互聯(lián)網(wǎng)訪問表格存儲會產(chǎn)生外網(wǎng)下行流量費用。更多信息,請參見計費概述。
經(jīng)典網(wǎng)域名:對同地域的ECS服務(wù)器可見。應(yīng)用程序從同地域的經(jīng)典網(wǎng)絡(luò)ECS服務(wù)器上通過內(nèi)網(wǎng)訪問表格存儲,可以獲得更低的響應(yīng)延遲,且不會產(chǎn)生外網(wǎng)流量。
VPC域名:對VPC環(huán)境內(nèi)的應(yīng)用程序可見。用戶需要在表格存儲控制臺為實例綁定相應(yīng)VPC,然后在VPC環(huán)境內(nèi)應(yīng)用程序可以通過VPC域名訪問表格存儲。更多信息,請參見什么是專有網(wǎng)絡(luò)。
表格存儲支持實現(xiàn)不同實例網(wǎng)絡(luò)類型組合,滿足不同的網(wǎng)絡(luò)安全性需求。
實例網(wǎng)絡(luò)類型 | 說明 |
自定義 | 新創(chuàng)建的實例默認(rèn)不允許通過公網(wǎng)進行訪問,只能通過經(jīng)典網(wǎng)域名、VPC域名或者控制臺進行訪問。 重要 如果要通過公網(wǎng)訪問實例,請登錄表格存儲控制臺手動為實例開啟公網(wǎng)訪問能力。 |
限定控制臺或VPC訪問 | 實例只允許來源于控制臺或VPC的訪問,無法通過公網(wǎng)或者經(jīng)典網(wǎng)來訪問,提供更好的網(wǎng)絡(luò)隔離能力。 重要 選擇該實例網(wǎng)絡(luò)類型,請確保正常業(yè)務(wù)無公網(wǎng)或經(jīng)典網(wǎng)訪問,避免對業(yè)務(wù)造成影響。 |
限定綁定VPC訪問 | 實例只允許來源于綁定的VPC的訪問,無法通過公網(wǎng)、經(jīng)典網(wǎng)或者控制臺訪問,也無法通過控制臺訪問實例資源,提供更好的網(wǎng)絡(luò)隔離能力。 重要 選擇該實例網(wǎng)絡(luò)類型,請確保正常業(yè)務(wù)無公網(wǎng)、經(jīng)典網(wǎng)或控制臺訪問,避免對業(yè)務(wù)造成影響。 |
使用VPC訪問表格存儲實例
前提條件
已規(guī)劃好網(wǎng)絡(luò)以及創(chuàng)建專有網(wǎng)絡(luò)和交換機。具體操作,請參見網(wǎng)絡(luò)規(guī)劃和創(chuàng)建專有網(wǎng)絡(luò)和交換機(IPv4)。
已創(chuàng)建表格存儲實例以及數(shù)據(jù)表。具體操作,請參見通過控制臺使用寬表模型或者通過命令行工具使用寬表模型。
步驟一:為實例綁定VPC
將VPC綁定到表格存儲實例后,VPC內(nèi)的ECS實例可以通過VPC網(wǎng)絡(luò)訪問同地域的表格存儲實例。
如果您使用RAM用戶管理VPC,請確保已使用阿里云賬號為該RAM用戶授予VPC相關(guān)的權(quán)限(AliyunVPCReadOnlyAccess),否則會因為沒有權(quán)限而無法獲取相關(guān)的VPC信息。
- 登錄表格存儲控制臺。
在概覽頁面,單擊實例名稱或在操作列單擊實例管理。
在網(wǎng)絡(luò)管理頁簽,單擊綁定VPC。
在綁定VPC對話框,選擇VPC以及VPC下的交換機,并填寫VPC名稱。
VPC名稱只能包含字母和數(shù)字,必須以字母開頭,并且長度限制在3-16個字符之間。
單擊確定。
綁定成功后,在網(wǎng)絡(luò)管理頁簽的VPC列表中可以查看已綁定的VPC信息。該VPC中的ECS實例可以通過VPC地址訪問綁定的表格存儲實例。
綁定成功后,您可根據(jù)需要完成相關(guān)操作。
操作
描述
查看VPC實例列表
單擊VPC操作列的VPC實例列表即可查看VPC ID、實例名稱、VPC名稱和VPC域名信息。
解除實例和VPC的綁定關(guān)系
如果不再使用該VPC訪問表格存儲,您可以解除實例和VPC的綁定關(guān)系。解除綁定關(guān)系后,在該VPC內(nèi)的ECS實例無法再通過VPC地址訪問表格存儲,如仍需訪問請再次綁定。
重要解綁VPC后,將無法繼續(xù)通過該VPC域名訪問表格存儲實例,請謹(jǐn)慎操作。
單擊VPC操作列的解除綁定。
在解綁VPC對話框,確認(rèn)已知曉相關(guān)風(fēng)險點。
單擊確定。
步驟二:(可選)更改網(wǎng)絡(luò)訪問類型
表格存儲默認(rèn)允許通過經(jīng)典網(wǎng)域名、VPC域名或者控制臺進行訪問。如果要控制實例的網(wǎng)絡(luò)訪問權(quán)限,您可以更改實例網(wǎng)絡(luò)類型為限定控制臺或綁定VPC訪問或者限定綁定VPC訪問。
限制實例網(wǎng)絡(luò)類型后,將不允許使用公網(wǎng)或者經(jīng)典網(wǎng)訪問實例,只支持VPC或控制臺訪問,請謹(jǐn)慎操作。
- 登錄表格存儲控制臺。
在概覽頁面,單擊實例名稱或在操作列單擊實例管理。
在網(wǎng)絡(luò)管理頁簽的網(wǎng)絡(luò)訪問控制區(qū)域,根據(jù)實際網(wǎng)絡(luò)安全需求選擇訪問類型。
說明您可以選擇訪問類型為自定義后,自定義配置允許的網(wǎng)絡(luò)類型和允許的來源類型。
如果只能允許通過控制臺或者同地域的VPC內(nèi)訪問表格存儲實例資源,請選擇訪問類型為限定控制臺或綁定VPC訪問。
如果只允許通過綁定的VPC訪問表格存儲實例資源,請選擇訪問類型為限定綁定VPC訪問。
在風(fēng)險提示對話框,仔細閱讀操作風(fēng)險并選中復(fù)選框進行確認(rèn),單擊確定。
更改網(wǎng)絡(luò)訪問類型后,后續(xù)在VPC中訪問表格存儲資源時,只能使用實例綁定VPC的VPC訪問地址。
步驟三:在VPC中訪問表格存儲資源
使用表格存儲SDK或者命令行工具在同一個VPC的ECS實例中通過VPC域名訪問表格存儲資源。
更多權(quán)限控制操作
您可以通過以下方式進一步限制用戶訪問資源的權(quán)限。
如果為RAM用戶授予權(quán)限策略,您可以控制用戶訪問指定資源的權(quán)限,例如IP地址、HTTPS協(xié)議、訪問時間、TLS版本等。更多信息,請參見通過RAM Policy為RAM用戶授權(quán)和自定義RAM Policy。
通過為實例配置Instance Policy,您可以控制用戶訪問表格存儲實例的權(quán)限,例如所處VPC、IP地址、TLS版本等。更多信息,請參見為實例配置Instance Policy和Instance Policy權(quán)限說明。
對于企業(yè)賬號,通過資源目錄的管控策略,您可以控制資源訪問邊界,例如TLS版本、只能創(chuàng)建非公網(wǎng)訪問的實例。更多信息,請參見通過Control Policy授權(quán)和自定義Control Policy。