プライベート・ネットワーク・サービス・エンドポイント

パブリック・ネットワークを介してリソースに接続するのではなく、 IBM プライベート・クラウドを介してエンドポイントに安全に接続するには、プライベート・ネットワーク・サービス・エンドポイントを使用します。 プライベート・ネットワーク・サービス・エンドポイントを使用すると、サービスはインターネット・ルーティング可能な IP アドレスで提供されなくなるため、よりセキュアになります。 サービス・エンドポイントでは、アカウントで Virtual Routing and Forwarding (VRF) を有効にする必要があります。 VRF は、仮想プライベート・クラウド (VPC) に対して自動的に有効になります。

サービス・エンドポイントについて詳しくは、以下を参照してください：

• プライベート・サービス・エンドポイントを使用するサービスへの接続の保護
• ブログIBM Cloud Databasesにおけるプライベート・サービス・エンドポイントの導入
• IBM Cloud 資料: サービス・エンドポイントを使用したサービスへのアクセスの保護
• IBM Cloud 資料: VRF およびサービス・エンドポイントの有効化
• IBM Cloud 資料: パブリック・ネットワーク・エンドポイントとプライベート・ネットワーク・エンドポイント

プライベート・データ・ソースへのアクセス

プライベート・データ・ソースは、ファイアウォールによって保護されているオンプレミス・データ・ソースです。 Cloud Pak for Data as a Service は、データ・ソースに到達するためにファイアウォールを介してアクセスする必要があります。 セキュア・アクセスを提供するには、 Cloud Pak for Data as a Serviceの IP アドレス範囲へのアクセスを許可するインバウンド・ファイアウォール・ルールを作成します。 インバウンド・ルールは、ファイアウォールの構成ツールで作成されます。

ファイアウォール・アクセスの構成 を参照してください。

統合

サード・パーティーのクラウド・プラットフォームとの統合を構成して、 Cloud Pak for Data as a Service ユーザーがそれらのクラウドでホストされているデータ・ソースにアクセスできるようにすることができます。 サード・パーティー・クラウドとの統合には、以下のセキュリティー・メカニズムが適用されます。

1. アカウント資格情報を表示するための適切な権限を持つ、サード・パーティー・クラウド上の許可アカウントです
2. クラウド・プロバイダーのファイアウォールを介したセキュア接続を許可する許可です (特定の IP 範囲の場合)

例えば、ノートブックを実行している AWS 上にデータ・ソースを持っています。 AWS と統合してから、データベースへの接続を生成する必要があります。 統合と接続はセキュアです。 ファイアウォール・アクセスを構成した後、ユーザーに適切な権限を付与し、データにアクセスするための資格情報をそれらのユーザーに提供できます。

他のクラウド・プラットフォームとの統合 を参照してください

接続

接続には、データにアクセスするための有効な資格情報が必要です。 アカウント所有者または管理者は、必要な資格情報のタイプ (共有または個人) をアカウント・レベルで構成します。 共有資格情報により、プロジェクト内のすべてのコラボレーターがデータ・ソースとその資格情報にアクセスできるようになります。 個人の資格情報では、各コラボレーターがデータ・ソースを使用するために独自の資格情報を提供する必要があります。

接続には、データにアクセスするための有効な資格情報が必要です。 アカウント所有者または管理者は、アカウント・レベルで必要な資格情報のタイプを構成します。 接続作成者が有効な資格情報を入力します。 オプションは、以下のとおりです。

• 「共有または個人」 を選択すると、ラジオ・ボタンを選択して正しい資格情報を入力することにより、ユーザーは新規接続の作成時に個人資格情報または共有資格情報を指定できます。
• 個人用 資格情報では、各コラボレーターがデータ・ソースを使用するために独自の資格情報を提供する必要があります。
• 共有 資格情報により、プロジェクト内のすべてのコラボレーターがデータ・ソースとその資格情報にアクセスできるようになります。 ユーザーは、接続の作成者によって作成された共通の資格情報を入力します。

接続について詳しくは、以下を参照してください：

• プロジェクトへの接続の追加
• 接続からプロジェクトへのデータの追加
• プラットフォーム接続の追加
• アカウント設定の管理

ファイアウォールの背後にあるデータへの接続

セキュア接続は、ハイブリッド・クラウド・デプロイメント内のリソース間のセキュア通信を提供します。これらのリソースの一部はファイアウォールの背後に存在する可能性があります。 環境とクラウドの間のセキュア接続には、以下のオプションがあります：

• Satellite コネクター
• Satellite ロケーション

VPN

仮想プライベート・ネットワーク (VPN) は、トンネリング・プロトコル、暗号化、および専用接続を使用して、仮想 Point-to-Point 接続を作成します。 これらは、パブリック・ネットワーク間でデータを共有するためのセキュアな方法を提供します。

IBM Cloud上の VPN テクノロジーは以下のとおりです。

• IPSec VPN: VPN により、セキュア・ネットワークから IBM IaaS プラットフォームのプライベート・ネットワークへの接続が容易になります。 アカウントのすべてのユーザーに VPN アクセス権限を付与できます。

• VPN for VPC: 仮想プライベート・クラウド (VPC) を使用すると、ネットワーク・パフォーマンスが高い VPC の第 2 世代仮想サーバー・インスタンスをプロビジョンできます。

• Secure Gateway の非推奨に関する発表では、VPN を代替として使用するための情報とシナリオが提供されています。 IBM Cloudドキュメント：移行オプション を参照。

特定の IP アドレスを許可する

このメカニズムを使用して、 IBM クラウド・コンソールおよび Cloud Pak for Data as a Serviceへのアクセスを制御します。 指定された IP アドレスからのアクセスのみが許可されます。他のすべての IP アドレスからのアクセスは拒否されます。 許可される IP アドレスは、個々のユーザーまたはアカウントに対して指定できます。

watsonx.aiStudio に特定の IP アドレスを許可する場合は、各地域のwatsonx.aiStudio ノードの CIDR 範囲を含める必要があります（許可される個々のクライアントシステム IP も同様）。 以下のステップを実行して、 Cloud Pak for Data as a Service に CIDR 範囲を組み込むことができます：

1. メイン・メニューから、 「管理」>「クラウド統合」を選択してください。
2. ファイアウォール構成 をクリックして、現在のリージョンの IP アドレスを表示します。 CIDR 表記を使用してください。
3. 各 CIDR 範囲を、ユーザーまたはアカウントのいずれかの IP アドレスの制限 にコピーします。 許可された個々のクライアント IP アドレスも必ず入力してください。 IP アドレスをコンマ区切りリストとして入力します。 次に、 「適用」をクリックします。
4. watsonx.aiStudio へのアクセスを許可するには、各地域でこれを繰り返します。

ユーザー制限とアカウント制限の両方のステップバイステップの手順については、'IBM Cloudドキュメント：特定のIPアドレスを許可する参照してください。

内部ネットワーク上のサード・パーティー URL を許可

ファイアウォールの内側で Cloud Pak for Data as a Service を実行している場合は、アウトバウンド・ブラウザー・アクセスを提供するためにサード・パーティー URL を許可リストに登録する必要があります。 URL には、 IBM Cloud およびその他のドメインからのリソースが含まれます。 Cloud Pak for Data as a Service は、ファイアウォールを介したアウトバウンド・ブラウザー・トラフィックのために、これらのドメインへのアクセスを必要とします。

このリストは、コア Cloud Pak for Data as a Service 機能に対してのみアクセスを提供します。 特定のサービスには、追加の URL が必要な場合があります。 このリストには、 IBM Cloud コンソールとそのアウトバウンド要求に必要な URL は含まれていません。

マルチテナント

Cloud Pak for Data as a Service は、 IBM Cloud上でセキュアで準拠したマルチテナント・ソリューションとしてホストされます。 マルチテナント (Multi-Tenant) を参照してください。

親トピック: セキュリティー