Important
Azure Cosmos DB for PostgreSQL は、新しいプロジェクトではサポートされなくなりました。 このサービスは、新しいプロジェクトには使用しないでください。 代わりに、次の 2 つのサービスのいずれかを使用します。
Azure Cosmos DB for NoSQL は、99.999% 可用性サービス レベル アグリーメント (SLA)、インスタント 自動スケール、および複数のリージョン間の自動フェールオーバーを使用する 大規模 なシナリオ向けに設計された分散データベース ソリューションに使用します。
オープンソースの Citus 拡張機能を使用して、シャード化された PostgreSQL 用の Azure Database For PostgreSQL のエラスティック クラスター機能 を使用します。
このページでは、クラスターのデータ保護に利用できる複数のセキュリティ層について説明します。
情報の保護と暗号化
輸送中
データがノードに取り込まれるときは常に、Azure Cosmos DB for PostgreSQL では、トランスポート層セキュリティ (TLS) 1.2 以降で転送中のデータを暗号化することでデータが保護されます。 暗号化 (SSL/TLS) は常に適用され、無効にできません。
クラスターへの接続に必要な最小 TLS バージョンは、TLS 1.2 または TLS 1.3 用にそれぞれ、ssl_min_protocol_version コーディネーターおよびワーカー ノード パラメーターを TLSV1.2 または TLSV1.3 に設定することで強制的に適用される場合があります。
保存中
Azure Cosmos DB for PostgreSQL サービスでは、保存データのストレージ暗号化に FIPS 140-2 認証済みの暗号モジュールが使用されます。 データ (バックアップを含む) は、クエリの実行中に作成される一時ファイルも含めて、ディスク上で暗号化されます。 このサービスでは、Azure ストレージ暗号化に含まれる AES 256 ビット暗号が使用され、キーはシステムによって管理されます。 ストレージの暗号化は常にオンになっており、無効にできません。
ネットワークのセキュリティ
Azure Cosmos DB for PostgreSQL では、次の 3 つのネットワーク オプションに対応しています。
- アクセス権なし
- これは、パブリックまたはプライベート アクセスが有効になっていない場合に、新しく作成されるクラスターの既定値です。 Azure の内部でも外部でも、データベース ノードに接続できるコンピューターはありません。
- パブリック アクセス権
- コーディネーター ノードには、パブリック IP アドレスが割り当てられます。
- コーディネーターノードへのアクセスは、ファイアウォールによって保護されています。
- 必要に応じて、すべてのワーカー ノードへのアクセスを有効にすることができます。 この場合、パブリック IP アドレスはワーカー ノードに割り当てられ、同じファイアウォールによって保護されます。
- プライベート アクセス
- クラスターのノードには、プライベート IP アドレスのみが割り当てられます。
- 各ノードには、選択した仮想ネットワーク内のホストがノードにアクセスできるように、プライベート エンドポイントが必要です。
- ネットワーク セキュリティ グループなどの Azure 仮想ネットワークのセキュリティ機能は、アクセス制御に使用できます。
クラスターを作成する場合は、パブリックまたはプライベート アクセスを有効にするか、既定の [アクセスなし] を選択することができます。 クラスターを作成したら、パブリック アクセスとプライベート アクセスの切り替えを選択するか、両方とも一度にアクティブ化することができます。
制限と制限事項
Azure Cosmos DB for PostgreSQL 制限と制限事項ページをご覧ください。
次のステップ
- プライベート アクセスを有効にし、管理する方法を学習する
- プライベート エンドポイントについて学習する
- 仮想ネットワークについて学習する
- プライベート DNS ゾーンについて学習する