メインコンテンツへスキップ
Managed Postgres には、データを保護し、コンプライアンス要件を満たすためのエンタープライズレベルのセキュリティ機能が備わっています。このページでは、ネットワークセキュリティ、暗号化、バックアップ保持期間のポリシーについて説明します。

IP アドレスの許可リスト設定

IP フィルタは、Managed Postgres インスタンスへの接続を許可する送信元 IP アドレスを制御し、未承認の接続からデータベースを保護するためのネットワークレベルのアクセス制御を提供します。

IP フィルタの設定

IP フィルタの設定に関する詳細は、設定 ページを参照してください。 次を指定できます。
  • 個別の IP アドレス (例: 203.0.113.5)
  • ネットワークの CIDR 範囲 (例: 192.168.1.0/24)
  • すべての IP アドレスを許可する Anywhere (本番環境では非推奨)
  • すべての接続をブロックする Nowhere
本番環境のベストプラクティスIP フィルタが設定されていない場合、すべての IP アドレスからの接続が許可されます。本番ワークロードでは、既知の IP アドレスまたは CIDR 範囲のみにアクセスを制限してください。アクセスを許可する対象として、以下を検討してください。
  • アプリケーションサーバー
  • VPN ゲートウェイの IP アドレス
  • 管理アクセス用の踏み台サーバー
  • 自動デプロイ用の CI/CD パイプラインの IP アドレス

暗号化

Managed Postgres では、包括的なデータ保護を実現するため、保存時と転送時の両方でデータが暗号化されます。

保存時の暗号化

Managed Postgres に保存されるすべてのデータは、基盤となるストレージインフラストラクチャへの不正アクセスから保護するため、保存時に暗号化されます。

NVMe ストレージの暗号化

NVMe ドライブに保存されるデータベースファイル、トランザクションログ、一時ファイルは、業界標準の暗号化アルゴリズムで暗号化されています。この暗号化はアプリケーションには透過的で、設定は不要です。

オブジェクトストレージの暗号化 (S3)

オブジェクトストレージに保存されるバックアップと Write-Ahead Log (WAL) アーカイブも、保存時に暗号化されます。これには次のものが含まれます。
  • 日次のフルバックアップ
  • インクリメンタル WAL アーカイブ
  • ポイントインタイムリカバリ用データ
すべてのバックアップデータは、各インスタンス専用の認証情報が設定された、専用かつ分離されたストレージバケットに保存されます。これにより、バックアップデータの安全性が確保され、許可されたシステムのみがアクセスできます。
保存時の暗号化は、すべての Managed Postgres インスタンスでデフォルトで有効になっており、無効にすることはできません。追加の設定は不要です。

通信中の暗号化

Managed Postgres へのすべてのネットワーク接続は、アプリケーションとデータベースの間で送受信されるデータを保護するため、TLS (Transport Layer Security) で保護されています。

TLS/SSL の設定

デフォルトでは、接続に TLS 暗号化が使用されますが、証明書の検証は行われません。本番ワークロードでは、正しいサーバーと通信していることを確実にするため、証明書を検証した TLS で接続することを推奨します。 TLS の設定と接続オプションの詳細については、接続 ページを参照してください。 プライベートリンクを使用すると、Managed Postgres インスタンスとお客様の Virtual Private Cloud (VPC) との間で、トラフィックをパブリックインターネットに公開することなく、プライベート接続を確立できます。これにより、ネットワーク分離とセキュリティがさらに強化されます。
手動でのセットアップが必要ですプライベートリンクはサポートされていますが、ClickHouse Support による手動設定が必要です。この機能は、厳格なネットワーク分離要件を持つ Enterprise のお客様に最適です。
Managed Postgres インスタンスでプライベートリンクを有効にするには、次の手順に従ってください。
  1. サポートチケットを作成して ClickHouse Support に連絡します
  2. 次の情報を提供します:
    • ClickHouse の Organization ID
    • Postgres service の ID/hostname
    • プライベートリンクの接続先としたい AWS アカウント ID/ARN
      • (任意) Postgres インスタンスの Region 以外で、接続元として使用したい Region
  3. ClickHouse Support が次を実施します:
    • Managed Postgres 側でプライベートリンクの endpoint をプロビジョニングします
    • endpoint の connection details を提供します。これを使用して endpoint インターフェイスを作成できます。
  4. プライベートリンクを Setup します:
    • AWS の設定で endpoint インターフェイスに移動し、ClickHouse Support から提供された設定を使用してプライベートリンクを作成します。
    • プライベートリンクが “Available” 状態になったら、AWS UI に表示される Private DNS 名を使用して接続できます。

バックアップ保持期間

Managed Postgres は、誤削除や破損、その他のデータ損失から保護するために、データを自動的にバックアップします。

保持ポリシー

  • デフォルトの保持期間: 7日間
  • バックアップ頻度: 毎日のフルバックアップ + 継続的なWALアーカイブ (60秒ごと、または16 MBに達した時点のいずれか早い方)
  • 復旧の粒度: 保持期間内の任意の時点へのポイントインタイムリカバリ

バックアップのセキュリティ

バックアップは、元データと同等のセキュリティ保証の下で保存されます。
  • オブジェクトストレージでの保存時の暗号化
  • 権限範囲が限定された認証情報を使用する、インスタンスごとに分離されたストレージバケット
  • バックアップに関連付けられた Postgres インスタンスのみに制限されたアクセス制御
バックアップ戦略とポイントインタイム リカバリの詳細については、バックアップと復元 ページを参照してください。
最終更新日 2026年6月10日