tencent cloud

TencentDB for MySQLインスタンスのバックアップファイルは、デフォルトではパブリックネットワークまたはプライベートネットワークを通じてダウンロードできますが、ダウンロードを制限する必要がある場合は、ダウンロード設定によって調整を行うことができます。

説明：

• データベースバックアップダウンロード設定を現在サポートするリージョン：
  広州、上海、北京、深圳、成都、重慶、南京、中国香港、トロント、シンガポール、シリコンバレー、フランクフルト、ソウル、ムンバイ、バンコク、東京。

バックアップダウンロードルールの設定

1. [MySQLコンソール]](https://console.tencentcloud.com/cdb)にログインし、左側のナビゲーションで**データベースのバックアップ**ページを選択し、上部でリージョンを選択します。
2. ダウンロード設定ページを選択すると、対応するリージョンのバックアップ設定情報が表示されます。編集をクリックし、ダウンロード制限条件を設定します。

   説明：

   パブリックネットワークからのダウンロードはデフォルトでオンになっています。パブリックネットワークからのダウンロードがオンである場合、パブリックネットワークとプライベートネットワークのどちらからでもバックアップをダウンロードできます。

   
3. ポップアップ画面でダウンロードの詳細を設定し、OKをクリックします。
   • パブリックネットワークからのダウンロード：
     • オン：パブリックネットワークからのダウンロードがオンになっている場合、ダウンロード条件の設定はできません。
     • オフ：パブリックネットワークからのダウンロードがオフの場合は、ダウンロード条件を設定できます。設定条件にはIP、VPCが含まれます。
   • ダウンロード条件の設定：
     • 条件に対応する条件値が空であれば、その条件を使用して制限を行わないことを表します。
     • IPアドレス条件値は,を使用して分割します。
     • IP条件はIPアドレスとIPアドレス帯を条件値としてサポートします。
     • IP、VPC条件がどちらも空の場合、プライベートネットワークからのダウンロードは制限されません。
       
4. 設定が完了すると、ダウンロード設定ページが返され、発効の条件を確認できるようになります。
   

サブアカウントへのバックアップダウンロードルール設定使用の権限承認

デフォルトの状態では、サブアカウントにMySQLデータベースのバックアップダウンロードルールを設定する権利はありません。ユーザーはポリシーを作成して、サブアカウントにバックアップダウンロードルールの設定を許可する必要があります。

CAM（Cloud Access Management、CAM）は、Tencent Cloudが提供するWebサービスであり、主にユーザーがTencent Cloudアカウントのリソースへのアクセス権限を安全に管理するのに役立ちます。CAMを使用すると、ユーザー（グループ）を作成、管理、および廃棄でき、ID管理とポリシー管理を介して、Tencent Cloudリソースの使用が許可されるユーザーを指定し、制御できます。

CAMを使用する場合は、ポリシーを1人のユーザーまたは1組のユーザーグループと関連付けて、指定されたリソースを使用して指定されたタスクを完了することを許可または拒否できます。CAMポリシーのより詳細な基本情報については、ポリシー構文をご参照ください。

サブアカウントの権限承認

1. ルートアカウントでCAMコンソールにログインし、ユーザーリストで対応するサブユーザーを選択して、承認をクリックします。
   
2. ポップアップしたダイアログボックスで、QcloudCDBFullAccessクラウドデータベース（CDB）全読み取り/書き込みアクセス権限プリセットポリシーを選択し、OKをクリックして、サブユーザーの権限承認を完了します。
   

ポリシー文法

MySQLデータベースのバックアップダウンロードルール設定のCAMポリシーについての説明は以下のとおりです。

{
       "version":"2.0",
       "statement":
       [
          {
             "effect":"effect",
             "action":["action"],
             "resource":["resource"]
            }
       ] 
}

• バージョンversion：入力必須項目であり、現時点では"2.0"のみを認めています。
• ステートメント statement：1つか複数の権限の詳細情報を説明することに使われます。この要素にはeffect、action、resource等いくつかの他の要素の権限または権限セットが含まれます。1つのポリシーには1つのstatement要素しかありません。
• 影響effect：入力必須項目であり、ステートメントによる結果が「許可」であるか「明示的な拒否」であるかを説明します。allow（許可）とdeny（明示的な拒否）という2種類の状況が含まれています。
• アクションaction：入力必須項目であり、許可する、または拒否するアクションを説明することに使われます。アクションはAPI（nameプレフィックス）または機能セット（permidプレフィックスが付いた特定のAPIセット）を指定できます。
• リソース resource：入力必須項目であり、権限承認の具体的データを説明します。

APIの操作

CAMポリシーステートメントの中で、CAMをサポートしているすべてのサービスから、任意のAPI操作を指定できます。データベース監査については、name/cdb:というプレフィックスが付いたAPIをご使用ください。1つのステートメントの中で複数の操作を指定したい場合は、下記のようにコンマで区切ってください：

"action":["name/cdb:action1","name/cdb:action2"]

ワイルドカードで複数のアクションを指定することも可能です。例えば、下記のとおり先頭が 「Describe」で始まるすべてのアクションを指定することが可能です。

"action":["name/cdb:Describe*"]

リソースパス

リソースパスの一般的な形式は次のとおりです。

qcs::service_type::account:resource

• service_type：製品の略称です。ここではcdb。
• account：リソース所有者のルートアカウント情報です。例えばuin/326xxx46。
• resource：製品の具体的なリソース詳細です。各MySQLインスタンス（instanceId）が1つのリソースです。

例：

 "resource": ["qcs::cdb::uin/326xxx46:instanceId/cdb-kfxxh3"]

このうち、cdb-kfxxh3はMySQLインスタンスリソースのIDで、ここではCAMポリシーステートメント中のリソースresourceです。

事例

以下の例は、CAMの使用方法のみを示したものです。MySQLデータベースのバックアップダウンロードルール設定の完全なAPIについては、APIドキュメントをご参照ください。

{
       "version":"2.0",
       "statement":
       [
          {
             "effect":"allow",
             "action": ["name/cdb: ModifyBackupDownloadRestriction"],
             "resource": ["*"]
            }
       ]
}

MySQLデータベースのバックアップダウンロードルール設定ポリシーのカスタマイズ

1. ルートアカウントでCAMコンソールにログインし、ポリシーリストで、カスタムポリシーの新規作成をクリックします。
   
2. ポップアップしたダイアログボックスで、ポリシージェネレーターで作成を選択します。
3. サービスおよび操作の選択画面で、各項目の設定を選択し、ステートメントの追加をクリックした後、次のステップをクリックします。
   • 効果(Effect)：許可または拒否を選択して、操作項目の実行許可を示します。
   • サービス(Service)：TencentDB for MySQLを選択します。
   • 操作(Action)：MySQLデータベースのバックアップダウンロードルール設定のAPIを選択します。APIドキュメントをご参照ください。
   • リソース(Resource)：リソース記述法をご参照ください。*を入力し、所在リージョンのMySQLインスタンスのバックアップダウンロードルールが設定可能であることを示します。
     
4. ポリシー編集画面で、命名仕様に従い、「ポリシー名」（例えばBackupDownloadRestriction）と「説明」を入力後、完了をクリックします。
   
5. ポリシーリストに戻ると、作成したカスタムポリシーを確認することができます。