> ## Documentation Index > Fetch the complete documentation index at: https://private-7c7dfe99-fix-nav-issues.mintlify.site/llms.txt > Use this file to discover all available pages before exploring further. # セキュリティ > IPホワイトリスト、暗号化、プライベートリンクなど、ClickHouse Managed Postgres のセキュリティ機能 export const Image = ({img, alt, size}) => { return {alt}

; }; export const galaxyOnClick = eventName => () => { try { if (typeof window !== "undefined" && window.galaxy && eventName) { window.galaxy.track(eventName, { interaction: "click" }); } } catch (e) {} }; export const BetaBadge = ({link, galaxyTrack, galaxyEvent}) => { if (link) { return Beta ; } return

Beta feature. Learn more.

; }; Managed Postgres には、データを保護し、コンプライアンス要件を満たすためのエンタープライズレベルのセキュリティ機能が備わっています。このページでは、ネットワークセキュリティ、暗号化、バックアップ保持期間のポリシーについて説明します。

## IP アドレスの許可リスト設定

IP フィルタは、Managed Postgres インスタンスへの接続を許可する送信元 IP アドレスを制御し、未承認の接続からデータベースを保護するためのネットワークレベルのアクセス制御を提供します。 IP Access List の設定

### IP フィルタの設定

IP フィルタの設定に関する詳細は、[設定](/ja/products/managed-postgres/settings#ip-filters) ページを参照してください。次を指定できます。 * 個別の IP アドレス (例: `203.0.113.5`) * ネットワークの CIDR 範囲 (例: `192.168.1.0/24`) * すべての IP アドレスを許可する **Anywhere** (本番環境では非推奨) * すべての接続をブロックする **Nowhere** **本番環境のベストプラクティス** IP フィルタが設定されていない場合、すべての IP アドレスからの接続が許可されます。本番ワークロードでは、既知の IP アドレスまたは CIDR 範囲のみにアクセスを制限してください。アクセスを許可する対象として、以下を検討してください。 * アプリケーションサーバー * VPN ゲートウェイの IP アドレス * 管理アクセス用の踏み台サーバー * 自動デプロイ用の CI/CD パイプラインの IP アドレス

## 暗号化

Managed Postgres では、包括的なデータ保護を実現するため、保存時と転送時の両方でデータが暗号化されます。

### 保存時の暗号化

Managed Postgres に保存されるすべてのデータは、基盤となるストレージインフラストラクチャへの不正アクセスから保護するため、保存時に暗号化されます。

#### NVMe ストレージの暗号化

NVMe ドライブに保存されるデータベースファイル、トランザクションログ、一時ファイルは、業界標準の暗号化アルゴリズムで暗号化されています。この暗号化はアプリケーションには透過的で、設定は不要です。

#### オブジェクトストレージの暗号化 (S3)

オブジェクトストレージに保存されるバックアップと Write-Ahead Log (WAL) アーカイブも、保存時に暗号化されます。これには次のものが含まれます。 * 日次のフルバックアップ * インクリメンタル WAL アーカイブ * ポイントインタイムリカバリ用データすべてのバックアップデータは、各インスタンス専用の認証情報が設定された、専用かつ分離されたストレージバケットに保存されます。これにより、バックアップデータの安全性が確保され、許可されたシステムのみがアクセスできます。保存時の暗号化は、すべての Managed Postgres インスタンスでデフォルトで有効になっており、無効にすることはできません。追加の設定は不要です。

### 通信中の暗号化

Managed Postgres へのすべてのネットワーク接続は、アプリケーションとデータベースの間で送受信されるデータを保護するため、TLS (Transport Layer Security) で保護されています。

#### TLS/SSL の設定

デフォルトでは、接続に TLS 暗号化が使用されますが、証明書の検証は行われません。本番ワークロードでは、正しいサーバーと通信していることを確実にするため、証明書を検証した TLS で接続することを推奨します。 TLS の設定と接続オプションの詳細については、[接続](/ja/products/managed-postgres/connection#tls) ページを参照してください。

## プライベートリンク

プライベートリンクを使用すると、Managed Postgres インスタンスとお客様の Virtual Private Cloud (VPC) との間で、トラフィックをパブリックインターネットに公開することなく、プライベート接続を確立できます。これにより、ネットワーク分離とセキュリティがさらに強化されます。 **手動でのセットアップが必要です** プライベートリンクはサポートされていますが、ClickHouse Support による手動設定が必要です。この機能は、厳格なネットワーク分離要件を持つ Enterprise のお客様に最適です。

### プライベートリンクのセットアップをリクエストする

Managed Postgres インスタンスでプライベートリンクを有効にするには、次の手順に従ってください。 1. **サポートチケットを作成して ClickHouse Support に連絡します** 2. **次の情報を提供します**: * ClickHouse の Organization ID * Postgres service の ID/hostname * プライベートリンクの接続先としたい AWS アカウント ID/ARN * (任意) Postgres インスタンスの Region 以外で、接続元として使用したい Region 3. **ClickHouse Support が次を実施します**: * Managed Postgres 側でプライベートリンクの endpoint をプロビジョニングします * endpoint の connection details を提供します。これを使用して endpoint インターフェイスを作成できます。 4. **プライベートリンクを Setup します**: * AWS の設定で endpoint インターフェイスに移動し、ClickHouse Support から提供された設定を使用してプライベートリンクを作成します。 * プライベートリンクが "Available" 状態になったら、AWS UI に表示される Private DNS 名を使用して接続できます。

## バックアップ保持期間

Managed Postgres は、誤削除や破損、その他のデータ損失から保護するために、データを自動的にバックアップします。

### 保持ポリシー

* **デフォルトの保持期間**: 7日間 * **バックアップ頻度**: 毎日のフルバックアップ + 継続的なWALアーカイブ (60秒ごと、または16 MBに達した時点のいずれか早い方) * **復旧の粒度**: 保持期間内の任意の時点へのポイントインタイムリカバリ

### バックアップのセキュリティ

バックアップは、元データと同等のセキュリティ保証の下で保存されます。 * オブジェクトストレージでの**保存時の暗号化** * 権限範囲が限定された認証情報を使用する、インスタンスごとに分離された**ストレージバケット** * バックアップに関連付けられた Postgres インスタンスのみに制限された**アクセス制御** バックアップ戦略とポイントインタイムリカバリの詳細については、[バックアップと復元](/ja/products/managed-postgres/backup-and-restore) ページを参照してください。