Private Space の信頼できる IP 範囲

最終更新日 2024年12月03日(火)

This article is a work in progress, or documents a feature that is not yet released to all users. This article is unlisted. Only those with the link can access it.

チーム管理者のみがスペースの信頼できる IP 範囲を管理できます。

信頼できる IP 機能を使用して、Heroku Private Spaces ​へのアクセスを制限できます。スペースごとに信頼できる IP 範囲のセットがあり、各範囲は CIDR ブロック表記で表されます。たとえば、192.0.2.0/24​ とします。これらの信頼できる IP 範囲に含まれる発信元クライアントのみが、スペースで実行されている Web プロセスにアクセスできます。信頼済み IP 範囲を使用して、会社のネットワークから、または、アプリのトラフィックのプロキシとして機能する CDN サービスからアプリへのトラフィックを制限します。信頼できる IP 範囲は、そのスペースで実行されている Web プロセスのみに適用されます。

スペースを作成すると、デフォルトの信頼できる IP 範囲 0.0.0.0/0​ が設定されます。これは、インターネット全体からのトラフィックを許可します。

Fir 世代​のスペースは、IvP4 に加えて IvP6 をサポート​し、追加のデフォルトの信頼できる IP 範囲 ::/0​ があります。

信頼できる IP 範囲の表示と設定

Fir​ 世代のスペースでは信頼できる IP 範囲をカスタマイズできません。この機能が Fir に追加されたときに通知を受け取るには、Changelog​ の受信登録を行ってください。

スペースごとに最大 20 個の IP 範囲を追加できます。

Private Space でインターネット全体からのトラフィックを許可するには、CIDR 範囲 0.0.0.0/0​ を追加します。これは、新しく作成される Space のデフォルト設定です。

Heroku Dashboard を使用する場合

Heroku Dashboard​ で、IP 範囲を表示および追加するためのスペースの Network (ネットワーク) タブを開きます。

CLI を使用する場合

CLI を使用して、Private Space の現在の信頼済み IP 範囲を一覧表示します。

$ heroku trusted-ips --space acme-prod
=== Trusted IP Ranges
192.0.2.0/26
192.0.2.64/26

CLI を使用して新しい範囲を追加します。

$ heroku trusted-ips:add 192.0.2.128/26 --space acme-prod
Added 192.0.2.128/26 to trusted IP ranges on acme-prod
 ▸    WARNING: It may take a few moments for the changes to take effect.

データサービスの信頼済み IP 範囲

Private/Shield Postgres および Kafka データベースの場合、外部アクセスを許可するために推奨されるメソッドは、信頼できる IP の代わりに mTLS​ を使用することです。mTLS と信頼済み IP の両方がデータアドオンで有効になっている場合、mTLS が信頼済み IP よりも優先されます。Heroku Postgres の場合、mTLS と信頼できる IP の両方で許可リストに登録された IP アドレスから受信した接続は、mTLS 要件に従って有効なクライアント証明書を提示する必要があります。

これはベータ機能です。有効化を依頼するには、help.heroku.com​ でチケットを登録してください。

データサービスの信頼済み IP 範囲は、Shield Private Space​ では利用できません。

デフォルトでは、信頼済み IP 範囲は、その Space で実行されている Web プロセスのみに適用されます。スペース内の dyno のみが Heroku Postgres、Heroku Key-Value Store、Apache Kafka on Heroku などのデータサービスにアクセスできます。必要に応じて、信頼済み IP アドレスから Space 内のデータサービスへのアクセスも許可するよう選択できます。

この機能にはいくつかの注意事項があります。

  • 0.0.0.0/0​ は無視されます。この CIDR ブロックにより、データベースがより広範なインターネットに公開されるためです。
  • きめ細かな制御は存在しません。信頼できる IP は Web dyno とデータ製品のどちらにもアクセスできます。

その他の資料