Configurations courantes des groupes de sécurité
Une instance Amazon EC2 (Elastic Compute Cloud) peut autoriser uniquement le trafic réseau provenant de sources et de ports définis dans son groupe de sécurité. Lorsque vous utilisez Amazon EC2, vous devez configurer certains groupes de sécurité qui correspondent aux types d'opérations que vous allez effectuer avec vos instances EC2. Cette rubrique décrit certains groupes de sécurité courants que vous pouvez configurer pour différents déploiements d'ArcGIS Server.
Par défaut, un groupe de sécurité est complètement verrouillé. Vous ajoutez des règles à un groupe de sécurité en spécifiant le type de trafic autorisé, les ports qu'il sera autorisé à traverser et les ordinateurs à partir desquels la communication sera acceptée. Les ports que vous décidez d'ouvrir et le type de trafic que vous devez autoriser dépendent de ce que vous faites avec l'instance.
Vous trouverez ci-dessous des suggestions de noms et de règles des groupes de sécurité, que vous pouvez configurer dans la console de gestion AWS. Les ports et protocoles autorisés peuvent varier selon les règles informatiques de votre organisation. Les suggestions ci-dessous utilisent les numéros de port les plus courants. Si votre organisation dispose d'un spécialiste informatique, contactez-le afin de mettre au point la meilleure stratégie de sécurité pour vos instances EC2.
Développement d'ArcGIS Server
Pensez à créer un groupe de sécurité spécifiquement pour les instances EC2 qui sont utilisées à des fins de développement et de test. Ce type de groupe peut autoriser l'accès suivant :
- Accès RDP via le port 3389 pour votre adresse IP ou une plage d'adresses IP approuvées au sein de votre organisation (Windows uniquement). Cela vous permet d'administrer votre instance EC2 via le Bureau à distance de Windows. Vous devez utiliser la notation CIDR (Classless Inter-Domain Routing) pour spécifier une plage d'adresses IP (ou une seule adresse IP) pouvant établir les connexions. Par exemple, 0.0.0.0/0 autorise tout le monde à se connecter, tandis que 92.23.32.51/32 autorise une seule adresse IP à se connecter. Consultez votre administrateur système si vous avez besoin d'aide pour connaître l'adresse IP externe de votre machine locale.
- Accès TCP via le port 22 pour votre adresse IP ou une plage d'adresses IP approuvées au sein de votre organisation (Linux uniquement). L'ouverture du port 22 vous permet d'utiliser vos instances Linux via SSH.
- Accès TCP via le port 6080 pour tout le monde (si vous n'utilisez pas de volume ELB) ou le groupe de sécurité du volume ELB (si vous utilisez un ELB). Le port 6080 est utilisé pour la communication avec ArcGIS Server. Si vous ne placez pas un ELB devant votre site, vous devez ouvrir le port 6080 pour toutes les personnes qui utiliseront vos services Web ArcGIS Server. Si vous utilisez un volume ELB, vous devez ouvrir le port 6080 sur le groupe de sécurité du volume ELB (qui est identifiable à l'aide de la console de gestion AWS et correspond généralement à la valeur amazon-elb/amazon-elb-sg).
- Accès depuis d'autres machines de ce groupe. Cela est nécessaire pour que les machines de serveur SIG communiquent entre elles. Cela facilite également le partage de fichiers. Vous pouvez ajouter une règle autorisant ce type d'accès en choisissant le type de règle Tout ICMP, en entrant l'ID de votre groupe de sécurité (par exemple sg-xxxxxxxx) dans la zone Source et en cliquant sur Ajouter une règle. Lorsque vous adoptez cette approche, les machines de votre groupe peuvent communiquer entre elles via tous les ports et protocoles.
Production ArcGIS Server
Une fois que vous avez développé et testé votre application et que vous êtes prêt à la transférer en phase de production, il convient de désactiver l'accès Bureau à distance. Si un problème survient et que vous avez besoin de vous connecter à la machine, vous pouvez temporairement changer la configuration du groupe de sécurité pour vous permettre d'y accéder. Un groupe de production ArcGIS Server peut autoriser l'accès suivant :
- Accès TCP via le port 6080 pour tout le monde (si vous n'utilisez pas de volume ELB) ou le groupe de sécurité du volume ELB (si vous utilisez un ELB)
- Accès depuis d'autres machines de ce groupe
Production sécurisée ArcGIS Server
Si vous souhaitez demander une communication chiffrée avec votre machine, vous devez configurer un ELB sur votre site qui reçoit le trafic par le port 443, qui est le port généralement utilisé pour la communication chiffrée via SSL. Configurez ensuite le programme d'équilibrage de charge pour qu'il transmette le trafic au port 6443. Dans votre groupe de sécurité, ouvrez les ports décrits ci-dessus pour la production ArcGIS Server.
Géodatabase d’entreprise
Si vous préférez que les géodatabases d'entreprise soient sur une instance distincte de votre instance ArcGIS Server, vous pouvez configurer un groupe de sécurité spécifique à votre instance de géodatabase d'entreprise, qui autorise ce qui suit :
- Accès TCP via le port 22 (Linux) pour votre adresse IP ou une plage d'adresses IP approuvées au sein de votre organisation Vous devez vous connecter à distance au moins une fois à votre machine pour modifier les mots de passe PostgreSQL par défaut. Vous pouvez ensuite supprimer cette règle d'accès à distance du groupe de sécurité si vous le souhaitez.
- Accès RDP via le port 3389 (Windows) Vous pouvez ajouter cette règle si vous devez vous connecter à distance à votre instance SQL Server ou SQL Server Express ( par exemple pour ajouter des utilisateurs ou d'autres géodatabases). Supprimez-la ensuite quand vous avez terminé.
- Accès depuis des machines dans votre groupe de sécurité ArcGIS Server Ceci permet à vos instances exécutant ArcGIS for Server d'afficher votre instance de géodatabase d'entreprise. Si des machines ne faisant pas partie de vos groupes de sécurité doivent se connecter à votre géodatabase, vous devez explicitement ouvrir le port 5432, ce qui permet la communication avec PostgreSQL.
Ports fréquemment utilisés
Vous trouverez ci-dessous certains des ports les plus courants que vous pouvez utiliser lorsque vous créez des groupes de sécurité. Il est possible que vous n'ayez pas besoin d'ouvrir explicitement certains de ces ports. Vous pouvez simplement décider de donner aux machines qui se trouvent dans votre groupe de sécurité un accès complet les unes aux autres. Si vous souhaitez octroyer l'accès à des machines ne faisant pas partie de vos groupes de sécurité (par exemple, votre poste de travail au bureau), vous devez ouvrir des numéros de port spécifiques.
Port | Objectif courant |
---|---|
80 | Accès HTTP au serveur Web IIS ou au programme d'équilibrage de charge |
443 | Accès HTTPS au serveur Web IIS ou au programme d'équilibrage de charge |
445 | Partage de fichiers Windows |
1433 | Connexions à Microsoft SQL Server |
3389 | Connexions Bureau à distance Windows |
5432 | Connexions à PostgreSQL |
6080 | Accès HTTP à ArcGIS Server |
6443 | Accès HTTPS à ArcGIS Server |
Le Pare-feu Windows est activé sur chaque instance que vous lancez avec les images virtuelles fournies par Esri, y compris sur les sites que vous créez avec Cloud Builder. Si vous installez une application tierce qui requiert d'autres ports que ceux répertoriés ci-dessus, assurez-vous que le Pare-feu Windows est également configuré pour autoriser le port.