セキュリティ グループの一般的な構成

Amazon EC2(Elastic Compute Cloud)インスタンスは、ネットワーク トラフィックをセキュリティ グループ内に定義されているソースとポートのみに制限できます。Amazon EC2 を使用する場合、EC2 インスタンスでの処理の種類に応じたセキュリティ グループを設定する必要があります。このトピックでは、ArcGIS Server のさまざまな構成に対して構成できる一般的なセキュリティ グループについて説明します。

デフォルトでは、セキュリティ グループは完全にロックされています。セキュリティ グループにルールを追加して、許可するトラフィックのタイプ、トラフィックに使用するポート、通信を受け付けるコンピュータを指定します。開くポートと許可する必要のあるトラフィックのタイプは、インスタンスでの処理の内容によって異なります。

AWS Management Console で構成できるセキュリティ グループの名前とルールの推奨事項を以下に示します。許可するポートとプロトコルは、組織の IT ポリシーによって変化する場合があります。以下の推奨事項は、最も一般的なポート番号を使用しています。組織に IT の専門家がいる場合は、EC2 インスタンスに最も適したセキュリティについて相談してください。

開発用 ArcGIS Server

開発およびテスト用に使用されている EC2 インスタンスには、専用のセキュリティ グループを作成することを検討してください。このタイプのグループでは、次のアクセスを許可することになります。

ArcGIS Server の実運用

アプリケーションの開発とテストが終了し、実運用フェーズに移行できるようになったら、リモート デスクトップ アクセスを無効にすることをお勧めします。問題が発生してコンピュータにログインする必要がある場合は、アクセスできるようにセキュリティ グループの構成を一時的に変更できます。ArcGIS Server 実運用のためのグループは、次のアクセスを許可できます。

実運用 ArcGIS Server のセキュリティ

コンピュータとの通信を暗号化する必要がある場合、SSL での暗号化通信に通常使用されるポート 443 でトラフィックを受信できるように、サイト上の ELB を構成する必要があります。次に、トラフィックをポート 6443 に転送するようにロード バランサを構成します。セキュリティ グループで、実運用 ArcGIS Server に対して、前述したポートを開きます。

エンタープライズ ジオデータベース

ArcGIS Server インスタンスとは異なるインスタンス上にエンタープライズ ジオデータベースを配置する場合、次のアクセスを許可するエンタープライズ ジオデータベース専用のセキュリティ グループを構成できます。

一般的に使用されるポート

セキュリティ グループを作成するときに操作する最も一般的なポートを以下に示します。これらのポートのいくつかは明示的に開く必要がなく、セキュリティ グループ内のコンピュータ同士が制限なくアクセスできるように設定すればよいだけです。セキュリティ グループに参加していないコンピュータ(オフィス内のデスクトップ ワークステーションなど)からアクセスを許可する場合は、特定のポート番号を開く必要があります。

Port

一般的な目的

80

IIS Web サーバまたはロード バランサへの HTTP アクセス

443

IIS Web サーバまたはロード バランサへの HTTPS アクセス

445

Windows のファイル共有

1433

Microsoft SQL Server への接続

3389

Windows リモート デスクトップへの接続

5432

PostgreSQL への接続

6080

ArcGIS Server への HTTP アクセス

6443

ArcGIS Server への HTTPS アクセス

Cloud Builder を使用して構築したサイトを含む、Esri が提供する AMI を使用して起動したインスタンスでは、Windows ファイアウォールが有効になっています。上記以外のポートが必要なサードパーティのアプリケーションをインストールしている場合は、Windows ファイアウォールもそのポートが使用できるように構成されていることを確認してください。

5/16/2014