共通セキュリティ グループの構成

ArcGIS Server でのシステム開発

開発とテストの目的に使用する EC2 インスタンスには専用のセキュリティ グループを作成することを検討してください。このタイプのグループには、次のアクセスを許可することができます。

• 個人の IP アドレスまたは組織内で承認されている IP アドレス範囲を対象にした、ポート 3389 を通る RDP（リモート デスクトップ プロトコル）アクセス。このアクセスにより、Windows リモート デスクトップを使用して EC2 インスタンスを管理できます。CIDR（Classless Inter-Domain Routing）表記法を使用して、接続できる IP アドレスの範囲（または 1 つの IP アドレス）を指定する必要があります。たとえば、「0.0.0.0/0」を指定すると誰でも接続できますが、「92.23.32.51/32」を指定した場合は特定の IP アドレスだけが接続を許可されます。ローカル コンピュータの外部向け IP アドレスの入手に支援が必要な場合は、システム管理者に確認してください。
• すべてを対象にしたポート 80 を通る HTTP アクセス
• このグループ内の他のコンピュータからのアクセス。このアクセスにより、所有するコンピュータ間でファイルを共有したり、接続したりすることができます。[All ICMP] ルール タイプを選択し、[Source] ボックスにセキュリティ グループ ID（sg-xxxxxxxx など）を入力して、[Add Rule] をクリックすることにより、このタイプのアクセスを許可するルールを追加できます。この方法を使用すると、グループ内のコンピュータはあらゆるポートとプロトコルを使用して相互に通信することができます。

ArcGIS Server の運用

アプリケーションの開発とテストが終了し、運用段階に移動する準備ができたら、リモート デスクトップ アクセスを無効にすることをお勧めします。問題が発生して、コンピュータにログインする必要が生じた場合は、セキュリティ グループの構成を一時的に変更して、アクセスを許可することができます。ArcGIS Server 運用グループには、次のアクセスを許可することができます。

• すべてを対象にしたポート 80 を通る HTTP アクセス
• このグループ内の他のコンピュータからのアクセス

ArcGIS Server の運用のセキュリティ

コンピュータとの暗号化通信を必要とする場合は、ポート 443（SSL に通常使用されるポート）でトラフィックを許可するルールを使用できます。アクセスは次のようになります。

• すべてを対象にしたポート 443 を通る HTTPS アクセス
• このグループ内の他のコンピュータからのアクセス

エンタープライズ ジオデータベース

次のアクセスを許可するエンタープライズ ジオデータベース EC2 インスタンスに専用のセキュリティ グループを構成することができます。

• 個人の IP アドレスまたは組織内で承認されている IP アドレス範囲を対象にした、ポート 3389 を通る RDP アクセス。少なくとも 1 回は PostgreSQL のデフォルトのパスワードを変更するためにコンピュータにリモートで接続する必要があります。その後、必要に応じてセキュリティ グループからリモート デスクトップ アクセスを削除できます。
• ArcGIS Server セキュリティ グループ内のコンピュータからのアクセス。このアクセスにより、ArcGIS Server クラウド コンピュータでクラウドベースのジオデータベースを表示できます。セキュリティ グループに入っていないコンピュータがジオデータベースに接続する必要が生じた場合は、ポート 5432 を明示的に開く必要があります。これによって、PostgreSQL との通信が許可されます。

一般的に使用されるポート

セキュリティ グループを作成するときに使用する最も一般的なポートは次のとおりです。これらのポートの中には、明示的に開く必要のないものもあります。代わりに、セキュリティ グループ内のコンピュータ間に完全なアクセスを与えるだけにすることができます。セキュリティ グループに入っていないコンピュータ（オフィスのデスクトップ ワークステーションなど）からのアクセスを許可する場合は、特定のポート番号を開く必要があります。