共通セキュリティ グループの構成
Amazon EC2(Elastic Compute Cloud)インスタンスでは、セキュリティ グループに指定されたソースおよびポートからのネットワーク トラフィックのみが許可されます。Amazon EC2 を使うときは、EC2 インスタンスで実行する予定の各作業のタイプに合ったセキュリティ グループを設定する必要があります。このトピックでは、各種の ArcGIS Server 環境について構成可能ないくつかの共通のセキュリティ グループについて説明します。
デフォルトのセキュリティ グループは、すべてのアクセスが完全に禁止されています。許可されるトラフィックのタイプ、通過が許可されるポート、通信が受け付けられる発信元コンピュータを指定して、セキュリティ グループにルールを追加します。開くポートや許可する必要があるトラフィックのタイプは、インスタンスで実行する作業に応じて異なります。
推奨される構成可能なセキュリティ グループの名前およびルールを以下に示します。許可されるポートとプロトコルは、組織の IT ポリシーによって異なる場合があります。以下の推奨設定では、最も一般的なポート番号を使用しています。組織に IT スペシャリストがいる場合は、EC2 インスタンスに最良のセキュリティ戦略の考案を相談することを検討してください。
ArcGIS Server でのシステム開発
開発とテストの目的に使用する EC2 インスタンスには専用のセキュリティ グループを作成することを検討してください。このタイプのグループには、次のアクセスを許可することができます。
- 個人の IP アドレスまたは組織内で承認されている IP アドレス範囲を対象にした、ポート 3389 を通る RDP(リモート デスクトップ プロトコル)アクセス。このアクセスにより、Windows リモート デスクトップを使用して EC2 インスタンスを管理できます。CIDR(Classless Inter-Domain Routing)表記法を使用して、接続できる IP アドレスの範囲(または 1 つの IP アドレス)を指定する必要があります。たとえば、「0.0.0.0/0」を指定すると誰でも接続できますが、「92.23.32.51/32」を指定した場合は特定の IP アドレスだけが接続を許可されます。ローカル コンピュータの外部向け IP アドレスの入手に支援が必要な場合は、システム管理者に確認してください。
- すべてを対象にしたポート 80 を通る HTTP アクセス
- このグループ内の他のコンピュータからのアクセス。このアクセスにより、所有するコンピュータ間でファイルを共有したり、接続したりすることができます。[All ICMP] ルール タイプを選択し、[Source] ボックスにセキュリティ グループ ID(sg-xxxxxxxx など)を入力して、[Add Rule] をクリックすることにより、このタイプのアクセスを許可するルールを追加できます。この方法を使用すると、グループ内のコンピュータはあらゆるポートとプロトコルを使用して相互に通信することができます。
ArcGIS Server の運用
アプリケーションの開発とテストが終了し、運用段階に移動する準備ができたら、リモート デスクトップ アクセスを無効にすることをお勧めします。問題が発生して、コンピュータにログインする必要が生じた場合は、セキュリティ グループの構成を一時的に変更して、アクセスを許可することができます。ArcGIS Server 運用グループには、次のアクセスを許可することができます。
- すべてを対象にしたポート 80 を通る HTTP アクセス
- このグループ内の他のコンピュータからのアクセス
ArcGIS Server の運用のセキュリティ
コンピュータとの暗号化通信を必要とする場合は、ポート 443(SSL に通常使用されるポート)でトラフィックを許可するルールを使用できます。アクセスは次のようになります。
- すべてを対象にしたポート 443 を通る HTTPS アクセス
- このグループ内の他のコンピュータからのアクセス
エンタープライズ ジオデータベース
次のアクセスを許可するエンタープライズ ジオデータベース EC2 インスタンスに専用のセキュリティ グループを構成することができます。
- 個人の IP アドレスまたは組織内で承認されている IP アドレス範囲を対象にした、ポート 3389 を通る RDP アクセス。少なくとも 1 回は PostgreSQL のデフォルトのパスワードを変更するためにコンピュータにリモートで接続する必要があります。その後、必要に応じてセキュリティ グループからリモート デスクトップ アクセスを削除できます。
- ArcGIS Server セキュリティ グループ内のコンピュータからのアクセス。このアクセスにより、ArcGIS Server クラウド コンピュータでクラウドベースのジオデータベースを表示できます。セキュリティ グループに入っていないコンピュータがジオデータベースに接続する必要が生じた場合は、ポート 5432 を明示的に開く必要があります。これによって、PostgreSQL との通信が許可されます。
一般的に使用されるポート
セキュリティ グループを作成するときに使用する最も一般的なポートは次のとおりです。これらのポートの中には、明示的に開く必要のないものもあります。代わりに、セキュリティ グループ内のコンピュータ間に完全なアクセスを与えるだけにすることができます。セキュリティ グループに入っていないコンピュータ(オフィスのデスクトップ ワークステーションなど)からのアクセスを許可する場合は、特定のポート番号を開く必要があります。
ポート | 一般的な目的 |
---|---|
80 | IIS Web サーバへの HTTP アクセス |
443 | IIS Web サーバへの HTTPS アクセス |
445 | Windows ファイルの共有 |
1433 | Microsoft SQL Server への接続 |
3389 | Windows リモート デスクトップへの接続 |
5432 | PostgreSQL への接続 |