Amazon stellt Sicherheitsgruppen bereit, anhand derer festgelegt werden kann, wer Verbindungen zu Ihren EC2-Instanzen herstellen kann. Beim Erstellen einer Site mithilfe von ArcGIS Server Cloud Builder on Amazon Web Services oder einer von Esri bereitgestellten CloudFormation-Vorlage wird eine Sicherheitsgruppe erstellt und HTTP-Zugriff gewährt. Wenn Sie jedoch mit den EC2-Instanzen über eine Remotedesktopverbindung oder SSH arbeiten möchten, müssen Sie Regeln hinzufügen, um die jeweiligen Verbindungstypen zuzulassen.
Tipp:
Wenn Sie eine Site erstellen und Cloud Builder feststellt, dass eine Sicherheitsgruppe namens arcgis-<site name> vorhanden ist, wird diese Sicherheitsgruppe angewendet, statt eine neue zu erstellen. Dieses Verhalten bedeutet, dass Sie eine Sicherheitsgruppe wie die im Folgenden beschriebene erstellen und konfigurieren können, bevor Sie eine Site erstellen.
Wenn Sie die Site manuell mit der Amazon Web Services (AWS) Management Console erstellen, müssen Sie selbst eine Sicherheitsgruppe erstellen und Remotedesktop- und SSH-Regeln hinzufügen. Außerdem müssen Sie eine HTTP-Zugriffsregel hinzufügen, um Benutzern den Zugriff auf die Web-Services zu ermöglichen. Schließlich müssen Sie allen Instanzen in der Sicherheitsgruppe den gegenseitigen Zugriff gewähren. Dieser Vorgang wird in den folgenden Schritten beschrieben.
- Melden Sie sich bei der AWS Management Console an und zeigen Sie die Seite für die EC2-Region an, die Ihre Site hostet.
- Klicken Sie im linken Fenster auf Security Groups.
- Klicken Sie auf das Kontrollkästchen neben der Sicherheitsgruppe, die Sie ändern möchten, danach auf die Registerkarte Inbound, um die Liste der zulässigen Verbindungen zu überprüfen.
- Klicken Sie auf Bearbeiten, um die Liste der zulässigen eingehenden Verbindungen zu ändern.
Das Dialogfeld Regeln für eingehenden Datenverkehr bearbeiten wird geöffnet.
- Klicken Sie auf Regel hinzufügen.
Am Ende der Regeln für eingehenden Datenverkehr wird eine neue Zeile eingefügt.
- Wenn Sie eine Windows-Instanz verwenden, fügen Sie RDP über die Dropdown-Listen und Textfelder als zulässige Verbindung hinzu. Dadurch wird Port 3389 geöffnet. Sie müssen außerdem einen Bereich mit IP-Adressen bereitstellen, über die diese Verbindung hergestellt werden kann, indem Sie die CIDR-Notation (Classless Inter-Domain Routing) verwenden. Mit 0.0.0.0/0 kann beispielsweise jeder Benutzer Verbindungen herstellen (aus Sicherheitsgründen nicht empfohlen), wohingegen mit 92.23.32.51/32 nur bestimmte IP-Adressen Verbindungen herstellen können.
- Bei Verwendung einer Linux-Instanz erstellen Sie eine neue Benutzerdefinierte TCP-Regel anhand der Dropdown-Listen und Textfelder, die den Zugriff auf Port 22 über eine genehmigte IP-Adresse oder einen IP-Adressbereich ermöglicht. Dies ermöglicht Ihnen die Interaktion mit der Instanz über SSH.
- Klicken Sie auf Regel hinzufügen, und fügen Sie eine Benutzerdefinierte TCP-Regel mit Port 6080 als zulässige Verbindung hinzu. Sie können auch einen Bereich mit IP-Adressen angeben, über die diese Verbindung hergestellt werden kann.
- Bei Verwendung einer verschlüsselten Verbindung klicken Sie auf Regel hinzufügen und fügen eine Benutzerdefinierte TCP-Regel mit Port 6443 als zulässige Verbindung hinzu. Sie können auch einen Bereich mit IP-Adressen angeben, über die diese Verbindung hergestellt werden kann.
- Klicken Sie auf Regel hinzufügen und fügen Sie eine Regel hinzu, um allen EC2-Instanzen innerhalb der Gruppe den gegenseitigen Zugriff zu gewähren. Wählen Sie dazu All ICMP. Geben Sie dann die Gruppen-ID der Sicherheitsgruppe, die Sie aktuell bearbeiten (z. B. "sg-xxxxxxxx") in das Textfeld Source ein.
Wenn Ihnen die ID der Sicherheitsgruppe nicht bekannt ist, können Sie zur Registerkarte Details zurückkehren, um sie anzuzeigen. Beachten Sie jedoch, dass dadurch die anderen Regeln, die Sie festgelegt haben, gelöscht werden, wenn Sie noch nicht auf Speichern geklickt haben.
- Sollte dies der Fall sein, klicken Sie auf Speichern. Die Regeländerungen werden sofort wirksam.
Hinweis:
Wenn Sie die Site mit ArcGIS Server Cloud Builder on Amazon Web Services oder einer von Esri bereitgestellten CloudFormation-Vorlage erstellen, wurden die nächsten drei Regeln automatisch hinzugefügt. Sie können auf Apply Rule Changes klicken und die verbleibenden Schritte überspringen.
Weitere Informationen zu diesen Sicherheitsregeln und dazu, wann sie angepasst werden, finden Sie unter Häufige Sicherheitskonfigurationen für Gruppen.