Amazon が提供するセキュリティ グループを利用すると、EC2 インスタンスに接続できるユーザーを特定できます。ArcGIS Server Cloud Builder on Amazon Web Services または Esri が提供する CloudFormation テンプレートを使用してサイトを構築すると、ユーザー用にセキュリティ グループが作成され、HTTP アクセスが許可されます。ただし、リモート デスクトップ接続または SSH を使って EC2 インスタンスを利用することを予定している場合は、その種の接続を許可するルールを追加しなければなりません。
ヒント:
サイトを作成しているときに、Cloud Builder が、arcgis-<site name> という名前のセキュリティ グループを持っていることを検出した場合は、新しいセキュリティ グループを作成せずに、そのセキュリティ グループを適用します。この動作は、サイトを作成する前に、下記の手順でセキュリティ グループを作成して構成することができることを意味します。
Amazon Web Services (AWS) Management Console を使用して手動でサイトを構築する場合は、セキュリティ グループをユーザー自身が作成して、リモート デスクトップ/SSH のルールを追加する必要があります。また、ユーザーが Web サービスにアクセスするために HTTP アクセス ルールを追加する必要もあります。最後に、セキュリティ グループ内のインスタンスすべてが相互にアクセスできるようにする必要があります。次の手順で、このプロセスを具体的に示します。
- AWS Management Console にサイン インして、サイトをホストしている EC2 リージョンのページを表示します。
- 左側のウィンドウで [Security Groups] をクリックします。
- 変更するセキュリティ グループの横のボックスをクリックし、[Inbound] タブをクリックして、許可される接続のリストを調べます。
- 許可するインバウンド接続のリストを変更するには、[Edit] をクリックします。
[Edit inbound rules] ダイアログ ボックスが表示されます。
- [Add Rule] をクリックします。
新しい行は、インバウンド ルールの最後に追加されます。
- Windows インスタンスを使用している場合は、ドロップダウン リストとテキスト ボックスを使用し、許可する接続として [RDP] を追加します。これにより、ポート 3389 が開きます。また、CIDR (Classless Inter-Domain Routing) 表記法を使用して、この接続を許可する IP アドレスの範囲を指定する必要もあります。たとえば、「0.0.0.0/0」はすべてのユーザーによる接続を許可しますが (セキュリティ上推奨されません)、「92.23.32.51/32」は 1 つの特定の IP アドレスによる接続を許可します。
- Linux インスタンスを使用している場合は、ドロップダウン リストとテキスト ボックスを使用し、承認された IP アドレスまたは IP アドレスの範囲からのポート 22 へのアクセスを許可する新規の [Custom TCP rule] を作成します。これにより、SSH を介してインスタンスを操作できるようになります。
- [Add Rule] をクリックし、許可する接続として、[Custom TCP rule] にポート 6080 を追加します。必要に応じて、この接続を許可する IP アドレスの範囲を指定します。
- 暗号化された接続を使用する場合は、[Add Rule] をクリックし、許可する接続として、[Custom TCP rule] にポート 6443 を追加します。必要に応じて、この接続を許可する IP アドレスの範囲を指定します。
- [Add Rule] をクリックし、グループ内のすべての EC2 インスタンス同士が制限なくアクセスできるルールを追加します。これを行うには、[All ICMP] を選択します。次に [Source] テキスト ボックスに、現在編集中のセキュリティ グループのグループ ID (sg-xxxxxxxx など) を入力します。
セキュリティ グループの ID が不明な場合は、[Details] タブに切り替えて当該 ID を確認できますが、[Save] を先にクリックしてからこの操作を行わないと、設定した他のルールが消去されてしまいます。
- [Save] をまだクリックしていない場合はクリックしてください。変更したルールが直ちに有効になります。
注意:
ArcGIS Server Cloud Builder on Amazon Web Services または Esri が提供する CloudFormation テンプレートを使用してサイトを作成した場合、次の 3 つのルールが自動的に追加されています。[Apply Rule Changes] をクリックすることができ、残りの手順を実行する必要はありません。
これらのセキュリティ ルールの詳細およびセキュリティ ルールを調整するタイミングについては、「一般的なセキュリティ グループ構成」をご参照ください。