Skip To Content

セキュリティ グループの一般的な構成

Amazon Elastic Compute Cloud (EC2) および Amazon Virtual Private Cloud (VPC) インスタンスは、ネットワーク トラフィックをセキュリティ グループ内に定義されているソースとポートのみに制限できます。したがって、Amazon インスタンスでの処理の種類に応じたセキュリティ グループのルールの構成が必要なことがあります。このトピックでは、ArcGIS のさまざまな配置に応じて構成できる一般的なセキュリティ グループ設定について説明します。

デフォルトでは、セキュリティ グループは完全にロックされています。セキュリティ グループにルールを追加して、許可するトラフィックのタイプ、トラフィックに使用するポート、通信を受け付けるコンピューターを指定できます。開くポートと許可する必要のあるトラフィックのタイプは、インスタンスでの処理の内容によって異なります。

Amazon Web Services (AWS) Management Console でインスタンスに対して構成できるセキュリティ グループの名前とルールの推奨事項を以下に示します。許可するポートとプロトコルは、組織の情報テクノロジ (IT) ポリシーによって異なることがあります。以下の推奨事項は、最も一般的なポート番号を使用しています。組織に IT の専門家がいる場合は、インスタンスに最も適したセキュリティの構築について相談してください。

開発インスタンス

開発およびテスト用に使用される EC2 または VPC インスタンスには、専用のセキュリティ グループを作成することを検討してください。このタイプのグループでは、次のアクセスを許可することになります。

  • 組織内の IP アドレスまたは承認済み IP アドレスの範囲に対するポート 3389 での RDP (リモート デスクトップ プロトコル) アクセス (Microsoft Windows のみ)。

    Windows リモート デスクトップを使用してインスタンスを管理できるようになります。接続できる IP アドレスの範囲 (または 1 つの IP アドレス) を指定するには、CIDR (Classless Inter-Domain Routing) 表記を使用する必要があります。たとえば、0.0.0.0/0 はすべてのユーザーによる接続を許可しますが、92.23.32.51/32 は 1 つの特定の IP アドレスによる接続を許可します。ローカル コンピューターのグローバル IP アドレスを取得できない場合は、システム管理者に確認してください。

  • 組織内の IP アドレスまたは承認済み IP アドレスの範囲に対するポート 22 での TCP アクセス (Linux のみ)。

    ポート 22 を開くと、SSH を使用して Linux インスタンスを操作できます。

  • 全ユーザー (ELB (Elastic Load Balancer) を使用していない場合)、または ELB のセキュリティ グループ (ELB を使用している場合) に対するポート 6080 または 6443 での TCP アクセス。

    ポート 6080 と 6443 はそれぞれ、ArcGIS Server サイトとの HTTP 通信と HTTPS 通信に使用されます。サイトの前面に ELB を配置していない場合、配置の ArcGIS Server Web サービスを使用するすべてのユーザーに対してポート 6080 または 6443 を開く必要があります。ELB を使用している場合、ELB のセキュリティ グループに対してポート 6080 または 6443 を開く必要があります (ELB のセキュリティ グループは AWS Management Console から検出可能で、通常は amazon-elb/amazon-elb-sg などの値です)。

  • このグループ内の他のコンピューターからのアクセス。

    これは、サイトの ArcGIS Server コンピューターが相互に通信する場合や、ArcGIS Enterprise ポータルのコンポーネントが相互に通信する場合に必須です。これは、ファイル共有にも役立ちます。

実運用インスタンス

アプリケーションの開発とテストが終了し、実運用フェーズに移行できるようになったら、リモート デスクトップ アクセスを無効にすることをお勧めします。問題が発生してコンピューターにログインする必要がある場合は、アクセスできるようにセキュリティ グループの構成を一時的に変更できます。ArcGIS 実運用のためのグループでは、次のアクセスを許可できます。

  • IP アドレスの範囲 (ELB (Elastic Load Balancer) を使用していない場合)、または ELB のセキュリティ グループ (ELB を使用している場合) に対するポート 6443 での TCP アクセス。
  • IP アドレスの範囲に対するポート 7443 での TCP アクセス。
  • このグループ内の他のコンピューターからのアクセス。

セキュリティで保護された実運用インスタンス

コンピューターとの通信を暗号化する必要がある場合、SSL での暗号化通信に通常使用されるポート 443 でトラフィックを受信できるように、サイト上の ELB を構成する必要があります。次に、複数コンピューターの ArcGIS Server サイトの場合はポート 6443、ArcGIS Enterprise ポータルの場合はポート 7443 にトラフィックを転送するようにロード バランサーを構成します。セキュリティ グループで、ArcGIS 実運用のために前述したポートを開きます。

一般的に使用されるポート

セキュリティ グループを作成するときに操作する最も一般的なポートを以下に示します。これらのポートのいくつかは明示的に開く必要がなく、セキュリティ グループ内のコンピューター同士が制限なくアクセスできるように設定すればよいだけです。セキュリティ グループに参加していないコンピューター (オフィス内のデスクトップ ワークステーションなど) からアクセスを許可する場合は、特定のポート番号を開く必要があります。

港湾一般的な目的

22

SSH を介した接続

80

IIS Web サーバーまたはロード バランサーへの HTTP アクセス

443

IIS Web サーバーまたはロード バランサーへの HTTPS アクセス

445

Windows ファイル共有

3389

Windows リモート デスクトップを介した接続

6080

ArcGIS Server への HTTP アクセス

6443

ArcGIS Server への HTTPS アクセス

7443

Portal for ArcGIS への HTTPS アクセス

2443

ArcGIS Data Store の通信*

*外部クライアントは ArcGIS Data Store に直接アクセスしません。データ ストアが作成された ArcGIS Server サイトを介して接続します。

Windows ファイアウォールは、Esri Amazon Machine Image を使用して構築する Windows インスタンス上で有効化されます。上記以外のポートが必要なサードパーティのアプリケーションをインストールしている場合は、Windows ファイアウォールもそのポートが使用できるように構成されていることを確認してください。

ArcGIS Enterprise コンポーネントで使用されるその他のポートの詳細については、次のページをご参照ください。