Amazon Elastic Compute Cloud (EC2) および Amazon Virtual Private Cloud (VPC) インスタンスは、ネットワーク トラフィックをセキュリティ グループ内に定義されているソースとポートのみに制限できます。 したがって、インスタンスの使用方法に応じたセキュリティ グループのルールの構成が必要です。 このページでは、ArcGIS のさまざまな配置に応じて構成できる一般的なセキュリティ グループ設定について説明します。
デフォルトでは、セキュリティ グループは完全にロックされています。 セキュリティ グループにルールを追加して、許可するトラフィックのタイプ、トラフィックに使用するポート、通信を受け付けるコンピューターを指定できます。 開くポートと許可するトラフィックのタイプは、インスタンスでの処理の内容によって異なります。
Amazon Web Services (AWS) Management Console でインスタンスに対して構成できるセキュリティ グループの名前とルールの推奨事項を以下に示します。 許可するポートとプロトコルは、組織の情報テクノロジ (IT) ポリシーによって異なります。 以下の推奨事項は、最も一般的なポート番号を使用しています。 組織に IT の専門家がいる場合は、インスタンスに最適なセキュリティ戦略の策定について相談してください。
開発インスタンス
開発およびテスト用に使用される EC2 または VPC インスタンスには、専用のセキュリティ グループを作成することを検討してください。 このタイプのグループでは、次のアクセスを許可することになります。
- 組織内の IP アドレスまたは承認済み IP アドレスの範囲に対するポート 3389 での RDP (リモート デスクトップ プロトコル) アクセス (Microsoft Windows のみ)。
Windows リモート デスクトップを使用してインスタンスを管理できるようになります。 接続できる IP アドレスの範囲 (または 1 つの IP アドレス) を指定するには、CIDR (Classless Inter-Domain Routing) 表記を使用する必要があります。 たとえば、0.0.0.0/0 はすべてのユーザーによる接続を許可しますが、92.23.32.51/32 は 1 つの特定の IP アドレスによる接続を許可します。 ローカル コンピューターのグローバル IP アドレスを取得できない場合は、システム管理者に確認してください。
- 組織内の IP アドレスまたは承認済み IP アドレスの範囲に対するポート 22 での TCP アクセス (Linux のみ)。
ポート 22 を開くと、SSH を使用して Linux インスタンスを操作できます。
- 全ユーザー (ELB (Elastic Load Balancer) を使用していない場合)、または ELB のセキュリティ グループ (ELB を使用している場合) に対するポート 6080 または 6443 での TCP アクセス。
ポート 6080 と 6443 はそれぞれ、ArcGIS Server サイトとの HTTP 通信と HTTPS 通信に使用されます。 サイトの前面に ELB を配置していない場合、開発の ArcGIS Server Web サービスを使用するすべてのユーザーに対してポート 6080 または 6443 を開く必要があります。 ELB を使用する場合、ELB のセキュリティ グループに対してポート 6080 または 6443 を開く必要があります (ELB のセキュリティ グループは AWS Management Console から検出可能で、通常は amazon-elb/amazon-elb-sg などの値です)。
- このグループ内の他のコンピューターからのアクセス。
これは、サイトの ArcGIS Server コンピューターが相互に通信する場合や、ArcGIS Enterprise ポータルのコンポーネントが相互に通信する場合に必須です。 これは、ファイル共有にも役立ちます。
実運用インスタンス
アプリケーションの開発とテストが終了し、実運用フェーズに移行できるようになったら、リモート デスクトップ アクセスを無効にすることをお勧めします。 問題が発生してコンピューターにサイン インする必要がある場合は、アクセスできるようにセキュリティ グループの構成を一時的に変更できます。 ArcGIS 実運用のためのグループでは、次のアクセスを許可できます。
- IP アドレスの範囲 (ELB (Elastic Load Balancer) を使用していない場合)、または ELB のセキュリティ グループ (ELB を使用している場合) に対するポート 6443 での TCP アクセス。
- IP アドレスの範囲に対するポート 7443 での TCP アクセス。
- このグループ内の他のコンピューターからのアクセス。
セキュリティで保護された実運用インスタンス
コンピューターとの通信を暗号化するには、SSL での暗号化通信に通常使用されるポート 443 でトラフィックを受信できるように、サイト上の ELB を構成する必要があります。 次に、複数コンピューターの ArcGIS Server サイトの場合はポート 6443、ArcGIS Enterprise ポータルの場合はポート 7443 にトラフィックを転送するようにロード バランサーを構成します。 セキュリティ グループで、ArcGIS 実運用のために前述したポートを開きます。
一般的に使用されるポート
セキュリティ グループを作成するときに操作する最も一般的なポートを以下に示します。 これらのポートのいくつかは明示的に開く必要がなく、セキュリティ グループ内のコンピューター同士が制限なくアクセスできるように設定すればよいだけです。 セキュリティ グループに参加していないコンピューター (オフィス内のデスクトップ ワークステーションなど) からアクセスを許可するには、特定のポート番号を開く必要があります。
ポート | 一般的な目的 |
---|---|
22 | SSH を介した接続 |
80 | IIS Web サーバーまたはロード バランサーへの HTTP アクセス |
443 | IIS Web サーバーまたはロード バランサーへの HTTPS アクセス |
445 | Windows ファイル共有 |
3389 | Windows リモート デスクトップを介した接続 |
6080 | ArcGIS Server への HTTP アクセス |
6443 | ArcGIS Server への HTTPS アクセス |
7443 | Portal for ArcGIS への HTTPS アクセス |
2443 | ArcGIS Data Store 通信* *外部クライアントは ArcGIS Data Store に直接アクセスしません。データ ストアが作成された ArcGIS Server サイトを介して接続します。 |
Windows ファイアウォールは、ArcGIS Enterprise on Amazon Web Services 配置ツールを使用して起動する Windows インスタンス上で有効化されます。 上記以外のポートが必要なサードパーティのアプリケーションをインストールしている場合は、Windows ファイアウォールもそのポートが使用できるように構成されていることを確認してください。
各 ArcGIS Enterprise コンポーネントのポート情報へのリンクについては、「ArcGIS Enterprise システム要件」をご参照ください。