Amazon IAM (Identity and Access Management) 認証を使用して、Amazon Web Services デプロイメント ツール用に ArcGIS Enterprise 外で構成した ArcGIS Enterprise デプロイメントで使用される AWS リソースにアクセスするには、AWS ツールを使用して IAM ロールとポリシーを自分自身で構成する必要があります。
IAM ポリシーの JSON スニペットのサンプルを以下に示します。 サンプルでは、ポリシー ドキュメントの 2012-10-17 バージョンを使用しています。 別のバージョンを使用する場合は、ドキュメント形式の変更が必要になることがあります。
大なり小なり記号 (<>) で囲まれた値をデプロイメント固有の値に置き換えます。
S3 バケットへの Portal for ArcGIS コンテンツ ディレクトリーの格納
Portal for ArcGIS コンテンツ ディレクトリーを Amazon Simple Storage Service (S3) バケットに格納するには、次の権限を持つ IAM ユーザーまたはロールが必要です。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "<statement-id>",
"Effect": "Allow",
"Action": [
"s3:Get*",
"s3:PutObject",
"s3:ListBucket",
"s3:CreateBucket",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::<portal-content-bucket-name>/*",
"arn:aws:s3:::<portal-content-bucket-name>"
]
}
]
}S3 および DynamoDB への ArcGIS Server 構成ストアの格納
AWS サービスを使用して ArcGIS Server 構成ストアを格納するには、次の IAM ポリシーを持つ IAM ユーザーまたはロールが必要です:
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"<statement-id1>",
"Action":[
"s3:ListBucket",
"s3: ListMultipartUploadParts",
"s3:GetBucketAct",
"s3:GetBucketLocation",
"s3:GetBucketPolicy",
"s3:GetObject",
"s3:GetLifecycleConfiguration",
"s3:DeleteObjectTagging",
"s3:PutBucketTagging",
"s3:PutObjectTagging",
"s3:CreateBucket",
"s3:DeleteBucket",
"s3:DeleteObject",
"s3:PutObject",
"s3:PutLifecycleConfiguration"
],
"Effect":"Allow",
"Resource":[
"arn:aws:s3:::arcgis-config-store-*",
"arn:aws:s3:::arcgis-config-store-*/*"
]
},
{
"Sid":"<statement-id2>",
"Action":[
"dynamodb:DescribeTable",
"dynamodb:GetItem",
"dynamodb:GetRecords",
"dynamodb:Query",
"dynamodb:CreateTable",
"dynamodb:DeleteItem",
"dynamodb:DeleteTable",
"dynamodb:ListTables",
"dynamodb:PutItem",
"dynamodb:Scan",
"dynamodb:UpdateItem",
"dynamodb:UpdateTable",
"dynamodb:TagResource",
"dynamodb:UntagResource"
],
"Effect":"Allow",
"Resource":[
"arn:aws:dynamodb:*:*:table/*"
]
},
]
}オブジェクト ストアとしての S3 バケットの使用
S3 バケットを ArcGIS Enterprise デプロイメントのシステム オブジェクト ストアとして登録するには、最低でも次の IAM ポリシーが IAM ユーザーまたはロールに含まれている必要があります。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "<statement-id>",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListMultipartUploadParts",
"s3:GetBucketAcl",
"s3:GetBucketLocation",
"s3:GetBucketPolicy",
"s3:GetObject",
"S3:GetLifecycleConfiguration",
"s3:DeleteObjectTagging",
"s3:PutBucketTagging",
"s3:PutObjectTagging",
"s3:CreateBucket",
"s3:DeleteBucket",
"s3:DeleteObject",
"s3:PutObject",
"S3:PutLifecycleConfiguration"
],
"Resource": [
"arn:aws:s3:::<object-bucket-name>/*",
"arn:aws:s3:::<object-bucket-name>"
]
}
]
}S3 バケットへのキャッシュの格納
マップおよびイメージ キャッシュを保存してアクセスするためのクラウド ストアとして S3 バケットを登録するには、最低でも次の IAM ポリシーが IAM ユーザーまたはロールに含まれている必要があります。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "<statement-id>",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:ListBucket",
"s3:ListMultipartUploadParts",
"s3:GetBucketAcl",
"s3:GetObjectVersion",
"s3:GetLifecycleConfiguration",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::<cache-bucket-name>/*",
"arn:aws:s3:::<cache-bucket-name>"
]
}
]
}ラスター ストアとしての S3 バケットの使用
S3 バケットをラスター ストアとして登録するには、最低でも次の IAM ポリシーが IAM ユーザーまたはロールに含まれている必要があります。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "<statement-id>",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:ListBucket",
"s3:GetBucketAcl",
"s3:GetObjectVersion"
],
"Resource": [
"arn:aws:s3:::<raster-store-bucket-name>/*",
"arn:aws:s3:::<raster-store-bucket-name>"
]
}
]
}webgisdr ユーティリティーから生成されたバックアップのための S3 バケットの使用
Portal for ArcGIS によってインストールされた webgisdr ユーティリティーを使用して AWS 上の S3 バケットにバックアップを作成する場合は、IAM ユーザーまたはロールに、バックアップ ファイルを作成するポリシーとそれらのバックアップ ファイルからデプロイメントを復元するポリシーが必要です。
以下は、webgisdr ユーティリティーを使用して S3 バケットにバックアップを作成するために必要な最低限のポリシー設定です。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "<statement-id>",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:ListBucket",
"s3:DeleteObject",
"s3:GetBucketAcl",
"s3:PutObjectAcl"
],
"Resource": [
"arn:aws:s3:::<webgisdr-bucket-name>",
"arn:aws:s3:::<portal-content-backup-bucket-name>",
"arn:aws:s3:::<webgisdr-bucket-name>/*",
"arn:aws:s3:::<portal-content-backup-bucket-name>/*"
]
}
]
}以下は、webgisdr ユーティリティーを使用して S3 バケット内のバックアップ ファイルからデプロイメントを復元するために必要な最低限のポリシー設定です。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "<statement-id>",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket",
"s3:GetBucketAcl",
"s3:PutObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::<webgisdr-bucket-name>",
"arn:aws:s3:::<portal-content-backup-bucket-name>",
"arn:aws:s3:::<webgisdr-bucket-name>/*",
"arn:aws:s3:::<portal-content-backup-bucket-name>/*"
]
}
]
}