Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS
Amélioration de la configuration de sécurité de votre réseau AWS Managed Microsoft AD - AWS Directory Service
AWS prise en charge des applications uniquementAWS applications uniquement avec support de confianceAWS support natif des applications et de la charge de travail Active DirectoryAWS prise en charge des applications et de la charge de travail Active Directory native avec support de confiance

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Amélioration de la configuration de sécurité de votre réseau AWS Managed Microsoft AD

PDFRSS

Le groupe AWS de sécurité configuré pour le répertoire Microsoft AD AWS géré est configuré avec le minimum de ports réseau entrants requis pour prendre en charge tous les cas d'utilisation connus de votre répertoire AWS Microsoft AD géré. Pour plus d'informations sur le groupe de AWS sécurité provisionné, consultezCe qui est créé avec votre Microsoft AD AWS géré.

Pour améliorer encore la sécurité réseau de votre annuaire Microsoft AD AWS géré, vous pouvez modifier le groupe AWS de sécurité en fonction des scénarios courants suivants.

Contrôleurs de domaine clients CIDR : ce bloc CIDR est l'endroit où résident les contrôleurs de domaine locaux de votre domaine.

CIDR du client : ce bloc CIDR permet à vos clients, tels que les ordinateurs ou les utilisateurs, de s'authentifier auprès de votre AWS Microsoft AD géré. Vos contrôleurs de domaine Microsoft AD AWS gérés résident également dans ce bloc CIDR.

AWS prise en charge des applications uniquement

Tous les comptes utilisateur sont configurés uniquement dans votre Microsoft AD AWS géré pour être utilisés avec les AWS applications prises en charge, telles que les suivantes :

  • Amazon Chime

  • Amazon Connect

  • Amazon QuickSight

  • AWS IAM Identity Center

  • Amazon WorkDocs

  • Amazon WorkMail

  • AWS Client VPN

  • AWS Management Console

Vous pouvez utiliser la configuration AWS de groupe de sécurité suivante pour bloquer tout le trafic non essentiel vers vos contrôleurs de domaine Microsoft AD AWS gérés.

Note

  • Les éléments suivants ne sont pas compatibles avec cette configuration AWS de groupe de sécurité :

    • EC2 Instances Amazon

    • Amazon FSx

    • Amazon RDS for MySQL

    • Amazon RDS for Oracle

    • Amazon RDS for PostgreSQL

    • Amazon RDS for SQL Server

    • WorkSpaces

    • Active Directory approuve

    • Clients ou serveurs joints au domaine

Règles entrantes

Aucune.

Règles sortantes

Aucune.

AWS applications uniquement avec support de confiance

Tous les comptes utilisateur sont configurés dans votre Microsoft AD AWS géré ou dans votre Active Directory approuvé pour être utilisés avec les AWS applications prises en charge, telles que les suivantes :

  • Amazon Chime

  • Amazon Connect

  • Amazon QuickSight

  • AWS IAM Identity Center

  • Amazon WorkDocs

  • Amazon WorkMail

  • Amazon WorkSpaces

  • AWS Client VPN

  • AWS Management Console

Vous pouvez modifier la configuration du groupe AWS de sécurité provisionné pour bloquer tout le trafic non essentiel vers vos contrôleurs de domaine AWS Microsoft AD gérés.

Note

  • Les éléments suivants ne sont pas compatibles avec cette configuration AWS de groupe de sécurité :

    • EC2 Instances Amazon

    • Amazon FSx

    • Amazon RDS for MySQL

    • Amazon RDS for Oracle

    • Amazon RDS for PostgreSQL

    • Amazon RDS for SQL Server

    • WorkSpaces

    • Active Directory approuve

    • Clients ou serveurs joints au domaine

  • Cette configuration nécessite que vous vous assuriez que le réseau « Customer Domain Controllers CIDR » est sécurisé.

  • TCP 445 est utilisé uniquement pour la création d'une approbation et peut être supprimé une fois que l'approbation a été établie.

  • TCP 636 est requis uniquement lorsque LDAP sur SSL est en cours d'utilisation.

Règles entrantes

Protocole Plage de ports Source Type de trafic Utilisation d'Active Directory
TCP et UDP 53 Contrôleurs de domaine clients CIDR DNS Authentification d'utilisateur et d'ordinateur, résolution de noms, approbations
TCP et UDP 88 Contrôleurs de domaine clients CIDR Kerberos Authentification d'utilisateur et d'ordinateur, approbations au niveau de la forêt
TCP et UDP 389 Contrôleurs de domaine clients CIDR LDAP Directory, réplication, stratégie de groupe d'authentification d'utilisateur et d'ordinateur, approbations
TCP et UDP 464 Contrôleurs de domaine clients CIDR Mot de passe Kerberos (modification/définition) Réplication, authentification d'utilisateur et d'ordinateur, approbations
TCP 445 Contrôleurs de domaine clients CIDR SMB / CIFS Réplication, authentification d'utilisateur et d'ordinateur, approbations de stratégie de groupe
TCP 135 Contrôleurs de domaine clients CIDR Réplication RPC, EPM
TCP 636 Contrôleurs de domaine clients CIDR LDAP SSL Directory, réplication, stratégie de groupe d'authentification d'utilisateur et d'ordinateur, approbations
TCP 49152 - 65535 Contrôleurs de domaine clients CIDR RPC Réplication, authentification d'utilisateur et d'ordinateur, stratégie de groupe, approbations
TCP 3268 ‑ 3269 Contrôleurs de domaine clients CIDR LDAP GC et LDAP GC SSL Directory, réplication, stratégie de groupe d'authentification d'utilisateur et d'ordinateur, approbations
UDP 123 Contrôleurs de domaine clients CIDR Heure Windows Heure Windows, approbations

Règles sortantes

Protocole Plage de ports Source Type de trafic Utilisation d'Active Directory
Tous Tous Contrôleurs de domaine clients CIDR Tout le trafic

AWS support natif des applications et de la charge de travail Active Directory

Les comptes utilisateur sont fournis uniquement dans votre Microsoft AD AWS géré pour être utilisés avec les AWS applications prises en charge, telles que les suivantes :

  • Amazon Chime

  • Amazon Connect

  • EC2 Instances Amazon

  • Amazon FSx

  • Amazon QuickSight

  • Amazon RDS for MySQL

  • Amazon RDS for Oracle

  • Amazon RDS for PostgreSQL

  • Amazon RDS for SQL Server

  • AWS IAM Identity Center

  • Amazon WorkDocs

  • Amazon WorkMail

  • WorkSpaces

  • AWS Client VPN

  • AWS Management Console

Vous pouvez modifier la configuration du groupe AWS de sécurité provisionné pour bloquer tout le trafic non essentiel vers vos contrôleurs de domaine AWS Microsoft AD gérés.

Note

  • Active Directory les approbations ne peuvent pas être créées et maintenues entre votre annuaire Microsoft AD AWS géré et le CIDR des contrôleurs de domaine clients.

  • Cela vous oblige à vous assurer que le réseau « client-client CIDR » est sécurisé.

  • TCP 636 est requis uniquement lorsque LDAP sur SSL est en cours d'utilisation.

  • Si vous souhaitez utiliser une autorité de certification d'entreprise avec cette configuration, vous devrez créer une règle sortante « TCP, 443, CIDR d'autorité de certification ».

Règles entrantes

Protocole Plage de ports Source Type de trafic Utilisation d'Active Directory
TCP et UDP 53 Client CIDR DNS Authentification d'utilisateur et d'ordinateur, résolution de noms, approbations
TCP et UDP 88 Client CIDR Kerberos Authentification d'utilisateur et d'ordinateur, approbations au niveau de la forêt
TCP et UDP 389 Client CIDR LDAP Directory, réplication, stratégie de groupe d'authentification d'utilisateur et d'ordinateur, approbations
TCP et UDP 445 Client CIDR SMB / CIFS Réplication, authentification d'utilisateur et d'ordinateur, approbations de stratégie de groupe
TCP et UDP 464 Client CIDR Mot de passe Kerberos (modification/définition) Réplication, authentification d'utilisateur et d'ordinateur, approbations
TCP 135 Client CIDR Réplication RPC, EPM
TCP 636 Client CIDR LDAP SSL Directory, réplication, stratégie de groupe d'authentification d'utilisateur et d'ordinateur, approbations
TCP 49152 - 65535 Client CIDR RPC Réplication, authentification d'utilisateur et d'ordinateur, stratégie de groupe, approbations
TCP 3268 ‑ 3269 Client CIDR LDAP GC et LDAP GC SSL Directory, réplication, stratégie de groupe d'authentification d'utilisateur et d'ordinateur, approbations
TCP 9389 Client CIDR SOAP Services Web AD DS
UDP 123 Client CIDR Heure Windows Heure Windows, approbations
UDP 138 Client CIDR DFSN et NetLogon DFS, stratégie de groupe

Règles sortantes

Aucune.

AWS prise en charge des applications et de la charge de travail Active Directory native avec support de confiance

Tous les comptes utilisateur sont configurés dans votre Microsoft AD AWS géré ou dans votre Active Directory approuvé pour être utilisés avec les AWS applications prises en charge, telles que les suivantes :

  • Amazon Chime

  • Amazon Connect

  • EC2 Instances Amazon

  • Amazon FSx

  • Amazon QuickSight

  • Amazon RDS for MySQL

  • Amazon RDS for Oracle

  • Amazon RDS for PostgreSQL

  • Amazon RDS for SQL Server

  • AWS IAM Identity Center

  • Amazon WorkDocs

  • Amazon WorkMail

  • WorkSpaces

  • AWS Client VPN

  • AWS Management Console

Vous pouvez modifier la configuration du groupe AWS de sécurité provisionné pour bloquer tout le trafic non essentiel vers vos contrôleurs de domaine AWS Microsoft AD gérés.

Note

  • Cela vous oblige à vous assurer que les réseaux « contrôleurs de domaine client CIDR » et « CIDR client client » sont sécurisés.

  • Le protocole TCP 445 avec le « CIDR des contrôleurs de domaine client » est utilisé uniquement pour la création de confiance et peut être supprimé une fois que la confiance a été établie.

  • Le protocole TCP 445 avec le « CIDR client » doit être laissé ouvert car il est requis pour le traitement des politiques de groupe.

  • TCP 636 est requis uniquement lorsque LDAP sur SSL est en cours d'utilisation.

  • Si vous souhaitez utiliser une autorité de certification d'entreprise avec cette configuration, vous devrez créer une règle sortante « TCP, 443, CIDR d'autorité de certification ».

Règles entrantes

Protocole Plage de ports Source Type de trafic Utilisation d'Active Directory
TCP et UDP 53 Contrôleurs de domaine clients CIDR DNS Authentification d'utilisateur et d'ordinateur, résolution de noms, approbations
TCP et UDP 88 Contrôleurs de domaine clients CIDR Kerberos Authentification d'utilisateur et d'ordinateur, approbations au niveau de la forêt
TCP et UDP 389 Contrôleurs de domaine clients CIDR LDAP Directory, réplication, stratégie de groupe d'authentification d'utilisateur et d'ordinateur, approbations
TCP et UDP 464 Contrôleurs de domaine clients CIDR Mot de passe Kerberos (modification/définition) Réplication, authentification d'utilisateur et d'ordinateur, approbations
TCP 445 Contrôleurs de domaine clients CIDR SMB / CIFS Réplication, authentification d'utilisateur et d'ordinateur, approbations de stratégie de groupe
TCP 135 Contrôleurs de domaine clients CIDR Réplication RPC, EPM
TCP 636 Contrôleurs de domaine clients CIDR LDAP SSL Directory, réplication, stratégie de groupe d'authentification d'utilisateur et d'ordinateur, approbations
TCP 49152 - 65535 Contrôleurs de domaine clients CIDR RPC Réplication, authentification d'utilisateur et d'ordinateur, stratégie de groupe, approbations
TCP 3268 ‑ 3269 Contrôleurs de domaine clients CIDR LDAP GC et LDAP GC SSL Directory, réplication, stratégie de groupe d'authentification d'utilisateur et d'ordinateur, approbations
UDP 123 Contrôleurs de domaine clients CIDR Heure Windows Heure Windows, approbations
TCP et UDP 53 Contrôleurs de domaine clients CIDR DNS Authentification d'utilisateur et d'ordinateur, résolution de noms, approbations
TCP et UDP 88 Contrôleurs de domaine clients CIDR Kerberos Authentification d'utilisateur et d'ordinateur, approbations au niveau de la forêt
TCP et UDP 389 Contrôleurs de domaine clients CIDR LDAP Directory, réplication, stratégie de groupe d'authentification d'utilisateur et d'ordinateur, approbations
TCP et UDP 445 Contrôleurs de domaine clients CIDR SMB / CIFS Réplication, authentification d'utilisateur et d'ordinateur, approbations de stratégie de groupe
TCP et UDP 464 Contrôleurs de domaine clients CIDR Mot de passe Kerberos (modification/définition) Réplication, authentification d'utilisateur et d'ordinateur, approbations
TCP 135 Contrôleurs de domaine clients CIDR Réplication RPC, EPM
TCP 636 Contrôleurs de domaine clients CIDR LDAP SSL Directory, réplication, stratégie de groupe d'authentification d'utilisateur et d'ordinateur, approbations
TCP 49152 - 65535 Contrôleurs de domaine clients CIDR RPC Réplication, authentification d'utilisateur et d'ordinateur, stratégie de groupe, approbations
TCP 3268 ‑ 3269 Contrôleurs de domaine clients CIDR LDAP GC et LDAP GC SSL Directory, réplication, stratégie de groupe d'authentification d'utilisateur et d'ordinateur, approbations
TCP 9389 Contrôleurs de domaine clients CIDR SOAP Services Web AD DS
UDP 123 Contrôleurs de domaine clients CIDR Heure Windows Heure Windows, approbations
UDP 138 Contrôleurs de domaine clients CIDR DFSN et NetLogon DFS, stratégie de groupe

Règles sortantes

Protocole Plage de ports Source Type de trafic Utilisation d'Active Directory
Tous Tous Contrôleurs de domaine clients CIDR Tout le trafic

Avez-vous besoin d’aide ?

ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.