翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Managed Microsoft AD ネットワークセキュリティ設定の強化
AWS Managed Microsoft AD ディレクトリ用にプロビジョニングされた AWS セキュリティグループは、 AWS Managed Microsoft AD ディレクトリのすべての既知のユースケースをサポートするために必要な最小限のインバウンドネットワークポートで設定されます。プロビジョニングされた AWS セキュリティグループの詳細については、「」を参照してくださいAWS Managed Microsoft AD で作成されるもの。
AWS Managed Microsoft AD ディレクトリのネットワークセキュリティをさらに強化するために、次の一般的なシナリオに基づいて AWS セキュリティグループを変更できます。
カスタマードメインコントローラー CIDR - この CIDR ブロックは、ドメインオンプレミスドメインコントローラーが存在する場所です。
カスタマークライアント CIDR - この CIDR ブロックは、コンピュータやユーザーなどのクライアントが AWS Managed Microsoft AD に対して認証する場所です。 AWS Managed Microsoft AD ドメインコントローラーもこの CIDR ブロックにあります。
シナリオ
AWS アプリケーションのみがサポート
すべてのユーザーアカウントは Managed Microsoft AD AWS でのみプロビジョニングされ、次のようなサポートされている AWS アプリケーションで使用されます。
-
Amazon Chime
-
Amazon Connect
-
Amazon QuickSight
-
AWS IAM Identity Center
-
Amazon WorkDocs
-
Amazon WorkMail
-
AWS Client VPN
-
AWS Management Console
次の AWS セキュリティグループ設定を使用して、 AWS Managed Microsoft AD ドメインコントローラーへの重要でないトラフィックをすべてブロックできます。
注記
-
以下は、この AWS セキュリティグループ設定と互換性がありません。
-
Amazon EC2 インスタンス
-
Amazon FSx
-
Amazon RDS for MySQL
-
Amazon RDS for Oracle
-
Amazon RDS for PostgreSQL
-
Amazon RDS for SQL Server
-
WorkSpaces
-
Active Directory での信頼
-
ドメイン参加済みのクライアントまたはサーバー
-
インバウンドルール
なし。
アウトバウンドルール
なし。
AWS 信頼サポートのあるアプリケーションのみ
すべてのユーザーアカウントは AWS Managed Microsoft AD または信頼できる Active Directory にプロビジョニングされ、次のようなサポートされている AWS アプリケーションで使用されます。
-
Amazon Chime
-
Amazon Connect
-
Amazon QuickSight
-
AWS IAM Identity Center
-
Amazon WorkDocs
-
Amazon WorkMail
-
Amazon WorkSpaces
-
AWS Client VPN
-
AWS Management Console
プロビジョニングされた AWS セキュリティグループ設定を変更して、 AWS Managed Microsoft AD ドメインコントローラーへの重要でないトラフィックをすべてブロックできます。
注記
-
以下は、この AWS セキュリティグループ設定と互換性がありません。
-
Amazon EC2 インスタンス
-
Amazon FSx
-
Amazon RDS for MySQL
-
Amazon RDS for Oracle
-
Amazon RDS for PostgreSQL
-
Amazon RDS for SQL Server
-
WorkSpaces
-
Active Directory での信頼
-
ドメイン参加済みのクライアントまたはサーバー
-
-
この設定では、「カスタマードメインコントローラー CIDR」ネットワークが安全であることを確認する必要があります。
-
TCP 445 は、信頼の作成時にだけ使用し、信頼の確立後は削除できます。
-
TCP 636 は、SSL 経由で LDAP を使用している場合にのみ必要となります。
インバウンドルール
| プロトコル | ポート範囲 | ソース | トラフィックの種類 | Active Directory の使用 |
|---|---|---|---|---|
| TCP と UDP | 53 | カスタマードメインコントローラー CIDR | DNS | ユーザーとコンピュータの認証、名前解決、信頼 |
| TCP と UDP | 88 | カスタマードメインコントローラー CIDR | Kerberos | ユーザーとコンピュータの認証、フォレストレベルの信頼 |
| TCP と UDP | 389 | カスタマードメインコントローラー CIDR | LDAP | ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP と UDP | 464 | カスタマードメインコントローラー CIDR | Kerberos パスワードの変更 / 設定 | レプリケーション、ユーザーとコンピュータの認証、信頼 |
| TCP | 445 | カスタマードメインコントローラー CIDR | SMB / CIFS | レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP | 135 | カスタマードメインコントローラー CIDR | レプリケーション | RPC、EPM |
| TCP | 636 | カスタマードメインコントローラー CIDR | LDAP SSL | ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP | 49152 - 65535 | カスタマードメインコントローラー CIDR | RPC | レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP | 3268 - 3269 | カスタマードメインコントローラー CIDR | LDAP GC および LDAP GC SSL | ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| UDP | 123 | カスタマードメインコントローラー CIDR | Windows タイム | Windows タイム、信頼 |
アウトバウンドルール
| プロトコル | ポート範囲 | ソース | トラフィックの種類 | Active Directory の使用 |
|---|---|---|---|---|
| すべて | すべて | カスタマードメインコントローラー CIDR | すべてのトラフィック |
AWS アプリケーションとネイティブ Active Directory ワークロードのサポート
ユーザーアカウントは AWS Managed Microsoft AD でのみプロビジョニングされ、次のようなサポートされている AWS アプリケーションで使用されます。
-
Amazon Chime
-
Amazon Connect
-
Amazon EC2 インスタンス
-
Amazon FSx
-
Amazon QuickSight
-
Amazon RDS for MySQL
-
Amazon RDS for Oracle
-
Amazon RDS for PostgreSQL
-
Amazon RDS for SQL Server
-
AWS IAM Identity Center
-
Amazon WorkDocs
-
Amazon WorkMail
-
WorkSpaces
-
AWS Client VPN
-
AWS Management Console
プロビジョニングされた AWS セキュリティグループ設定を変更して、 AWS Managed Microsoft AD ドメインコントローラーへの重要でないトラフィックをすべてブロックできます。
注記
-
Active Directory AWS Managed Microsoft AD ディレクトリとカスタマードメインコントローラー CIDR の間で 信頼を作成および維持することはできません。
-
これには、「顧客クライアント CIDR」ネットワークが安全であることを確認する必要があります。
-
TCP 636 は、SSL 経由で LDAP を使用している場合にのみ必要となります。
-
この設定エンタープライズ CA を使用する場合は、アウトバウンドルールとして「TCP、443、CA CIDR」を作成する必要があります。
インバウンドルール
| プロトコル | ポート範囲 | ソース | トラフィックの種類 | Active Directory の使用 |
|---|---|---|---|---|
| TCP と UDP | 53 | カスタマークライアント CIDR | DNS | ユーザーとコンピュータの認証、名前解決、信頼 |
| TCP と UDP | 88 | カスタマークライアント CIDR | Kerberos | ユーザーとコンピュータの認証、フォレストレベルの信頼 |
| TCP と UDP | 389 | カスタマークライアント CIDR | LDAP | ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP と UDP | 445 | カスタマークライアント CIDR | SMB / CIFS | レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP と UDP | 464 | カスタマークライアント CIDR | Kerberos パスワードの変更 / 設定 | レプリケーション、ユーザーとコンピュータの認証、信頼 |
| TCP | 135 | カスタマークライアント CIDR | レプリケーション | RPC、EPM |
| TCP | 636 | カスタマークライアント CIDR | LDAP SSL | ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP | 49152 - 65535 | カスタマークライアント CIDR | RPC | レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP | 3268 - 3269 | カスタマークライアント CIDR | LDAP GC および LDAP GC SSL | ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP | 9389 | カスタマークライアント CIDR | SOAP | AD DS ウェブサービス |
| UDP | 123 | カスタマークライアント CIDR | Windows タイム | Windows タイム、信頼 |
| UDP | 138 | カスタマークライアント CIDR | DFSN と NetLogon | DFS、グループポリシー |
アウトバウンドルール
なし。
AWS アプリケーションとネイティブ Active Directory ワークロードのサポートと信頼サポート
すべてのユーザーアカウントは AWS Managed Microsoft AD または信頼できる Active Directory にプロビジョニングされ、次のようなサポートされている AWS アプリケーションで使用されます。
-
Amazon Chime
-
Amazon Connect
-
Amazon EC2 インスタンス
-
Amazon FSx
-
Amazon QuickSight
-
Amazon RDS for MySQL
-
Amazon RDS for Oracle
-
Amazon RDS for PostgreSQL
-
Amazon RDS for SQL Server
-
AWS IAM Identity Center
-
Amazon WorkDocs
-
Amazon WorkMail
-
WorkSpaces
-
AWS Client VPN
-
AWS Management Console
プロビジョニングされた AWS セキュリティグループ設定を変更して、 AWS Managed Microsoft AD ドメインコントローラーへの重要でないトラフィックをすべてブロックできます。
注記
-
これには、「顧客ドメインコントローラー CIDR」ネットワークと「顧客クライアント CIDR」ネットワークが安全であることを確認する必要があります。
-
「顧客ドメインコントローラー CIDR」を含む TCP 445 は信頼の作成にのみ使用され、信頼が確立された後に削除できます。
-
「顧客クライアント CIDR」を含む TCP 445 は、グループポリシーの処理に必要なため、開いたままにしておく必要があります。
-
TCP 636 は、SSL 経由で LDAP を使用している場合にのみ必要となります。
-
この設定エンタープライズ CA を使用する場合は、アウトバウンドルールとして「TCP、443、CA CIDR」を作成する必要があります。
インバウンドルール
| プロトコル | ポート範囲 | ソース | トラフィックの種類 | Active Directory の使用 |
|---|---|---|---|---|
| TCP と UDP | 53 | カスタマードメインコントローラー CIDR | DNS | ユーザーとコンピュータの認証、名前解決、信頼 |
| TCP と UDP | 88 | カスタマードメインコントローラー CIDR | Kerberos | ユーザーとコンピュータの認証、フォレストレベルの信頼 |
| TCP と UDP | 389 | カスタマードメインコントローラー CIDR | LDAP | ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP と UDP | 464 | カスタマードメインコントローラー CIDR | Kerberos パスワードの変更 / 設定 | レプリケーション、ユーザーとコンピュータの認証、信頼 |
| TCP | 445 | カスタマードメインコントローラー CIDR | SMB / CIFS | レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP | 135 | カスタマードメインコントローラー CIDR | レプリケーション | RPC、EPM |
| TCP | 636 | カスタマードメインコントローラー CIDR | LDAP SSL | ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP | 49152 - 65535 | カスタマードメインコントローラー CIDR | RPC | レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP | 3268 - 3269 | カスタマードメインコントローラー CIDR | LDAP GC および LDAP GC SSL | ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| UDP | 123 | カスタマードメインコントローラー CIDR | Windows タイム | Windows タイム、信頼 |
| TCP と UDP | 53 | カスタマードメインコントローラー CIDR | DNS | ユーザーとコンピュータの認証、名前解決、信頼 |
| TCP と UDP | 88 | カスタマードメインコントローラー CIDR | Kerberos | ユーザーとコンピュータの認証、フォレストレベルの信頼 |
| TCP と UDP | 389 | カスタマードメインコントローラー CIDR | LDAP | ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP と UDP | 445 | カスタマードメインコントローラー CIDR | SMB / CIFS | レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP と UDP | 464 | カスタマードメインコントローラー CIDR | Kerberos パスワードの変更 / 設定 | レプリケーション、ユーザーとコンピュータの認証、信頼 |
| TCP | 135 | カスタマードメインコントローラー CIDR | レプリケーション | RPC、EPM |
| TCP | 636 | カスタマードメインコントローラー CIDR | LDAP SSL | ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP | 49152 - 65535 | カスタマードメインコントローラー CIDR | RPC | レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP | 3268 - 3269 | カスタマードメインコントローラー CIDR | LDAP GC および LDAP GC SSL | ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP | 9389 | カスタマードメインコントローラー CIDR | SOAP | AD DS ウェブサービス |
| UDP | 123 | カスタマードメインコントローラー CIDR | Windows タイム | Windows タイム、信頼 |
| UDP | 138 | カスタマードメインコントローラー CIDR | DFSN と NetLogon | DFS、グループポリシー |
アウトバウンドルール
| プロトコル | ポート範囲 | ソース | トラフィックの種類 | Active Directory の使用 |
|---|---|---|---|---|
| すべて | すべて | カスタマードメインコントローラー CIDR | すべてのトラフィック |
