AWS Managed Microsoft AD のネットワークセキュリティ設定を強化する - AWS Directory Service

AWS Managed Microsoft AD のネットワークセキュリティ設定を強化する

AWS Managed Microsoft AD ディレクトリ用にプロビジョニングされている AWS セキュリティグループには、AWS Managed Microsoft AD ディレクトリのすべての既知のユースケースをサポートするために必要な、最小限のインバウンドネットワークポートが設定済みとなっています。プロビジョニングされた AWS セキュリティグループの詳細については、「AWS 管理対象の Microsoft AD アクティブディレクトリで作成されるもの」を参照してください。

AWS Managed Microsoft AD ディレクトリのネットワークセキュリティをさらに強化するために、以下に示す一般的なシナリオに応じて AWS セキュリティグループを変更できます。

AWS アプリケーションのみのサポート

すべてのユーザーアカウントは、以下に挙げるようなサポートされた AWS アプリケーション専用として、AWS Managed Microsoft AD にプロビジョニングされます。

  • Amazon Chime

  • Amazon Connect

  • Amazon QuickSight

  • AWS IAM Identity Center

  • Amazon WorkDocs

  • Amazon WorkMail

  • AWS Client VPN

  • AWS Management Console

AWS Managed Microsoft AD ドメインコントローラーへの重要でないすべてのトラフィックは、次の AWS セキュリティグループ設定を使用してブロックできます。

注記
  • 以下のサービスでは、この AWS セキュリティグループ設定を使用できません。

    • Amazon EC2 インスタンス

    • Amazon FSx

    • Amazon RDS for MySQL

    • Amazon RDS for Oracle

    • Amazon RDS for PostgreSQL

    • Amazon RDS for SQL Server

    • WorkSpaces

    • Active Directory での信頼

    • ドメイン参加済みのクライアントまたはサーバー

インバウンドルール

なし。

アウトバウンドルール

なし。

信頼がサポートされる AWS アプリケーション

すべてのユーザーアカウントは、AWS Managed Microsoft AD 、または信頼された Active Directory にプロビジョニングされており、これをサポートしている以下の AWS アプリケーションにおいて使用が可能です。

  • Amazon Chime

  • Amazon Connect

  • Amazon QuickSight

  • AWS IAM Identity Center

  • Amazon WorkDocs

  • Amazon WorkMail

  • Amazon WorkSpaces

  • AWS Client VPN

  • AWS Management Console

プロビジョニングされている AWS セキュリティグループ設定を変更すると、AWS Managed Microsoft AD ドメインコントローラーへの、重要ではないすべてのトラフィックをブロックすることができます。

注記
  • 以下のサービスでは、この AWS セキュリティグループ設定を使用できません。

    • Amazon EC2 インスタンス

    • Amazon FSx

    • Amazon RDS for MySQL

    • Amazon RDS for Oracle

    • Amazon RDS for PostgreSQL

    • Amazon RDS for SQL Server

    • WorkSpaces

    • Active Directory での信頼

    • ドメイン参加済みのクライアントまたはサーバー

  • この設定では、「オンプレミス CIDR」ネットワークのセキュリティを確保する必要があります。

  • TCP 445 は、信頼の作成時にだけ使用し、信頼の確立後は削除できます。

  • TCP 636 は、SSL 経由で LDAP を使用している場合にのみ必要となります。

インバウンドルール

プロトコル ポート範囲 ソース トラフィックのタイプ Active Directory の使用
TCP と UDP 53 オンプレミス CIDR DNS ユーザーとコンピュータの認証、名前解決、信頼
TCP と UDP 88 オンプレミス CIDR Kerberos ユーザーとコンピュータの認証、フォレストレベルの信頼
TCP と UDP 389 オンプレミス CIDR LDAP ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼
TCP と UDP 464 オンプレミス CIDR Kerberos パスワードの変更 / 設定 レプリケーション、ユーザーとコンピュータの認証、信頼
TCP 445 オンプレミス CIDR SMB / CIFS レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼
TCP 135 オンプレミス CIDR レプリケーション RPC、EPM
TCP 636 オンプレミス CIDR LDAP SSL ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼
TCP 49152 - 65535 オンプレミス CIDR RPC レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼
TCP 3268 - 3269 オンプレミス CIDR LDAP GC および LDAP GC SSL ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼
UDP 123 オンプレミス CIDR Windows タイム Windows タイム、信頼

アウトバウンドルール

プロトコル ポート範囲 ソース トラフィックのタイプ Active Directory の使用
すべて すべて オンプレミス CIDR すべてのトラフィック

AWS アプリケーションとネイティブの Active Directory ワークロードのサポート

ユーザーアカウントは、以下に挙げるようなサポートされた AWS アプリケーション専用として、AWS Managed Microsoft AD にプロビジョニングされています。

  • Amazon Chime

  • Amazon Connect

  • Amazon EC2 インスタンス

  • Amazon FSx

  • Amazon QuickSight

  • Amazon RDS for MySQL

  • Amazon RDS for Oracle

  • Amazon RDS for PostgreSQL

  • Amazon RDS for SQL Server

  • AWS IAM Identity Center

  • Amazon WorkDocs

  • Amazon WorkMail

  • WorkSpaces

  • AWS Client VPN

  • AWS Management Console

プロビジョニングされている AWS セキュリティグループ設定を変更すると、AWS Managed Microsoft AD ドメインコントローラーへの、重要ではないすべてのトラフィックをブロックすることができます。

注記
  • AWS Managed Microsoft AD ディレクトリとオンプレミスドメインとの間では、Active Directory の信頼を作成し維持することはできません。

  • そのためには、「クライアント CIDR」ネットワークのセキュリティを確保する必要があります。

  • TCP 636 は、SSL 経由で LDAP を使用している場合にのみ必要となります。

  • この設定エンタープライズ CA を使用する場合は、アウトバウンドルールとして「TCP、443、CA CIDR」を作成する必要があります。

インバウンドルール

プロトコル ポート範囲 ソース トラフィックのタイプ Active Directory の使用
TCP と UDP 53 クライアント CIDR DNS ユーザーとコンピュータの認証、名前解決、信頼
TCP と UDP 88 クライアント CIDR Kerberos ユーザーとコンピュータの認証、フォレストレベルの信頼
TCP と UDP 389 クライアント CIDR LDAP ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼
TCP と UDP 445 クライアント CIDR SMB / CIFS レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼
TCP と UDP 464 クライアント CIDR Kerberos パスワードの変更 / 設定 レプリケーション、ユーザーとコンピュータの認証、信頼
TCP 135 クライアント CIDR レプリケーション RPC、EPM
TCP 636 クライアント CIDR LDAP SSL ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼
TCP 49152 - 65535 クライアント CIDR RPC レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼
TCP 3268 - 3269 クライアント CIDR LDAP GC および LDAP GC SSL ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼
TCP 9389 クライアント CIDR SOAP AD DS ウェブサービス
UDP 123 クライアント CIDR Windows タイム Windows タイム、信頼
UDP 138 クライアント CIDR DFSN と NetLogon DFS、グループポリシー

アウトバウンドルール

なし。

信頼の使用が可能な AWS アプリケーションとネイティブの Active Directory ワークロードのサポート

すべてのユーザーアカウントは、AWS Managed Microsoft AD 、または信頼された Active Directory にプロビジョニングされており、これをサポートしている以下の AWS アプリケーションにおいて使用が可能です。

  • Amazon Chime

  • Amazon Connect

  • Amazon EC2 インスタンス

  • Amazon FSx

  • Amazon QuickSight

  • Amazon RDS for MySQL

  • Amazon RDS for Oracle

  • Amazon RDS for PostgreSQL

  • Amazon RDS for SQL Server

  • AWS IAM Identity Center

  • Amazon WorkDocs

  • Amazon WorkMail

  • WorkSpaces

  • AWS Client VPN

  • AWS Management Console

プロビジョニングされている AWS セキュリティグループ設定を変更すると、AWS Managed Microsoft AD ドメインコントローラーへの、重要ではないすべてのトラフィックをブロックすることができます。

注記
  • そのためには、「オンプレミス CIDR」と「クライアント CIDR」のネットワークで、セキュリティを確保する必要があります。

  • 「オンプレミス CIDR」での TCP 445 は、信頼の作成時にのみ使用され、信頼の確立後は削除できます。

  • 「クライアント CIDR」での TCP 445 は、グループポリシーの処理に必要なため、開いたままにしておきます。

  • TCP 636 は、SSL 経由で LDAP を使用している場合にのみ必要となります。

  • この設定エンタープライズ CA を使用する場合は、アウトバウンドルールとして「TCP、443、CA CIDR」を作成する必要があります。

インバウンドルール

プロトコル ポート範囲 ソース トラフィックのタイプ Active Directory の使用
TCP と UDP 53 オンプレミス CIDR DNS ユーザーとコンピュータの認証、名前解決、信頼
TCP と UDP 88 オンプレミス CIDR Kerberos ユーザーとコンピュータの認証、フォレストレベルの信頼
TCP と UDP 389 オンプレミス CIDR LDAP ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼
TCP と UDP 464 オンプレミス CIDR Kerberos パスワードの変更 / 設定 レプリケーション、ユーザーとコンピュータの認証、信頼
TCP 445 オンプレミス CIDR SMB / CIFS レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼
TCP 135 オンプレミス CIDR レプリケーション RPC、EPM
TCP 636 オンプレミス CIDR LDAP SSL ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼
TCP 49152 - 65535 オンプレミス CIDR RPC レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼
TCP 3268 - 3269 オンプレミス CIDR LDAP GC および LDAP GC SSL ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼
UDP 123 オンプレミス CIDR Windows タイム Windows タイム、信頼
TCP と UDP 53 クライアント CIDR DNS ユーザーとコンピュータの認証、名前解決、信頼
TCP と UDP 88 クライアント CIDR Kerberos ユーザーとコンピュータの認証、フォレストレベルの信頼
TCP と UDP 389 クライアント CIDR LDAP ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼
TCP と UDP 445 クライアント CIDR SMB / CIFS レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼
TCP と UDP 464 クライアント CIDR Kerberos パスワードの変更 / 設定 レプリケーション、ユーザーとコンピュータの認証、信頼
TCP 135 クライアント CIDR レプリケーション RPC、EPM
TCP 636 クライアント CIDR LDAP SSL ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼
TCP 49152 - 65535 クライアント CIDR RPC レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼
TCP 3268 - 3269 クライアント CIDR LDAP GC および LDAP GC SSL ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼
TCP 9389 クライアント CIDR SOAP AD DS ウェブサービス
UDP 123 クライアント CIDR Windows タイム Windows タイム、信頼
UDP 138 クライアント CIDR DFSN と NetLogon DFS、グループポリシー

アウトバウンドルール

プロトコル ポート範囲 ソース トラフィックのタイプ Active Directory の使用
すべて すべて オンプレミス CIDR すべてのトラフィック