생성되는 내용 - AWS Directory Service

문서의 영문과 번역 사이에 충돌이 있는 경우에는 영문 버전을 따릅니다. 번역 버전은 기계 번역을 사용하여 제공합니다.

생성되는 내용

AWS Managed Microsoft AD에서 디렉터리를 생성하는 경우 AWS Directory Service에서 다음 작업이 자동으로 수행됩니다.

  • 자동으로 탄력적 네트워크 인터페이스(ENI)를 생성하여 각 도메인 컨트롤러에 연결합니다. 이러한 ENI는 VPC와 AWS Directory Service 도메인 컨트롤러 간의 연결에 필수적이며 삭제해서는 안 됩니다. “AWS에서 디렉터리 directory-id에 대해 생성한 네트워크 인터페이스"라는 설명으로 AWS Directory Service에 사용하도록 예약된 모든 네트워크 인터페이스를 식별할 수 있습니다. 자세한 내용은 Windows 인스턴스용 Amazon EC2 사용 설명서의 탄력적 네트워크 인터페이스를 참조하십시오.

  • 내결함성 및 고가용성을 위해 두 개의 도메인 컨트롤러를 사용하여 VPC 내에서 Active Directory를 프로비저닝합니다. 디렉터리가 성공적으로 생성되고 활성 상태가 되면 복원력 및 성능을 높이기 위해 더 많은 도메인 컨트롤러를 프로비저닝할 수 있습니다. 자세한 정보는 추가 도메인 컨트롤러 배포 단원을 참조하십시오.

  • 도메인 컨트롤러에서 들어오고 나가는 트래픽에 대한 네트워크 규칙을 설정하는 AWS 보안 그룹을 생성합니다. 기본 아웃바운드 규칙은 생성된 AWS 보안 그룹에 연결된 모든 트래픽 ENI 또는 인스턴스를 허용합니다. 기본 인바운드 규칙은 임의의 소스(0.0.0.0/0)에서 Active Directory에 필요한 포트를 통해 전달되는 트래픽만 허용합니다. 도메인 컨트롤러에 대한 트래픽이 VPC, 다른 피어링된 VPC 또는 AWS Direct Connect, AWS Transit Gateway 또는 가상 프라이빗 네트워크를 사용하여 연결한 네트워크에서의 트래픽으로 제한되므로 0.0.0.0/0 규칙은 보안 취약성을 발생시키지 않습니다. 보안을 강화하기 위해 생성된 ENI에는 탄력적 IP가 연결되어 있지 않으며 사용자에게 해당 ENI에 탄력적 IP를 연결할 수 있는 권한이 없습니다. 따라서 사용자 AWS Managed Microsoft AD와 통신할 수 있는 유일한 인바운드 트래픽은 로컬 VPC 및 VPC 라우팅 트래픽입니다. 이러한 규칙을 변경하면 도메인 컨트롤러와 통신하지 못할 수도 있으므로 특히 주의하십시오. 기본적으로 다음과 같은 AWS 보안 그룹 규칙이 생성됩니다.

    인바운드 규칙

    프로토콜 포트 범위 소스 트래픽 유형 Active Directory 사용
    ICMP 해당 사항 없음 0.0.0.0/0 Ping 없음
    TCP 및 UDP 53 0.0.0.0/0 DNS 사용자 및 컴퓨터 인증, 이름 확인, 신뢰
    TCP/UDP 88 0.0.0.0/0 Kerberos 사용자 및 컴퓨터 인증, 포리스트 수준 신뢰
    TCP/UDP 389 0.0.0.0/0 LDAP 디렉터리, 복제, 사용자 및 컴퓨터 인증, 그룹 정책, 신뢰
    TCP/UDP 445 0.0.0.0/0 SMB/CIFS 복제, 사용자 및 컴퓨터 인증, 그룹 정책, 신뢰
    TCP/UDP 464 0.0.0.0/0 Kerberos 암호 변경/설정 복제, 사용자 및 컴퓨터 인증, 신뢰
    TCP 135 0.0.0.0/0 복제 RPC, EPM
    TCP 636 0.0.0.0/0 LDAP SSL 디렉터리, 복제, 사용자 및 컴퓨터 인증, 그룹 정책, 신뢰
    TCP 1024~65535 0.0.0.0/0 RPC 복제, 사용자 및 컴퓨터 인증, 그룹 정책, 신뢰
    TCP 3268 - 3269 0.0.0.0/0 LDAP GC 및 LDAP GC SSL 디렉터리, 복제, 사용자 및 컴퓨터 인증, 그룹 정책, 신뢰
    UDP 123 0.0.0.0/0 Windows 시간 Windows 시간, 신뢰
    UDP 138 0.0.0.0/0 DFSN 및 NetLogon DFS, 그룹 정책
    전체 전체 sg-################## 모든 트래픽

    아웃바운드 규칙

    프로토콜 포트 범위 소스 트래픽 유형 Active Directory 사용
    전체 전체 sg-################## 모든 트래픽
  • 사용자 이름 Admin과 지정된 암호를 사용하여 디렉터리 관리자 계정을 생성합니다. 이 계정은 사용자 OU(예: Corp > 사용자) 아래에 있습니다. AWS 클라우드에서 이 계정을 사용하여 디렉터리를 관리할 수 있습니다. 자세한 정보는 관리자 계정 단원을 참조하십시오.

    중요

    반드시 이 암호를 저장해야 합니다. AWS Directory Service에서는 이 암호를 저장하지 않으므로 암호를 검색할 수 없습니다. 하지만 AWS Directory Service 콘솔에서 또는 ResetUserPassword API를 사용하여 암호를 재설정할 수 있습니다.

  • 도메인 루트 아래에 다음 3개의 조직 단위(OU)를 생성합니다.

    OU 이름 설명

    AWS 위임 그룹

    사용자에게 특정 AWS 권한을 위임하기 위해 사용할 수 있는 모든 그룹을 저장합니다.
    AWS 예약 모든 AWS 관리 관련 계정을 저장합니다.
    <yourdomainname> 이 OU의 이름은 디렉터리 생성 시 입력한 NetBIOS 이름에 근거를 둡니다. NetBIOS 이름을 지정하지 않을 경우 Directory DNS 이름의 첫 부분으로 기본 설정됩니다. 예를 들어, corp.example.com의 경우 NetBIOS 이름은 corp입니다. 이 OU는 AWS가 소유하며, Full Control(전체 제어)을 승인한 모든 AWS 관련 디렉터리 객체가 포함됩니다. 이 OU에는 기본적으로 컴퓨터와 사용자라는 하위 OU가 있습니다. 예: .
    • Corp

      • 컴퓨터

      • 사용자

  • AWS 위임된 그룹 OU에서 다음 그룹을 생성합니다.

    [Group name] 설명
    AWS 위임 계정 운영자 이 보안 그룹의 멤버는 암호 리셋 및 잠금 해제 등과 같은 제한된 계정 관리 기능을 갖습니다.

    AWS 위임 Active Directory 기반 정품 인증 관리자

    이 보안 그룹의 멤버는 Active Directory 볼륨 라이선스 정품 인증 객체를 생성할 수 있습니다. 그러면 기업에서 이 객체를 사용하여 도메인 연결을 통해 컴퓨터를 정품 인증할 수 있습니다.

    AWS 위임 도메인 사용자 워크스테이션 추가 이 보안 그룹의 멤버는 10개의 컴퓨터를 도메인에 조인할 수 있습니다.
    AWS 위임 관리자 이 보안 그룹의 멤버는 AWS Managed Microsoft AD를 관리할 수 있고, 해당 OU의 모든 객체에 대한 전체 제어 권한을 가지며, AWS 위임된 그룹 OU에 포함된 그룹을 관리할 수 있습니다.

    AWS 위임 삭제된 객체 수명 관리자

    이 보안 그룹의 멤버는 msDS-DeletedObjectLifetime 객체를 수정할 수 있으며, 이 객체는 AD 휴지통에서 삭제된 객체를 복구할 수 있는 기간을 정의합니다.

    AWS 위임 분산 파일 시스템 관리자 이 보안 그룹의 멤버는 FRS, DFS-R 및 DFS 이름 공간을 추가하고 제거할 수 있습니다.
    AWS 위임 도메인 이름 시스템 관리자 이 보안 그룹의 멤버는 Active Directory 통합 DNS를 관리할 수 있습니다.
    AWS 위임 동적 호스트 구성 프로토콜 관리자 이 보안 그룹의 멤버는 기업의 Windows DHCP 서버에 권한을 부여할 수 있습니다.
    AWS 위임 엔터프라이즈 인증 기관 관리자 이 보안 그룹의 멤버는 Microsoft Enterprise Certificate Authority 인프라를 배포하고 관리할 수 있습니다.
    AWS 위임 세분화된 암호 정책 관리자 이 보안 그룹의 멤버는 사전에 생성된 세분화된 암호 정책을 수정할 수 있습니다.
    AWS 위임 그룹 정책 관리자 이 보안 그룹의 멤버는 그룹 정책 관리 작업(생성, 편집, 삭제, 연결)을 수행할 수 있습니다.
    AWS 위임 Kerberos 위임 관리자 이 보안 그룹의 멤버는 컴퓨터 및 사용자 계정 객체에 대한 위임을 활성화할 수 있습니다.
    AWS 위임 관리형 서비스 계정 관리자 이 보안 그룹의 멤버는 관리형 서비스 계정을 생성하고 삭제할 수 있습니다.
    AWS 위임 원격 액세스 서비스 관리자 이 보안 그룹의 멤버는 RAS 및 IAS 서버 그룹에서 RAS 서버를 추가하고 제거할 수 있습니다.
    AWS 위임 디렉터리 변경 복제 관리자 이 보안 그룹의 멤버는 Active Directory의 프로파일 정보를 SharePoint Server와 동기화할 수 있습니다.
    AWS 위임 서버 관리자 이 보안 그룹의 멤버는 모든 도메인 조인 컴퓨터의 로컬 관리자 그룹에 포함됩니다.
    AWS 위임 사이트 및 서비스 관리자 이 보안 그룹의 멤버는 Active Directory 사이트 및 서비스에서 Default-First-Site-Name 객체의 이름을 변경할 수 있습니다.

    AWS 위임 시스템 관리 관리자

    이 보안 그룹의 멤버는 시스템 관리 컨테이너에서 객체를 생성하고 관리할 수 있습니다.

    AWS 위임 터미널 서버 라이선싱 관리자 이 보안 그룹의 멤버는 터미널 서버 라이선스 서버 그룹에서 터미널 서버 라이선스 서버를 추가하고 제거할 수 있습니다.
    AWS 위임 사용자 보안 주체 이름 접미사 관리자 이 보안 그룹의 멤버는 사용자 보안 주체 이름 접미사를 추가하고 제거할 수 있습니다.
    AWS 위임된 FSx 관리자 이 보안 그룹의 멤버에게는 Amazon FSx 리소스를 관리할 수 있는 기능이 제공됩니다.
    객체를 인증할 수 있는 AWS 위임 이 보안 그룹의 멤버에게는 AWS 예약 OU의 컴퓨터 리소스에 대해 인증할 수 있는 기능이 제공됩니다(선택적 인증이 설정된 신뢰가 있는 온프레미스 객체에만 필요).
    도메인 컨트롤러에 대해 인증할 수 있는 AWS 위임 이 보안 그룹의 멤버에게는 도메인 컨트롤러 OU의 컴퓨터 리소스에 대해 인증할 수 있는 기능이 제공됩니다(선택적 인증이 설정된 신뢰가 있는 온프레미스 객체에만 필요).
  • 다음 GPO(그룹 정책 객체)를 생성하고 적용합니다.

    참고

    이러한 GPO를 삭제, 수정 또는 연결 해제할 권한이 없습니다. 이는 AWS 사용 전용이므로 설계상입니다. 필요한 경우 사용자가 제어하는 OU에 연결할 수 있습니다.

    그룹 정책 이름 적용 대상: 설명
    기본 도메인 정책 도메인 도메인 암호 및 Kerberos 정책을 포함합니다.
    ServerAdmins 모든 비도메인 컨트롤러 컴퓨터 계정 ‘AWS 위임된 서버 관리자'를 BUILTIN\Administrators Group의 멤버로 추가합니다.
    AWS 예약 정책:사용자 AWS 예약 사용자 계정 AWS 예약 OU의 모든 사용자 계정에 대해 권장되는 보안 설정을 지정합니다.
    AWS Managed Active Directory 정책 모든 도메인 컨트롤러 모든 도메인 컨트롤러에 대해 권장되는 보안 설정을 지정합니다.
    TimePolicyNT5DS 모든 비PDCe 도메인 컨트롤러 모든 비PDCe 도메인 컨트롤러 시간 정책에서 Windows 시간(NT5DS)을 사용하도록 설정합니다.
    TimePolicyPDC PDCe 도메인 컨트롤러 PDCe 도메인 컨트롤러의 시간 정책에서 NTP(Network Time Protocol)를 사용하도록 설정합니다.
    기본 도메인 컨트롤러 정책 사용하지 않음 도메인 생성 중에 프로비저닝된 AWS Managed Active Directory 정책이 그 자리에 사용됩니다.

    각 GPO의 설정을 보려면 GPMC(그룹 정책 관리 콘솔)를 설정한 상태에서 도메인에 조인된 Windows 인스턴스에서 해당 설정을 볼 수 있습니다.