Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Mejora de la configuración de seguridad de la red AWS gestionada de Microsoft AD
El grupo de AWS seguridad que se aprovisiona para el directorio de Microsoft AD AWS administrado está configurado con los puertos de red de entrada mínimos necesarios para admitir todos los casos de uso conocidos del directorio de AWS Microsoft AD administrado. Para obtener más información sobre el grupo de AWS seguridad aprovisionado, consulte. ¿Qué se crea con AWS Managed Microsoft AD?
Para mejorar aún más la seguridad de la red del directorio AWS administrado de Microsoft AD, puede modificar el grupo de AWS seguridad en función de los siguientes escenarios comunes.
CIDR de los controladores de dominio del cliente: en este bloque de CIDR se encuentran los controladores de dominio locales de su dominio.
CIDR del cliente: este bloque CIDR es el lugar donde sus clientes, como ordenadores o usuarios, se autentican en su AWS Microsoft AD administrado. Los controladores de dominio AWS gestionados de Microsoft AD también residen en este bloque CIDR.
Escenarios
AWS las aplicaciones solo son compatibles
Todas las cuentas de usuario se aprovisionan únicamente en su Microsoft AD AWS administrado para usarlas con AWS las aplicaciones compatibles, como las siguientes:
-
Amazon Chime
-
Amazon Connect
-
Amazon QuickSight
-
AWS IAM Identity Center
-
Amazon WorkDocs
-
Amazon WorkMail
-
AWS Client VPN
-
AWS Management Console
Puede usar la siguiente configuración de grupo AWS de seguridad para bloquear todo el tráfico no esencial a sus controladores de dominio AWS gestionados de Microsoft AD.
nota
-
Lo siguiente no es compatible con esta configuración de grupo AWS de seguridad:
-
EC2 Instancias de Amazon
-
Amazon FSx
-
Amazon RDS para MySQL
-
Amazon RDS para Oracle
-
Amazon RDS para PostgreSQL
-
Amazon RDS para SQL Server
-
WorkSpaces
-
Relaciones de confianza de Active Directory
-
Clientes o servidores unidos al dominio
-
Reglas entrantes
Ninguna.
Reglas salientes
Ninguna.
AWS aplicaciones solo con soporte de confianza
Todas las cuentas de usuario se aprovisionan en su Microsoft AD AWS administrado o Active Directory de confianza para usarlas con AWS las aplicaciones compatibles, como las siguientes:
-
Amazon Chime
-
Amazon Connect
-
Amazon QuickSight
-
AWS IAM Identity Center
-
Amazon WorkDocs
-
Amazon WorkMail
-
Amazon WorkSpaces
-
AWS Client VPN
-
AWS Management Console
Puede modificar la configuración del grupo de AWS seguridad aprovisionado para bloquear todo el tráfico no esencial dirigido a sus controladores de dominio gestionados de AWS Microsoft AD.
nota
-
Lo siguiente no es compatible con esta configuración de grupo AWS de seguridad:
-
EC2 Instancias de Amazon
-
Amazon FSx
-
Amazon RDS para MySQL
-
Amazon RDS para Oracle
-
Amazon RDS para PostgreSQL
-
Amazon RDS para SQL Server
-
WorkSpaces
-
Relaciones de confianza de Active Directory
-
Clientes o servidores unidos al dominio
-
-
Esta configuración requiere que se asegure de que la red de los «controladores de dominio del cliente (CIDR)» sea segura.
-
TCP 445 se utiliza solo para la creación de relaciones de confianza y se puede eliminar una vez establecida la relación de confianza.
-
TCP 636 solo se requiere cuando LDAP a través de SSL está en uso.
Reglas entrantes
| Protocolo | Intervalo de puertos | Origen | Tipo de tráfico | Uso de Active Directory |
|---|---|---|---|---|
| TCP y UDP | 53 | Controladores de dominio del cliente (CIDR) | DNS | Autenticación de usuarios y equipos, resolución de nombres, relaciones de confianza |
| TCP y UDP | 88 | Controladores de dominio del cliente (CIDR) | Kerberos | Autenticación de usuarios y equipos, relaciones de confianza de nivel de bosque |
| TCP y UDP | 389 | Controladores de dominio del cliente (CIDR) | LDAP | Política de grupo de autenticación de directorios, replicación, usuarios y equipos, relaciones de confianza |
| TCP y UDP | 464 | Controladores de dominio del cliente (CIDR) | Cambiar/establecer contraseña de Kerberos | Replicación, autenticación de usuarios y equipos, relaciones de confianza |
| TCP | 445 | Controladores de dominio del cliente (CIDR) | SMB/CIFS | Replicación, autenticación de usuarios y equipos, relaciones de confianza de políticas de grupo |
| TCP | 135 | Controladores de dominio del cliente (CIDR) | Replicación | RPC, EPM |
| TCP | 636 | Controladores de dominio del cliente (CIDR) | LDAP SSL | Política de grupo de autenticación de directorios, replicación, usuarios y equipos, relaciones de confianza |
| TCP | 49152 - 65535 | Controladores de dominio del cliente (CIDR) | RPC | Replicación, autenticación de usuarios y equipos, política de grupo, relaciones de confianza |
| TCP | 3268 - 3269 | Controladores de dominio del cliente (CIDR) | LDAP GC y LDAP GC SSL | Política de grupo de autenticación de directorios, replicación, usuarios y equipos, relaciones de confianza |
| UDP | 123 | Controladores de dominio del cliente (CIDR) | Hora de Windows | Hora de Windows, relaciones de confianza |
Reglas salientes
| Protocolo | Intervalo de puertos | Origen | Tipo de tráfico | Uso de Active Directory |
|---|---|---|---|---|
| Todos | Todos | Controladores de dominio del cliente (CIDR) | Todo el tráfico |
AWS compatibilidad con aplicaciones y cargas de trabajo nativas de Active Directory
Las cuentas de usuario se aprovisionan únicamente en su Microsoft AD AWS administrado para usarlas con AWS aplicaciones compatibles, como las siguientes:
-
Amazon Chime
-
Amazon Connect
-
EC2 Instancias de Amazon
-
Amazon FSx
-
Amazon QuickSight
-
Amazon RDS para MySQL
-
Amazon RDS para Oracle
-
Amazon RDS para PostgreSQL
-
Amazon RDS para SQL Server
-
AWS IAM Identity Center
-
Amazon WorkDocs
-
Amazon WorkMail
-
WorkSpaces
-
AWS Client VPN
-
AWS Management Console
Puede modificar la configuración del grupo de AWS seguridad aprovisionado para bloquear todo el tráfico no esencial dirigido a sus controladores de dominio gestionados de AWS Microsoft AD.
nota
-
Active Directory no se pueden crear ni mantener confianzas entre el directorio AWS administrado de Microsoft AD y los controladores de dominio del cliente CIDR.
-
Requiere que se asegure de que la red «CIDR cliente-cliente» sea segura.
-
TCP 636 solo se requiere cuando LDAP a través de SSL está en uso.
-
Si desea utilizar una CA empresarial con esta configuración, deberá crear una regla de salida “TCP, 443, CA CIDR”.
Reglas entrantes
| Protocolo | Intervalo de puertos | Origen | Tipo de tráfico | Uso de Active Directory |
|---|---|---|---|---|
| TCP y UDP | 53 | Cliente: cliente: CIDR | DNS | Autenticación de usuarios y equipos, resolución de nombres, relaciones de confianza |
| TCP y UDP | 88 | Cliente-cliente CIDR | Kerberos | Autenticación de usuarios y equipos, relaciones de confianza de nivel de bosque |
| TCP y UDP | 389 | Cliente-cliente CIDR | LDAP | Política de grupo de autenticación de directorios, replicación, usuarios y equipos, relaciones de confianza |
| TCP y UDP | 445 | Cliente-cliente CIDR | SMB/CIFS | Replicación, autenticación de usuarios y equipos, relaciones de confianza de políticas de grupo |
| TCP y UDP | 464 | Cliente-cliente CIDR | Cambiar/establecer contraseña de Kerberos | Replicación, autenticación de usuarios y equipos, relaciones de confianza |
| TCP | 135 | Cliente-cliente CIDR | Replicación | RPC, EPM |
| TCP | 636 | Cliente-cliente CIDR | LDAP SSL | Política de grupo de autenticación de directorios, replicación, usuarios y equipos, relaciones de confianza |
| TCP | 49152 - 65535 | Cliente-cliente CIDR | RPC | Replicación, autenticación de usuarios y equipos, política de grupo, relaciones de confianza |
| TCP | 3268 - 3269 | Cliente-cliente CIDR | LDAP GC y LDAP GC SSL | Política de grupo de autenticación de directorios, replicación, usuarios y equipos, relaciones de confianza |
| TCP | 9389 | Cliente-cliente CIDR | SOAP | Servicios web de AD DS |
| UDP | 123 | Cliente-cliente CIDR | Hora de Windows | Hora de Windows, relaciones de confianza |
| UDP | 138 | Cliente-cliente CIDR | DFSN & NetLogon | DFS, política de grupo |
Reglas salientes
Ninguna.
AWS soporte para aplicaciones y cargas de trabajo nativas de Active Directory con soporte de confianza
Todas las cuentas de usuario se aprovisionan en su Microsoft AD AWS administrado o Active Directory de confianza para usarlas con AWS las aplicaciones compatibles, como las siguientes:
-
Amazon Chime
-
Amazon Connect
-
EC2 Instancias de Amazon
-
Amazon FSx
-
Amazon QuickSight
-
Amazon RDS para MySQL
-
Amazon RDS para Oracle
-
Amazon RDS para PostgreSQL
-
Amazon RDS para SQL Server
-
AWS IAM Identity Center
-
Amazon WorkDocs
-
Amazon WorkMail
-
WorkSpaces
-
AWS Client VPN
-
AWS Management Console
Puede modificar la configuración del grupo de AWS seguridad aprovisionado para bloquear todo el tráfico no esencial dirigido a sus controladores de dominio gestionados de AWS Microsoft AD.
nota
-
Requiere que se asegure de que las redes de «controladores de dominio de cliente CIDR» y «CIDR de cliente cliente» sean seguras.
-
El TCP 445 con el «CIDR de controladores de dominio del cliente» se usa únicamente para crear confianza y se puede eliminar una vez que se haya establecido la confianza.
-
El TCP 445 con el «CIDR del cliente» debe dejarse abierto, ya que es necesario para el procesamiento de políticas de grupo.
-
TCP 636 solo se requiere cuando LDAP a través de SSL está en uso.
-
Si desea utilizar una CA empresarial con esta configuración, deberá crear una regla de salida “TCP, 443, CA CIDR”.
Reglas entrantes
| Protocolo | Intervalo de puertos | Origen | Tipo de tráfico | Uso de Active Directory |
|---|---|---|---|---|
| TCP y UDP | 53 | Controladores de dominio del cliente (CIDR) | DNS | Autenticación de usuarios y equipos, resolución de nombres, relaciones de confianza |
| TCP y UDP | 88 | Controladores de dominio del cliente (CIDR) | Kerberos | Autenticación de usuarios y equipos, relaciones de confianza de nivel de bosque |
| TCP y UDP | 389 | Controladores de dominio del cliente (CIDR) | LDAP | Política de grupo de autenticación de directorios, replicación, usuarios y equipos, relaciones de confianza |
| TCP y UDP | 464 | Controladores de dominio del cliente (CIDR) | Cambiar/establecer contraseña de Kerberos | Replicación, autenticación de usuarios y equipos, relaciones de confianza |
| TCP | 445 | Controladores de dominio del cliente (CIDR) | SMB/CIFS | Replicación, autenticación de usuarios y equipos, relaciones de confianza de políticas de grupo |
| TCP | 135 | Controladores de dominio del cliente (CIDR) | Replicación | RPC, EPM |
| TCP | 636 | Controladores de dominio del cliente (CIDR) | LDAP SSL | Política de grupo de autenticación de directorios, replicación, usuarios y equipos, relaciones de confianza |
| TCP | 49152 - 65535 | Controladores de dominio del cliente (CIDR) | RPC | Replicación, autenticación de usuarios y equipos, política de grupo, relaciones de confianza |
| TCP | 3268 - 3269 | Controladores de dominio del cliente (CIDR) | LDAP GC y LDAP GC SSL | Política de grupo de autenticación de directorios, replicación, usuarios y equipos, relaciones de confianza |
| UDP | 123 | Controladores de dominio del cliente (CIDR) | Hora de Windows | Hora de Windows, relaciones de confianza |
| TCP y UDP | 53 | Controladores de dominio del cliente (CIDR) | DNS | Autenticación de usuarios y equipos, resolución de nombres, relaciones de confianza |
| TCP y UDP | 88 | Controladores de dominio del cliente (CIDR) | Kerberos | Autenticación de usuarios y equipos, relaciones de confianza de nivel de bosque |
| TCP y UDP | 389 | Controladores de dominio del cliente (CIDR) | LDAP | Política de grupo de autenticación de directorios, replicación, usuarios y equipos, relaciones de confianza |
| TCP y UDP | 445 | Controladores de dominio del cliente (CIDR) | SMB/CIFS | Replicación, autenticación de usuarios y equipos, relaciones de confianza de políticas de grupo |
| TCP y UDP | 464 | Controladores de dominio del cliente (CIDR) | Cambiar/establecer contraseña de Kerberos | Replicación, autenticación de usuarios y equipos, relaciones de confianza |
| TCP | 135 | Controladores de dominio del cliente (CIDR) | Replicación | RPC, EPM |
| TCP | 636 | Controladores de dominio del cliente (CIDR) | LDAP SSL | Política de grupo de autenticación de directorios, replicación, usuarios y equipos, relaciones de confianza |
| TCP | 49152 - 65535 | Controladores de dominio del cliente (CIDR) | RPC | Replicación, autenticación de usuarios y equipos, política de grupo, relaciones de confianza |
| TCP | 3268 - 3269 | Controladores de dominio del cliente (CIDR) | LDAP GC y LDAP GC SSL | Política de grupo de autenticación de directorios, replicación, usuarios y equipos, relaciones de confianza |
| TCP | 9389 | Controladores de dominio del cliente (CIDR) | SOAP | Servicios web de AD DS |
| UDP | 123 | Controladores de dominio del cliente (CIDR) | Hora de Windows | Hora de Windows, relaciones de confianza |
| UDP | 138 | Controladores de dominio del cliente (CIDR) | DFSN Y NetLogon | DFS, política de grupo |
Reglas salientes
| Protocolo | Intervalo de puertos | Origen | Tipo de tráfico | Uso de Active Directory |
|---|---|---|---|---|
| Todos | Todos | Controladores de dominio del cliente (CIDR) | Todo el tráfico |
