Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Mejora de la configuración de seguridad de la red AWS gestionada de Microsoft AD
El grupo de AWS seguridad que se aprovisiona para el directorio de Microsoft AD AWS administrado está configurado con los puertos de red de entrada mínimos necesarios para admitir todos los casos de uso conocidos del directorio de AWS Microsoft AD administrado. Para obtener más información sobre el grupo de AWS seguridad aprovisionado, consulte. Qué se crea con su Microsoft AD AWS administrado
Para mejorar aún más la seguridad de la red del directorio AWS administrado de Microsoft AD, puede modificar el grupo de AWS seguridad en función de los siguientes escenarios comunes.
Escenarios
AWS las aplicaciones solo son compatibles
Todas las cuentas de usuario se aprovisionan únicamente en su Microsoft AD AWS administrado para usarlas con AWS las aplicaciones compatibles, como las siguientes:
Amazon Chime
Amazon Connect
Amazon QuickSight
AWS IAM Identity Center
Amazon WorkDocs
Amazon WorkMail
AWS Client VPN
AWS Management Console
Puede usar la siguiente configuración de grupo AWS de seguridad para bloquear todo el tráfico no esencial a sus controladores de dominio AWS gestionados de Microsoft AD.
nota
Lo siguiente no es compatible con esta configuración de grupo AWS de seguridad:
EC2Instancias de Amazon
Amazon FSx
Amazon RDS para mi SQL
Amazon RDS para Oracle
Amazon RDS para Postgre SQL
Amazon RDS para SQL servidores
WorkSpaces
Relaciones de confianza de Active Directory
Clientes o servidores unidos al dominio
Reglas entrantes
Ninguna.
Reglas salientes
Ninguna.
AWS aplicaciones solo con soporte de confianza
Todas las cuentas de usuario se aprovisionan en su Microsoft AD AWS administrado o Active Directory de confianza para usarlas con AWS las aplicaciones compatibles, como las siguientes:
Amazon Chime
Amazon Connect
Amazon QuickSight
AWS IAM Identity Center
Amazon WorkDocs
Amazon WorkMail
Amazon WorkSpaces
AWS Client VPN
AWS Management Console
Puede modificar la configuración del grupo de AWS seguridad aprovisionado para bloquear todo el tráfico no esencial dirigido a sus controladores de dominio gestionados de AWS Microsoft AD.
nota
Lo siguiente no es compatible con esta configuración de grupo AWS de seguridad:
EC2Instancias de Amazon
Amazon FSx
Amazon RDS para mi SQL
Amazon RDS para Oracle
Amazon RDS para Postgre SQL
Amazon RDS para SQL servidores
WorkSpaces
Relaciones de confianza de Active Directory
Clientes o servidores unidos al dominio
-
Esta configuración requiere que se asegure de que la red «localCIDR» sea segura.
-
TCP445 se usa solo para crear confianza y se puede eliminar una vez que se haya establecido la confianza.
-
TCPEl 636 solo es obligatorio cuando se SSL está utilizando LDAP Over.
Reglas entrantes
| Protocolo | Intervalo de puertos | Origen | Tipo de tráfico | Uso de Active Directory |
|---|---|---|---|---|
| TCP & UDP | 53 | En las instalaciones CIDR | DNS | Autenticación de usuarios y equipos, resolución de nombres, relaciones de confianza |
| TCP & UDP | 88 | En las instalaciones CIDR | Kerberos | Autenticación de usuarios y equipos, relaciones de confianza de nivel de bosque |
| TCP & UDP | 389 | En las instalaciones CIDR | LDAP | Política de grupo de autenticación de directorios, replicación, usuarios y equipos, relaciones de confianza |
| TCP & UDP | 464 | En las instalaciones CIDR | Cambiar/establecer contraseña de Kerberos | Replicación, autenticación de usuarios y equipos, relaciones de confianza |
| TCP | 445 | En las instalaciones CIDR | SMB / CIFS | Replicación, autenticación de usuarios y equipos, relaciones de confianza de políticas de grupo |
| TCP | 135 | En las instalaciones CIDR | Replicación | RPC, EPM |
| TCP | 636 | En las instalaciones CIDR | LDAP SSL | Política de grupo de autenticación de directorios, replicación, usuarios y equipos, relaciones de confianza |
| TCP | 49152 - 65535 | En las instalaciones CIDR | RPC | Replicación, autenticación de usuarios y equipos, política de grupo, relaciones de confianza |
| TCP | 3268 - 3269 | En las instalaciones CIDR | LDAPGC y GC LDAP SSL | Política de grupo de autenticación de directorios, replicación, usuarios y equipos, relaciones de confianza |
| UDP | 123 | En las instalaciones CIDR | Hora de Windows | Hora de Windows, relaciones de confianza |
Reglas salientes
| Protocolo | Intervalo de puertos | Origen | Tipo de tráfico | Uso de Active Directory |
|---|---|---|---|---|
| Todos | Todos | En las instalaciones CIDR | Todo el tráfico |
AWS soporte para aplicaciones y cargas de trabajo nativas de Active Directory
Las cuentas de usuario se aprovisionan únicamente en su Microsoft AD AWS administrado para usarlas con AWS las aplicaciones compatibles, como las siguientes:
Amazon Chime
Amazon Connect
EC2Instancias de Amazon
Amazon FSx
Amazon QuickSight
Amazon RDS para mi SQL
Amazon RDS para Oracle
Amazon RDS para Postgre SQL
Amazon RDS para SQL servidores
AWS IAM Identity Center
Amazon WorkDocs
Amazon WorkMail
WorkSpaces
AWS Client VPN
AWS Management Console
Puede modificar la configuración del grupo de AWS seguridad aprovisionado para bloquear todo el tráfico no esencial dirigido a sus controladores de dominio gestionados de AWS Microsoft AD.
nota
No se pueden crear ni mantener confianzas de Active Directory entre el directorio AWS administrado de Microsoft AD y el dominio local.
Requiere que se asegure de que la red del «clienteCIDR» sea segura.
TCPEl 636 solo es obligatorio cuando se SSL está utilizando LDAP Over.
Si desea utilizar una CA empresarial con esta configuración, tendrá que crear una regla de salida «TCP, 443, CACIDR».
Reglas entrantes
| Protocolo | Intervalo de puertos | Origen | Tipo de tráfico | Uso de Active Directory |
|---|---|---|---|---|
| TCP & UDP | 53 | Cliente CIDR | DNS | Autenticación de usuarios y equipos, resolución de nombres, relaciones de confianza |
| TCP & UDP | 88 | Cliente CIDR | Kerberos | Autenticación de usuarios y equipos, relaciones de confianza de nivel de bosque |
| TCP & UDP | 389 | Cliente CIDR | LDAP | Política de grupo de autenticación de directorios, replicación, usuarios y equipos, relaciones de confianza |
| TCP & UDP | 445 | Cliente CIDR | SMB / CIFS | Replicación, autenticación de usuarios y equipos, relaciones de confianza de políticas de grupo |
| TCP & UDP | 464 | Cliente CIDR | Cambiar/establecer contraseña de Kerberos | Replicación, autenticación de usuarios y equipos, relaciones de confianza |
| TCP | 135 | Cliente CIDR | Replicación | RPC, EPM |
| TCP | 636 | Cliente CIDR | LDAP SSL | Política de grupo de autenticación de directorios, replicación, usuarios y equipos, relaciones de confianza |
| TCP | 49152 - 65535 | Cliente CIDR | RPC | Replicación, autenticación de usuarios y equipos, política de grupo, relaciones de confianza |
| TCP | 3268 - 3269 | Cliente CIDR | LDAPGC y LDAP GC SSL | Política de grupo de autenticación de directorios, replicación, usuarios y equipos, relaciones de confianza |
| TCP | 9389 | Cliente CIDR | SOAP | Servicios web de AD DS |
| UDP | 123 | Cliente CIDR | Hora de Windows | Hora de Windows, relaciones de confianza |
| UDP | 138 | Cliente CIDR | DFSN & NetLogon | DFS, política de grupo |
Reglas salientes
Ninguna.
AWS compatibilidad con aplicaciones y cargas de trabajo nativas de Active Directory con soporte de confianza
Todas las cuentas de usuario se aprovisionan en su Microsoft AD AWS administrado o Active Directory de confianza para usarlas con AWS las aplicaciones compatibles, como las siguientes:
Amazon Chime
Amazon Connect
EC2Instancias de Amazon
Amazon FSx
Amazon QuickSight
Amazon RDS para mi SQL
Amazon RDS para Oracle
Amazon RDS para Postgre SQL
Amazon RDS para SQL servidores
AWS IAM Identity Center
Amazon WorkDocs
Amazon WorkMail
WorkSpaces
AWS Client VPN
AWS Management Console
Puede modificar la configuración del grupo de AWS seguridad aprovisionado para bloquear todo el tráfico no esencial dirigido a sus controladores de dominio gestionados de AWS Microsoft AD.
nota
Requiere que se asegure de que las redes «localesCIDR» y «clienteCIDR» sean seguras.
TCPLa versión 445 con la opción «localCIDR» se usa solo para crear confianza y se puede eliminar una vez que se haya establecido la confianza.
TCP445 con la palabra «ClienteCIDR» debe dejarse abierta, ya que es necesaria para el procesamiento de la política de grupo.
TCPEl número 636 solo es obligatorio cuando se SSL está utilizando LDAP Over.
Si desea utilizar una CA empresarial con esta configuración, tendrá que crear una regla de salida «TCP, 443, CACIDR».
Reglas entrantes
| Protocolo | Intervalo de puertos | Origen | Tipo de tráfico | Uso de Active Directory |
|---|---|---|---|---|
| TCP & UDP | 53 | En las instalaciones CIDR | DNS | Autenticación de usuarios y equipos, resolución de nombres, relaciones de confianza |
| TCP & UDP | 88 | En las instalaciones CIDR | Kerberos | Autenticación de usuarios y equipos, relaciones de confianza de nivel de bosque |
| TCP & UDP | 389 | En las instalaciones CIDR | LDAP | Política de grupo de autenticación de directorios, replicación, usuarios y equipos, relaciones de confianza |
| TCP & UDP | 464 | En las instalaciones CIDR | Cambiar/establecer contraseña de Kerberos | Replicación, autenticación de usuarios y equipos, relaciones de confianza |
| TCP | 445 | En las instalaciones CIDR | SMB / CIFS | Replicación, autenticación de usuarios y equipos, relaciones de confianza de políticas de grupo |
| TCP | 135 | En las instalaciones CIDR | Replicación | RPC, EPM |
| TCP | 636 | En las instalaciones CIDR | LDAP SSL | Política de grupo de autenticación de directorios, replicación, usuarios y equipos, relaciones de confianza |
| TCP | 49152 - 65535 | En las instalaciones CIDR | RPC | Replicación, autenticación de usuarios y equipos, política de grupo, relaciones de confianza |
| TCP | 3268 - 3269 | En las instalaciones CIDR | LDAPGC y GC LDAP SSL | Política de grupo de autenticación de directorios, replicación, usuarios y equipos, relaciones de confianza |
| UDP | 123 | En las instalaciones CIDR | Hora de Windows | Hora de Windows, relaciones de confianza |
| TCP & UDP | 53 | Cliente CIDR | DNS | Autenticación de usuarios y equipos, resolución de nombres, relaciones de confianza |
| TCP & UDP | 88 | Cliente CIDR | Kerberos | Autenticación de usuarios y equipos, relaciones de confianza de nivel de bosque |
| TCP & UDP | 389 | Cliente CIDR | LDAP | Política de grupo de autenticación de directorios, replicación, usuarios y equipos, relaciones de confianza |
| TCP & UDP | 445 | Cliente CIDR | SMB / CIFS | Replicación, autenticación de usuarios y equipos, relaciones de confianza de políticas de grupo |
| TCP & UDP | 464 | Cliente CIDR | Cambiar/establecer contraseña de Kerberos | Replicación, autenticación de usuarios y equipos, relaciones de confianza |
| TCP | 135 | Cliente CIDR | Replicación | RPC, EPM |
| TCP | 636 | Cliente CIDR | LDAP SSL | Política de grupo de autenticación de directorios, replicación, usuarios y equipos, relaciones de confianza |
| TCP | 49152 - 65535 | Cliente CIDR | RPC | Replicación, autenticación de usuarios y equipos, política de grupo, relaciones de confianza |
| TCP | 3268 - 3269 | Cliente CIDR | LDAPGC y LDAP GC SSL | Política de grupo de autenticación de directorios, replicación, usuarios y equipos, relaciones de confianza |
| TCP | 9389 | Cliente CIDR | SOAP | Servicios web de AD DS |
| UDP | 123 | Cliente CIDR | Hora de Windows | Hora de Windows, relaciones de confianza |
| UDP | 138 | Cliente CIDR | DFSN & NetLogon | DFS, política de grupo |
Reglas salientes
| Protocolo | Intervalo de puertos | Origen | Tipo de tráfico | Uso de Active Directory |
|---|---|---|---|---|
| Todos | Todos | Local CIDR | Todo el tráfico |
