Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Amélioration de la configuration de sécurité de votre réseau AWS Managed Microsoft AD
Le groupe AWS de sécurité configuré pour le répertoire Microsoft AD AWS géré est configuré avec le minimum de ports réseau entrants requis pour prendre en charge tous les cas d'utilisation connus de votre répertoire AWS Microsoft AD géré. Pour plus d'informations sur le groupe de AWS sécurité provisionné, consultezQu'est-ce qui est créé avec votre Microsoft AD AWS géré.
Pour améliorer encore la sécurité réseau de votre annuaire Microsoft AD AWS géré, vous pouvez modifier le groupe AWS de sécurité en fonction des scénarios courants suivants.
Scénarios
- AWS prise en charge des applications uniquement
- AWS applications uniquement avec support de confiance
- AWS support natif des applications et de la charge de travail Active Directory
- AWS prise en charge des applications et de la charge de travail Active Directory native avec prise en charge de la confiance
AWS prise en charge des applications uniquement
Tous les comptes utilisateur sont configurés uniquement dans votre Microsoft AD AWS géré pour être utilisés avec les AWS applications prises en charge, telles que les suivantes :
Amazon Chime
Amazon Connect
Amazon QuickSight
AWS IAM Identity Center
Amazon WorkDocs
Amazon WorkMail
AWS Client VPN
AWS Management Console
Vous pouvez utiliser la configuration AWS de groupe de sécurité suivante pour bloquer tout le trafic non essentiel vers vos contrôleurs de domaine Microsoft AD AWS gérés.
Note
Les éléments suivants ne sont pas compatibles avec cette configuration AWS de groupe de sécurité :
EC2Instances Amazon
Amazon FSx
Amazon RDS pour moi SQL
Amazon RDS pour Oracle
Amazon RDS pour Postgrer SQL
Amazon RDS pour SQL serveur
WorkSpaces
Active Directory approuve
Clients ou serveurs joints au domaine
Règles entrantes
Aucune.
Règles sortantes
Aucune.
AWS applications uniquement avec support de confiance
Tous les comptes utilisateur sont configurés dans votre Microsoft AD AWS géré ou dans votre Active Directory approuvé pour être utilisés avec les AWS applications prises en charge, telles que les suivantes :
Amazon Chime
Amazon Connect
Amazon QuickSight
AWS IAM Identity Center
Amazon WorkDocs
Amazon WorkMail
Amazon WorkSpaces
AWS Client VPN
AWS Management Console
Vous pouvez modifier la configuration du groupe AWS de sécurité provisionné pour bloquer tout le trafic non essentiel vers vos contrôleurs de domaine AWS Microsoft AD gérés.
Note
Les éléments suivants ne sont pas compatibles avec cette configuration AWS de groupe de sécurité :
EC2Instances Amazon
Amazon FSx
Amazon RDS pour moi SQL
Amazon RDS pour Oracle
Amazon RDS pour Postgrer SQL
Amazon RDS pour SQL serveur
WorkSpaces
Active Directory approuve
Clients ou serveurs joints au domaine
-
Cette configuration nécessite que vous vous assuriez que le réseau « sur site CIDR » est sécurisé.
-
TCP445 est utilisé uniquement pour la création de confiance et peut être supprimé une fois que le trust a été établi.
-
TCPLe 636 n'est requis qu'en LDAP cas SSL d'utilisation ultérieure.
Règles entrantes
| Protocole | Plage de ports | Source | Type de trafic | Utilisation d'Active Directory |
|---|---|---|---|---|
| TCP & UDP | 53 | Sur site CIDR | DNS | Authentification d'utilisateur et d'ordinateur, résolution de noms, approbations |
| TCP & UDP | 88 | Sur site CIDR | Kerberos | Authentification d'utilisateur et d'ordinateur, approbations au niveau de la forêt |
| TCP & UDP | 389 | Sur site CIDR | LDAP | Directory, réplication, stratégie de groupe d'authentification d'utilisateur et d'ordinateur, approbations |
| TCP & UDP | 464 | Sur site CIDR | Mot de passe Kerberos (modification/définition) | Réplication, authentification d'utilisateur et d'ordinateur, approbations |
| TCP | 445 | Sur site CIDR | SMB / CIFS | Réplication, authentification d'utilisateur et d'ordinateur, approbations de stratégie de groupe |
| TCP | 135 | Sur site CIDR | Réplication | RPC, EPM |
| TCP | 636 | Sur site CIDR | LDAP SSL | Directory, réplication, stratégie de groupe d'authentification d'utilisateur et d'ordinateur, approbations |
| TCP | 49152 - 65535 | Sur site CIDR | RPC | Réplication, authentification d'utilisateur et d'ordinateur, stratégie de groupe, approbations |
| TCP | 3268 ‑ 3269 | Sur site CIDR | LDAPGC ET LDAP GC SSL | Directory, réplication, stratégie de groupe d'authentification d'utilisateur et d'ordinateur, approbations |
| UDP | 123 | Sur site CIDR | Heure Windows | Heure Windows, approbations |
Règles sortantes
| Protocole | Plage de ports | Source | Type de trafic | Utilisation d'Active Directory |
|---|---|---|---|---|
| Tous | Tous | Sur site CIDR | Tout le trafic |
AWS support natif des applications et de la charge de travail Active Directory
Les comptes utilisateur sont fournis uniquement dans votre Microsoft AD AWS géré pour être utilisés avec les AWS applications prises en charge, telles que les suivantes :
Amazon Chime
Amazon Connect
EC2Instances Amazon
Amazon FSx
Amazon QuickSight
Amazon RDS pour moi SQL
Amazon RDS pour Oracle
Amazon RDS pour Postgrer SQL
Amazon RDS pour SQL serveur
AWS IAM Identity Center
Amazon WorkDocs
Amazon WorkMail
WorkSpaces
AWS Client VPN
AWS Management Console
Vous pouvez modifier la configuration du groupe AWS de sécurité provisionné pour bloquer tout le trafic non essentiel vers vos contrôleurs de domaine AWS Microsoft AD gérés.
Note
Les approbations Active Directory ne peuvent pas être créées et AWS gérées entre votre annuaire Microsoft AD géré et le domaine local.
Cela vous oblige à vous assurer que le réseau « client CIDR » est sécurisé.
TCPLe 636 n'est requis qu'en LDAP cas SSL d'utilisation ultérieure.
Si vous souhaitez utiliser une autorité de certification d'entreprise avec cette configuration, vous devez créer une règle sortante «TCP, 443, CA CIDR ».
Règles entrantes
| Protocole | Plage de ports | Source | Type de trafic | Utilisation d'Active Directory |
|---|---|---|---|---|
| TCP & UDP | 53 | Cliente CIDR | DNS | Authentification d'utilisateur et d'ordinateur, résolution de noms, approbations |
| TCP & UDP | 88 | Cliente CIDR | Kerberos | Authentification d'utilisateur et d'ordinateur, approbations au niveau de la forêt |
| TCP & UDP | 389 | Cliente CIDR | LDAP | Directory, réplication, stratégie de groupe d'authentification d'utilisateur et d'ordinateur, approbations |
| TCP & UDP | 445 | Cliente CIDR | SMB / CIFS | Réplication, authentification d'utilisateur et d'ordinateur, approbations de stratégie de groupe |
| TCP & UDP | 464 | Cliente CIDR | Mot de passe Kerberos (modification/définition) | Réplication, authentification d'utilisateur et d'ordinateur, approbations |
| TCP | 135 | Cliente CIDR | Réplication | RPC, EPM |
| TCP | 636 | Cliente CIDR | LDAP SSL | Directory, réplication, stratégie de groupe d'authentification d'utilisateur et d'ordinateur, approbations |
| TCP | 49152 - 65535 | Cliente CIDR | RPC | Réplication, authentification d'utilisateur et d'ordinateur, stratégie de groupe, approbations |
| TCP | 3268 ‑ 3269 | Cliente CIDR | LDAPGC ET LDAP GC SSL | Directory, réplication, stratégie de groupe d'authentification d'utilisateur et d'ordinateur, approbations |
| TCP | 9389 | Cliente CIDR | SOAP | Services Web AD DS |
| UDP | 123 | Cliente CIDR | Heure Windows | Heure Windows, approbations |
| UDP | 138 | Cliente CIDR | DFSN & NetLogon | DFS, politique de groupe |
Règles sortantes
Aucune.
AWS prise en charge des applications et de la charge de travail Active Directory native avec prise en charge de la confiance
Tous les comptes utilisateur sont configurés dans votre Microsoft AD AWS géré ou dans votre Active Directory approuvé pour être utilisés avec les AWS applications prises en charge, telles que les suivantes :
Amazon Chime
Amazon Connect
EC2Instances Amazon
Amazon FSx
Amazon QuickSight
Amazon RDS pour moi SQL
Amazon RDS pour Oracle
Amazon RDS pour Postgrer SQL
Amazon RDS pour SQL serveur
AWS IAM Identity Center
Amazon WorkDocs
Amazon WorkMail
WorkSpaces
AWS Client VPN
AWS Management Console
Vous pouvez modifier la configuration du groupe AWS de sécurité provisionné pour bloquer tout le trafic non essentiel vers vos contrôleurs de domaine AWS Microsoft AD gérés.
Note
Cela vous oblige à vous assurer que les réseaux « sur site CIDR » et « client CIDR » sont sécurisés.
TCP445 avec la mention « Sur site CIDR » est utilisé uniquement pour la création de confiance et peut être supprimé une fois que la confiance a été établie.
TCP445 avec le « Client CIDR » doit être laissé ouvert car cela est nécessaire au traitement des politiques de groupe.
TCPLe 636 n'est requis qu'en LDAP cas SSL d'utilisation ultérieure.
Si vous souhaitez utiliser une autorité de certification d'entreprise avec cette configuration, vous devez créer une règle sortante «TCP, 443, CA CIDR ».
Règles entrantes
| Protocole | Plage de ports | Source | Type de trafic | Utilisation d'Active Directory |
|---|---|---|---|---|
| TCP & UDP | 53 | Sur site CIDR | DNS | Authentification d'utilisateur et d'ordinateur, résolution de noms, approbations |
| TCP & UDP | 88 | Sur site CIDR | Kerberos | Authentification d'utilisateur et d'ordinateur, approbations au niveau de la forêt |
| TCP & UDP | 389 | Sur site CIDR | LDAP | Directory, réplication, stratégie de groupe d'authentification d'utilisateur et d'ordinateur, approbations |
| TCP & UDP | 464 | Sur site CIDR | Mot de passe Kerberos (modification/définition) | Réplication, authentification d'utilisateur et d'ordinateur, approbations |
| TCP | 445 | Sur site CIDR | SMB / CIFS | Réplication, authentification d'utilisateur et d'ordinateur, approbations de stratégie de groupe |
| TCP | 135 | Sur site CIDR | Réplication | RPC, EPM |
| TCP | 636 | Sur site CIDR | LDAP SSL | Directory, réplication, stratégie de groupe d'authentification d'utilisateur et d'ordinateur, approbations |
| TCP | 49152 - 65535 | Sur site CIDR | RPC | Réplication, authentification d'utilisateur et d'ordinateur, stratégie de groupe, approbations |
| TCP | 3268 ‑ 3269 | Sur site CIDR | LDAPGC ET LDAP GC SSL | Directory, réplication, stratégie de groupe d'authentification d'utilisateur et d'ordinateur, approbations |
| UDP | 123 | Sur site CIDR | Heure Windows | Heure Windows, approbations |
| TCP & UDP | 53 | Cliente CIDR | DNS | Authentification d'utilisateur et d'ordinateur, résolution de noms, approbations |
| TCP & UDP | 88 | Cliente CIDR | Kerberos | Authentification d'utilisateur et d'ordinateur, approbations au niveau de la forêt |
| TCP & UDP | 389 | Cliente CIDR | LDAP | Directory, réplication, stratégie de groupe d'authentification d'utilisateur et d'ordinateur, approbations |
| TCP & UDP | 445 | Cliente CIDR | SMB / CIFS | Réplication, authentification d'utilisateur et d'ordinateur, approbations de stratégie de groupe |
| TCP & UDP | 464 | Cliente CIDR | Mot de passe Kerberos (modification/définition) | Réplication, authentification d'utilisateur et d'ordinateur, approbations |
| TCP | 135 | Cliente CIDR | Réplication | RPC, EPM |
| TCP | 636 | Cliente CIDR | LDAP SSL | Directory, réplication, stratégie de groupe d'authentification d'utilisateur et d'ordinateur, approbations |
| TCP | 49152 - 65535 | Cliente CIDR | RPC | Réplication, authentification d'utilisateur et d'ordinateur, stratégie de groupe, approbations |
| TCP | 3268 ‑ 3269 | Cliente CIDR | LDAPGC ET LDAP GC SSL | Directory, réplication, stratégie de groupe d'authentification d'utilisateur et d'ordinateur, approbations |
| TCP | 9389 | Cliente CIDR | SOAP | Services Web AD DS |
| UDP | 123 | Cliente CIDR | Heure Windows | Heure Windows, approbations |
| UDP | 138 | Cliente CIDR | DFSN & NetLogon | DFS, politique de groupe |
Règles sortantes
| Protocole | Plage de ports | Source | Type de trafic | Utilisation d'Active Directory |
|---|---|---|---|---|
| Tous | Tous | Sur site CIDR | Tout le trafic |
