Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Miglioramento della configurazione di sicurezza della rete AWS Managed Microsoft AD
Il gruppo AWS di sicurezza fornito per la directory AWS Managed Microsoft AD è configurato con le porte di rete in entrata minime necessarie per supportare tutti i casi d'uso noti per la directory Managed AWS Microsoft AD. Per ulteriori informazioni sul gruppo di AWS sicurezza fornito, vedere. Cosa viene creato con AWS Managed Microsoft AD
Per migliorare ulteriormente la sicurezza di rete della directory AWS Managed Microsoft AD, è possibile modificare il gruppo AWS di sicurezza in base ai seguenti scenari comuni.
Scenari
AWS solo le applicazioni supportano
Tutti gli account utente vengono forniti solo nel tuo AWS Managed Microsoft AD per essere utilizzati con AWS le applicazioni supportate, come le seguenti:
Amazon Chime
Amazon Connect
Amazon QuickSight
AWS IAM Identity Center
Amazon WorkDocs
Amazon WorkMail
AWS Client VPN
AWS Management Console
È possibile utilizzare la seguente configurazione del gruppo AWS di sicurezza per bloccare tutto il traffico non essenziale verso i controller di dominio Microsoft AD AWS gestiti.
Nota
Quanto segue non è compatibile con questa configurazione del gruppo AWS di sicurezza:
EC2Istanze Amazon
Amazon FSx
Amazon RDS per me SQL
Amazon RDS per Oracle
Amazon RDS per Postgre SQL
Amazon RDS per SQL server
WorkSpaces
Trust di Active Directory
Client o server aggiunti al dominio
Regole in entrata
Nessuna.
Regole in uscita
Nessuna.
AWS applicazioni solo con supporto affidabile
Tutti gli account utente vengono forniti nel tuo AWS Managed Microsoft AD o in Active Directory affidabile per essere utilizzati con AWS le applicazioni supportate, come le seguenti:
Amazon Chime
Amazon Connect
Amazon QuickSight
AWS IAM Identity Center
Amazon WorkDocs
Amazon WorkMail
Amazon WorkSpaces
AWS Client VPN
AWS Management Console
È possibile modificare la configurazione del gruppo AWS di sicurezza fornita per bloccare tutto il traffico non essenziale verso i controller di dominio AWS Microsoft AD gestiti.
Nota
Quanto segue non è compatibile con questa configurazione del gruppo AWS di sicurezza:
EC2Istanze Amazon
Amazon FSx
Amazon RDS per me SQL
Amazon RDS per Oracle
Amazon RDS per Postgre SQL
Amazon RDS per SQL server
WorkSpaces
Trust di Active Directory
Client o server aggiunti al dominio
-
Questa configurazione richiede che la rete «On-premiseCIDR» sia sicura.
-
TCP445 viene utilizzato solo per la creazione di trust e può essere rimosso dopo che la fiducia è stata stabilita.
-
TCP636 è richiesto solo quando SSL è in uso LDAP over.
Regole in entrata
| Protocollo | Intervallo porte | Origine | Tipo di traffico | Utilizzo di Active Directory |
|---|---|---|---|---|
| TCP & UDP | 53 | In locale CIDR | DNS | Autenticazione utente e computer, risoluzione dei nomi, trust |
| TCP & UDP | 88 | In sede CIDR | Kerberos | Autenticazione utente e computer, trust a livello di foresta |
| TCP & UDP | 389 | In sede CIDR | LDAP | Policy di gruppo per l'autenticazione di directory, replica, utente e computer, trust |
| TCP & UDP | 464 | In sede CIDR | Kerberos cambia/imposta la password | Autenticazione utente e computer, replica, trust |
| TCP | 445 | In sede CIDR | SMB / CIFS | Replica, autenticazione utente e computer, trust di policy di gruppo |
| TCP | 135 | In sede CIDR | Replica | RPC, EPM |
| TCP | 636 | In sede CIDR | LDAP SSL | Policy di gruppo per l'autenticazione di directory, replica, utente e computer, trust |
| TCP | 49152 - 65535 | In sede CIDR | RPC | Replica, autenticazione utente e computer, policy di gruppo, trust |
| TCP | 3268 - 3269 | In sede CIDR | LDAPGC e GC LDAP SSL | Policy di gruppo per l'autenticazione di directory, replica, utente e computer, trust |
| UDP | 123 | In sede CIDR | Ora di Windows | Ora di Windows, trust |
Regole in uscita
| Protocollo | Intervallo porte | Origine | Tipo di traffico | Utilizzo di Active Directory |
|---|---|---|---|---|
| Tutti | Tutti | In sede CIDR | Tutto il traffico |
AWS supporto per applicazioni e carichi di lavoro nativi di Active Directory
Gli account utente vengono forniti solo nel tuo AWS Managed Microsoft AD per essere utilizzati con AWS le applicazioni supportate, come le seguenti:
Amazon Chime
Amazon Connect
EC2Istanze Amazon
Amazon FSx
Amazon QuickSight
Amazon RDS per me SQL
Amazon RDS per Oracle
Amazon RDS per Postgre SQL
Amazon RDS per SQL server
AWS IAM Identity Center
Amazon WorkDocs
Amazon WorkMail
WorkSpaces
AWS Client VPN
AWS Management Console
È possibile modificare la configurazione del gruppo AWS di sicurezza fornita per bloccare tutto il traffico non essenziale verso i controller di dominio AWS Microsoft AD gestiti.
Nota
I trust di Active Directory non possono essere creati e gestiti tra la directory AWS gestita di Microsoft AD e il dominio locale.
Richiede che tu assicuri che la rete «ClientCIDR» sia sicura.
TCP636 è richiesto solo quando SSL è in uso LDAP over.
Se si desidera utilizzare una CA aziendale con questa configurazione, è necessario creare una regola in uscita «TCP, 443, CA». CIDR
Regole in entrata
| Protocollo | Intervallo porte | Origine | Tipo di traffico | Utilizzo di Active Directory |
|---|---|---|---|---|
| TCP & UDP | 53 | Cliente CIDR | DNS | Autenticazione utente e computer, risoluzione dei nomi, trust |
| TCP & UDP | 88 | Cliente CIDR | Kerberos | Autenticazione utente e computer, trust a livello di foresta |
| TCP & UDP | 389 | Cliente CIDR | LDAP | Policy di gruppo per l'autenticazione di directory, replica, utente e computer, trust |
| TCP & UDP | 445 | Cliente CIDR | SMB / CIFS | Replica, autenticazione utente e computer, trust di policy di gruppo |
| TCP & UDP | 464 | Cliente CIDR | Kerberos cambia/imposta la password | Autenticazione utente e computer, replica, trust |
| TCP | 135 | Cliente CIDR | Replica | RPC, EPM |
| TCP | 636 | Cliente CIDR | LDAP SSL | Policy di gruppo per l'autenticazione di directory, replica, utente e computer, trust |
| TCP | 49152 - 65535 | Cliente CIDR | RPC | Replica, autenticazione utente e computer, policy di gruppo, trust |
| TCP | 3268 - 3269 | Cliente CIDR | LDAPGC e LDAP GC SSL | Policy di gruppo per l'autenticazione di directory, replica, utente e computer, trust |
| TCP | 9389 | Cliente CIDR | SOAP | Servizi Web DS AD |
| UDP | 123 | Cliente CIDR | Ora di Windows | Ora di Windows, trust |
| UDP | 138 | Cliente CIDR | DFSN & NetLogon | DFS, politica di gruppo |
Regole in uscita
Nessuna.
AWS supporto per applicazioni e carichi di lavoro nativi di Active Directory con supporto affidabile
Tutti gli account utente vengono forniti nel tuo AWS Managed Microsoft AD o in Active Directory affidabile per essere utilizzati con AWS le applicazioni supportate, come le seguenti:
Amazon Chime
Amazon Connect
EC2Istanze Amazon
Amazon FSx
Amazon QuickSight
Amazon RDS per me SQL
Amazon RDS per Oracle
Amazon RDS per Postgre SQL
Amazon RDS per SQL server
AWS IAM Identity Center
Amazon WorkDocs
Amazon WorkMail
WorkSpaces
AWS Client VPN
AWS Management Console
È possibile modificare la configurazione del gruppo AWS di sicurezza fornita per bloccare tutto il traffico non essenziale verso i controller di dominio AWS Microsoft AD gestiti.
Nota
Richiede che le reti «On-premiseCIDR» e «ClientCIDR» siano sicure.
TCP445 con «On-premisesCIDR» viene utilizzato solo per la creazione di fiducia e può essere rimosso dopo che la fiducia è stata stabilita.
TCP445 con «ClientCIDR» deve essere lasciato aperto in quanto è necessario per l'elaborazione delle politiche di gruppo.
TCP636 è richiesto solo quando SSL è in uso LDAP over.
Se si desidera utilizzare una CA aziendale con questa configurazione, è necessario creare una regola in uscita «TCP, 443, CA». CIDR
Regole in entrata
| Protocollo | Intervallo porte | Origine | Tipo di traffico | Utilizzo di Active Directory |
|---|---|---|---|---|
| TCP & UDP | 53 | In locale CIDR | DNS | Autenticazione utente e computer, risoluzione dei nomi, trust |
| TCP & UDP | 88 | In sede CIDR | Kerberos | Autenticazione utente e computer, trust a livello di foresta |
| TCP & UDP | 389 | In sede CIDR | LDAP | Policy di gruppo per l'autenticazione di directory, replica, utente e computer, trust |
| TCP & UDP | 464 | In sede CIDR | Kerberos cambia/imposta la password | Autenticazione utente e computer, replica, trust |
| TCP | 445 | In sede CIDR | SMB / CIFS | Replica, autenticazione utente e computer, trust di policy di gruppo |
| TCP | 135 | In sede CIDR | Replica | RPC, EPM |
| TCP | 636 | In sede CIDR | LDAP SSL | Policy di gruppo per l'autenticazione di directory, replica, utente e computer, trust |
| TCP | 49152 - 65535 | In sede CIDR | RPC | Replica, autenticazione utente e computer, policy di gruppo, trust |
| TCP | 3268 - 3269 | In sede CIDR | LDAPGC e GC LDAP SSL | Policy di gruppo per l'autenticazione di directory, replica, utente e computer, trust |
| UDP | 123 | In sede CIDR | Ora di Windows | Ora di Windows, trust |
| TCP & UDP | 53 | Cliente CIDR | DNS | Autenticazione utente e computer, risoluzione dei nomi, trust |
| TCP & UDP | 88 | Cliente CIDR | Kerberos | Autenticazione utente e computer, trust a livello di foresta |
| TCP & UDP | 389 | Cliente CIDR | LDAP | Policy di gruppo per l'autenticazione di directory, replica, utente e computer, trust |
| TCP & UDP | 445 | Cliente CIDR | SMB / CIFS | Replica, autenticazione utente e computer, trust di policy di gruppo |
| TCP & UDP | 464 | Cliente CIDR | Kerberos cambia/imposta la password | Autenticazione utente e computer, replica, trust |
| TCP | 135 | Cliente CIDR | Replica | RPC, EPM |
| TCP | 636 | Cliente CIDR | LDAP SSL | Policy di gruppo per l'autenticazione di directory, replica, utente e computer, trust |
| TCP | 49152 - 65535 | Cliente CIDR | RPC | Replica, autenticazione utente e computer, policy di gruppo, trust |
| TCP | 3268 - 3269 | Cliente CIDR | LDAPGC e LDAP GC SSL | Policy di gruppo per l'autenticazione di directory, replica, utente e computer, trust |
| TCP | 9389 | Cliente CIDR | SOAP | Servizi Web DS AD |
| UDP | 123 | Cliente CIDR | Ora di Windows | Ora di Windows, trust |
| UDP | 138 | Cliente CIDR | DFSN & NetLogon | DFS, politica di gruppo |
Regole in uscita
| Protocollo | Intervallo porte | Origine | Tipo di traffico | Utilizzo di Active Directory |
|---|---|---|---|---|
| Tutti | Tutti | In locale CIDR | Tutto il traffico |
