翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Managed Microsoft AD のネットワークセキュリティ設定の強化
AWS Managed Microsoft AD ディレクトリ用にプロビジョニングされている AWS セキュリティグループには、AWS Managed Microsoft AD ディレクトリのすべての既知のユースケースをサポートするために必要な、最小限のインバウンドネットワークポートが設定済みとなっています。プロビジョニングされた AWS セキュリティグループの詳細については、「AWS Managed Microsoft AD で作成されるもの」を参照してください。
AWS Managed Microsoft AD ディレクトリのネットワークセキュリティをさらに強化するために、以下に示す一般的なシナリオに応じて AWS セキュリティグループを変更できます。
シナリオ
AWS アプリケーションのみのサポート
すべてのユーザーアカウントは、以下に挙げるようなサポートされた AWS アプリケーション専用として、AWS Managed Microsoft AD にプロビジョニングされます。
Amazon Chime
Amazon Connect
Amazon QuickSight
AWS IAM Identity Center
Amazon WorkDocs
Amazon WorkMail
AWS Client VPN
AWS Management Console
AWS Managed Microsoft AD ドメインコントローラーへの重要でないすべてのトラフィックは、次の AWS セキュリティグループ設定を使用してブロックできます。
注記
以下のサービスでは、この AWS セキュリティグループ設定を使用できません。
Amazon EC2 インスタンス
Amazon FSx
Amazon RDS for MySQL
Amazon RDS for Oracle
Amazon RDS for PostgreSQL
Amazon RDS for SQL Server
WorkSpaces
Active Directory での信頼
ドメイン参加済みのクライアントまたはサーバー
インバウンドルール
なし。
アウトバウンドルール
なし。
信頼がサポートされる AWS アプリケーション
すべてのユーザーアカウントは、AWS Managed Microsoft AD 、または信頼された Active Directory にプロビジョニングされており、これをサポートしている以下の AWS アプリケーションにおいて使用が可能です。
Amazon Chime
Amazon Connect
Amazon QuickSight
AWS IAM Identity Center
Amazon WorkDocs
Amazon WorkMail
Amazon WorkSpaces
AWS Client VPN
AWS Management Console
プロビジョニングされている AWS セキュリティグループ設定を変更すると、AWS Managed Microsoft AD ドメインコントローラーへの、重要ではないすべてのトラフィックをブロックすることができます。
注記
以下のサービスでは、この AWS セキュリティグループ設定を使用できません。
Amazon EC2 インスタンス
Amazon FSx
Amazon RDS for MySQL
Amazon RDS for Oracle
Amazon RDS for PostgreSQL
Amazon RDS for SQL Server
WorkSpaces
Active Directory での信頼
ドメイン参加済みのクライアントまたはサーバー
-
この設定では、「オンプレミス CIDR」ネットワークのセキュリティを確保する必要があります。
-
TCP 445 は、信頼の作成時にだけ使用し、信頼の確立後は削除できます。
-
TCP 636 は、SSL 経由で LDAP を使用している場合にのみ必要となります。
インバウンドルール
| プロトコル | ポート範囲 | ソース | トラフィックの種類 | Active Directory の使用 |
|---|---|---|---|---|
| TCP と UDP | 53 | オンプレミス CIDR | DNS | ユーザーとコンピュータの認証、名前解決、信頼 |
| TCP と UDP | 88 | オンプレミス CIDR | Kerberos | ユーザーとコンピュータの認証、フォレストレベルの信頼 |
| TCP と UDP | 389 | オンプレミス CIDR | LDAP | ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP と UDP | 464 | オンプレミス CIDR | Kerberos パスワードの変更 / 設定 | レプリケーション、ユーザーとコンピュータの認証、信頼 |
| TCP | 445 | オンプレミス CIDR | SMB / CIFS | レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP | 135 | オンプレミス CIDR | レプリケーション | RPC、EPM |
| TCP | 636 | オンプレミス CIDR | LDAP SSL | ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP | 49152 - 65535 | オンプレミス CIDR | RPC | レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP | 3268 - 3269 | オンプレミス CIDR | LDAP GC および LDAP GC SSL | ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| UDP | 123 | オンプレミス CIDR | Windows タイム | Windows タイム、信頼 |
アウトバウンドルール
| プロトコル | ポート範囲 | ソース | トラフィックの種類 | Active Directory の使用 |
|---|---|---|---|---|
| すべて | すべて | オンプレミス CIDR | すべてのトラフィック |
AWS アプリケーションとネイティブの Active Directory ワークロードのサポート
ユーザーアカウントは、以下に挙げるようなサポートされた AWS アプリケーション専用として、AWS Managed Microsoft AD にプロビジョニングされています。
Amazon Chime
Amazon Connect
Amazon EC2 インスタンス
Amazon FSx
Amazon QuickSight
Amazon RDS for MySQL
Amazon RDS for Oracle
Amazon RDS for PostgreSQL
Amazon RDS for SQL Server
AWS IAM Identity Center
Amazon WorkDocs
Amazon WorkMail
WorkSpaces
AWS Client VPN
AWS Management Console
プロビジョニングされている AWS セキュリティグループ設定を変更すると、AWS Managed Microsoft AD ドメインコントローラーへの、重要ではないすべてのトラフィックをブロックすることができます。
注記
AWS Managed Microsoft AD ディレクトリとオンプレミスドメインとの間では、Active Directory の信頼を作成し維持することはできません。
そのためには、「クライアント CIDR」ネットワークのセキュリティを確保する必要があります。
TCP 636 は、SSL 経由で LDAP を使用している場合にのみ必要となります。
この設定エンタープライズ CA を使用する場合は、アウトバウンドルールとして「TCP、443、CA CIDR」を作成する必要があります。
インバウンドルール
| プロトコル | ポート範囲 | ソース | トラフィックの種類 | Active Directory の使用 |
|---|---|---|---|---|
| TCP と UDP | 53 | クライアント CIDR | DNS | ユーザーとコンピュータの認証、名前解決、信頼 |
| TCP と UDP | 88 | クライアント CIDR | Kerberos | ユーザーとコンピュータの認証、フォレストレベルの信頼 |
| TCP と UDP | 389 | クライアント CIDR | LDAP | ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP と UDP | 445 | クライアント CIDR | SMB / CIFS | レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP と UDP | 464 | クライアント CIDR | Kerberos パスワードの変更 / 設定 | レプリケーション、ユーザーとコンピュータの認証、信頼 |
| TCP | 135 | クライアント CIDR | レプリケーション | RPC、EPM |
| TCP | 636 | クライアント CIDR | LDAP SSL | ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP | 49152 - 65535 | クライアント CIDR | RPC | レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP | 3268 - 3269 | クライアント CIDR | LDAP GC および LDAP GC SSL | ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP | 9389 | クライアント CIDR | SOAP | AD DS ウェブサービス |
| UDP | 123 | クライアント CIDR | Windows タイム | Windows タイム、信頼 |
| UDP | 138 | クライアント CIDR | DFSN と NetLogon | DFS、グループポリシー |
アウトバウンドルール
なし。
信頼の使用が可能な AWS アプリケーションとネイティブの Active Directory ワークロードのサポート
すべてのユーザーアカウントは、AWS Managed Microsoft AD 、または信頼された Active Directory にプロビジョニングされており、これをサポートしている以下の AWS アプリケーションにおいて使用が可能です。
Amazon Chime
Amazon Connect
Amazon EC2 インスタンス
Amazon FSx
Amazon QuickSight
Amazon RDS for MySQL
Amazon RDS for Oracle
Amazon RDS for PostgreSQL
Amazon RDS for SQL Server
AWS IAM Identity Center
Amazon WorkDocs
Amazon WorkMail
WorkSpaces
AWS Client VPN
AWS Management Console
プロビジョニングされている AWS セキュリティグループ設定を変更すると、AWS Managed Microsoft AD ドメインコントローラーへの、重要ではないすべてのトラフィックをブロックすることができます。
注記
そのためには、「オンプレミス CIDR」と「クライアント CIDR」のネットワークで、セキュリティを確保する必要があります。
「オンプレミス CIDR」での TCP 445 は、信頼の作成時にのみ使用され、信頼の確立後は削除できます。
「クライアント CIDR」での TCP 445 は、グループポリシーの処理に必要なため、開いたままにしておきます。
TCP 636 は、SSL 経由で LDAP を使用している場合にのみ必要となります。
この設定エンタープライズ CA を使用する場合は、アウトバウンドルールとして「TCP、443、CA CIDR」を作成する必要があります。
インバウンドルール
| プロトコル | ポート範囲 | ソース | トラフィックの種類 | Active Directory の使用 |
|---|---|---|---|---|
| TCP と UDP | 53 | オンプレミス CIDR | DNS | ユーザーとコンピュータの認証、名前解決、信頼 |
| TCP と UDP | 88 | オンプレミス CIDR | Kerberos | ユーザーとコンピュータの認証、フォレストレベルの信頼 |
| TCP と UDP | 389 | オンプレミス CIDR | LDAP | ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP と UDP | 464 | オンプレミス CIDR | Kerberos パスワードの変更 / 設定 | レプリケーション、ユーザーとコンピュータの認証、信頼 |
| TCP | 445 | オンプレミス CIDR | SMB / CIFS | レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP | 135 | オンプレミス CIDR | レプリケーション | RPC、EPM |
| TCP | 636 | オンプレミス CIDR | LDAP SSL | ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP | 49152 - 65535 | オンプレミス CIDR | RPC | レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP | 3268 - 3269 | オンプレミス CIDR | LDAP GC および LDAP GC SSL | ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| UDP | 123 | オンプレミス CIDR | Windows タイム | Windows タイム、信頼 |
| TCP と UDP | 53 | クライアント CIDR | DNS | ユーザーとコンピュータの認証、名前解決、信頼 |
| TCP と UDP | 88 | クライアント CIDR | Kerberos | ユーザーとコンピュータの認証、フォレストレベルの信頼 |
| TCP と UDP | 389 | クライアント CIDR | LDAP | ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP と UDP | 445 | クライアント CIDR | SMB / CIFS | レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP と UDP | 464 | クライアント CIDR | Kerberos パスワードの変更 / 設定 | レプリケーション、ユーザーとコンピュータの認証、信頼 |
| TCP | 135 | クライアント CIDR | レプリケーション | RPC、EPM |
| TCP | 636 | クライアント CIDR | LDAP SSL | ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP | 49152 - 65535 | クライアント CIDR | RPC | レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP | 3268 - 3269 | クライアント CIDR | LDAP GC および LDAP GC SSL | ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP | 9389 | クライアント CIDR | SOAP | AD DS ウェブサービス |
| UDP | 123 | クライアント CIDR | Windows タイム | Windows タイム、信頼 |
| UDP | 138 | クライアント CIDR | DFSN と NetLogon | DFS、グループポリシー |
アウトバウンドルール
| プロトコル | ポート範囲 | ソース | トラフィックの種類 | Active Directory の使用 |
|---|---|---|---|---|
| すべて | すべて | オンプレミス CIDR | すべてのトラフィック |
