기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS Managed Microsoft AD 네트워크 보안 구성 강화
AWS Managed Microsoft AD 디렉터리에 대해 프로비저닝된 AWS 보안 그룹은 AWS Managed Microsoft AD 디렉터리에 대해 알려진 모든 사용 사례를 지원하는 데 필요한 최소 인바운드 네트워크 포트로 구성됩니다. 프로비저닝된 AWS 보안 그룹에 대한 자세한 내용은 AWS 관리형 Microsoft AD 액티브 디렉터리로 생성되는 항목 단원을 참조하세요.
AWS Managed Microsoft AD 디렉터리의 네트워크 보안을 더욱 강화하기 위해 아래 나열된 일반적인 시나리오에 따라 AWS 보안 그룹을 수정할 수 있습니다.
주제
AWS 애플리케이션 전용 지원
모든 사용자 계정은 다음과 같이 지원되는 AWS 애플리케이션과 함께 사용할 수 있도록 사용자의 AWS Managed Microsoft AD에서만 프로비저닝됩니다.
Amazon Chime
Amazon Connect
Amazon QuickSight
AWS IAM Identity Center
Amazon WorkDocs
Amazon WorkMail
AWS Client VPN
AWS Management Console
다음 AWS 보안 그룹 구성을 사용하여 AWS Managed Microsoft AD 도메인 컨트롤러에 대한 필수적이 아닌 모든 트래픽을 차단할 수 있습니다.
참고
다음은 이 AWS 보안 그룹 구성과 호환되지 않습니다.
Amazon EC2 인스턴스
Amazon FSx
Amazon RDS for MySQL
Amazon RDS for Oracle
Amazon RDS for PostgreSQL
Amazon RDS for SQL Server
WorkSpaces
Active Directory 신뢰
도메인에 조인된 클라이언트 또는 서버
인바운드 규칙
없음.
아웃바운드 규칙
없음.
신뢰 지원만 있는 AWS 애플리케이션
모든 사용자 계정은 다음과 같이 지원되는 AWS 애플리케이션에서 사용할 수 있도록 사용자의 AWS Managed Microsoft AD 또는 신뢰할 수 있는 Active Directory에서 프로비저닝됩니다.
Amazon Chime
Amazon Connect
Amazon QuickSight
AWS IAM Identity Center
Amazon WorkDocs
Amazon WorkMail
Amazon WorkSpaces
AWS Client VPN
AWS Management Console
프로비저닝된 AWS 보안 그룹 구성을 수정하여 AWS Managed Microsoft AD 도메인 컨트롤러에 대한 필수적이 아닌 모든 트래픽을 차단할 수 있습니다.
참고
다음은 이 AWS 보안 그룹 구성과 호환되지 않습니다.
Amazon EC2 인스턴스
Amazon FSx
Amazon RDS for MySQL
Amazon RDS for Oracle
Amazon RDS for PostgreSQL
Amazon RDS for SQL Server
WorkSpaces
Active Directory 신뢰
도메인에 조인된 클라이언트 또는 서버
-
이 구성을 사용하려면 “온프레미스 CIDR” 네트워크가 안전한지 확인해야 합니다.
-
TCP 445는 신뢰 생성에만 사용되며 신뢰가 설정된 후에 제거할 수 있습니다.
-
TCP 636은 LDAP over SSL이 사용 중인 경우에만 필요합니다.
인바운드 규칙
| 프로토콜 | 포트 범위 | 소스 | 트래픽 유형 | Active Directory 사용 |
|---|---|---|---|---|
| TCP 및 UDP | 53 | 온프레미스 CIDR | DNS | 사용자 및 컴퓨터 인증, 이름 확인, 신뢰 |
| TCP 및 UDP | 88 | 온프레미스 CIDR | Kerberos | 사용자 및 컴퓨터 인증, 포리스트 수준 신뢰 |
| TCP 및 UDP | 389 | 온프레미스 CIDR | LDAP | 디렉터리, 복제, 사용자 및 컴퓨터 인증 그룹 정책, 신뢰 |
| TCP 및 UDP | 464 | 온프레미스 CIDR | Kerberos 암호 변경/설정 | 복제, 사용자 및 컴퓨터 인증, 신뢰 |
| TCP | 445 | 온프레미스 CIDR | SMB/CIFS | 복제, 사용자 및 컴퓨터 인증, 그룹 정책 신뢰 |
| TCP | 135 | 온프레미스 CIDR | 복제 | RPC, EPM |
| TCP | 636 | 온프레미스 CIDR | LDAP SSL | 디렉터리, 복제, 사용자 및 컴퓨터 인증 그룹 정책, 신뢰 |
| TCP | 49152 - 65535 | 온프레미스 CIDR | RPC | 복제, 사용자 및 컴퓨터 인증, 그룹 정책, 신뢰 |
| TCP | 3268 - 3269 | 온프레미스 CIDR | LDAP GC 및 LDAP GC SSL | 디렉터리, 복제, 사용자 및 컴퓨터 인증 그룹 정책, 신뢰 |
| UDP | 123 | 온프레미스 CIDR | Windows 시간 | Windows 시간, 신뢰 |
아웃바운드 규칙
| 프로토콜 | 포트 범위 | 소스 | 트래픽 유형 | Active Directory 사용 |
|---|---|---|---|---|
| 모두 | 모두 | 온프레미스 CIDR | 모든 트래픽 |
AWS 애플리케이션 및 네이티브 Active Directory 워크로드 지원
사용자 계정은 다음과 같이 지원되는 AWS 애플리케이션과 함께 사용할 수 있도록 사용자의 AWS Managed Microsoft AD에서만 프로비저닝됩니다.
Amazon Chime
Amazon Connect
Amazon EC2 인스턴스
Amazon FSx
Amazon QuickSight
Amazon RDS for MySQL
Amazon RDS for Oracle
Amazon RDS for PostgreSQL
Amazon RDS for SQL Server
AWS IAM Identity Center
Amazon WorkDocs
Amazon WorkMail
WorkSpaces
AWS Client VPN
AWS Management Console
프로비저닝된 AWS 보안 그룹 구성을 수정하여 AWS Managed Microsoft AD 도메인 컨트롤러에 대한 필수적이 아닌 모든 트래픽을 차단할 수 있습니다.
참고
Active Directory 신뢰는 사용자의 AWS 디렉터리와 온프레미스 도메인 간에 생성 및 유지 관리할 수 없습니다.
“클라이언트 CIDR” 네트워크가 안전한지 확인해야 합니다.
TCP 636은 LDAP over SSL이 사용 중인 경우에만 필요합니다.
이 구성에서 엔터프라이즈 CA를 사용하려면 아웃바운드 규칙 “TCP, 443, CA CIDR”을 생성해야 합니다.
인바운드 규칙
| 프로토콜 | 포트 범위 | 소스 | 트래픽 유형 | Active Directory 사용 |
|---|---|---|---|---|
| TCP 및 UDP | 53 | 클라이언트 CIDR | DNS | 사용자 및 컴퓨터 인증, 이름 확인, 신뢰 |
| TCP 및 UDP | 88 | 클라이언트 CIDR | Kerberos | 사용자 및 컴퓨터 인증, 포리스트 수준 신뢰 |
| TCP 및 UDP | 389 | 클라이언트 CIDR | LDAP | 디렉터리, 복제, 사용자 및 컴퓨터 인증 그룹 정책, 신뢰 |
| TCP 및 UDP | 445 | 클라이언트 CIDR | SMB/CIFS | 복제, 사용자 및 컴퓨터 인증, 그룹 정책 신뢰 |
| TCP 및 UDP | 464 | 클라이언트 CIDR | Kerberos 암호 변경/설정 | 복제, 사용자 및 컴퓨터 인증, 신뢰 |
| TCP | 135 | 클라이언트 CIDR | 복제 | RPC, EPM |
| TCP | 636 | 클라이언트 CIDR | LDAP SSL | 디렉터리, 복제, 사용자 및 컴퓨터 인증 그룹 정책, 신뢰 |
| TCP | 49152 - 65535 | 클라이언트 CIDR | RPC | 복제, 사용자 및 컴퓨터 인증, 그룹 정책, 신뢰 |
| TCP | 3268 - 3269 | 클라이언트 CIDR | LDAP GC 및 LDAP GC SSL | 디렉터리, 복제, 사용자 및 컴퓨터 인증 그룹 정책, 신뢰 |
| TCP | 9389 | 클라이언트 CIDR | SOAP | AD DS 웹 서비스 |
| UDP | 123 | 클라이언트 CIDR | Windows 시간 | Windows 시간, 신뢰 |
| UDP | 138 | 클라이언트 CIDR | DFSN 및 NetLogon | DFS, 그룹 정책 |
아웃바운드 규칙
없음.
신뢰 지원과 함께 AWS 애플리케이션 및 네이티브 Active Directory 워크로드 지원
모든 사용자 계정은 다음과 같이 지원되는 AWS 애플리케이션에서 사용할 수 있도록 사용자의 AWS Managed Microsoft AD 또는 신뢰할 수 있는 Active Directory에서 프로비저닝됩니다.
Amazon Chime
Amazon Connect
Amazon EC2 인스턴스
Amazon FSx
Amazon QuickSight
Amazon RDS for MySQL
Amazon RDS for Oracle
Amazon RDS for PostgreSQL
Amazon RDS for SQL Server
AWS IAM Identity Center
Amazon WorkDocs
Amazon WorkMail
WorkSpaces
AWS Client VPN
AWS Management Console
프로비저닝된 AWS 보안 그룹 구성을 수정하여 AWS Managed Microsoft AD 도메인 컨트롤러에 대한 필수적이 아닌 모든 트래픽을 차단할 수 있습니다.
참고
그러려면 “온프레미스 CIDR” 및 “클라이언트 CIDR” 네트워크가 안전한지 확인해야 합니다.
“온프레미스 CIDR”이 있는 TCP 445는 신뢰 생성에만 사용되며 신뢰가 설정된 후에 제거할 수 있습니다.
“클라이언트 CIDR”이 있는 TCP 445는 그룹 정책 처리에 필요한 대로 열려 있어야 합니다.
TCP 636은 LDAP over SSL이 사용 중인 경우에만 필요합니다.
이 구성에서 엔터프라이즈 CA를 사용하려면 아웃바운드 규칙 “TCP, 443, CA CIDR”을 생성해야 합니다.
인바운드 규칙
| 프로토콜 | 포트 범위 | 소스 | 트래픽 유형 | Active Directory 사용 |
|---|---|---|---|---|
| TCP 및 UDP | 53 | 온프레미스 CIDR | DNS | 사용자 및 컴퓨터 인증, 이름 확인, 신뢰 |
| TCP 및 UDP | 88 | 온프레미스 CIDR | Kerberos | 사용자 및 컴퓨터 인증, 포리스트 수준 신뢰 |
| TCP 및 UDP | 389 | 온프레미스 CIDR | LDAP | 디렉터리, 복제, 사용자 및 컴퓨터 인증 그룹 정책, 신뢰 |
| TCP 및 UDP | 464 | 온프레미스 CIDR | Kerberos 암호 변경/설정 | 복제, 사용자 및 컴퓨터 인증, 신뢰 |
| TCP | 445 | 온프레미스 CIDR | SMB/CIFS | 복제, 사용자 및 컴퓨터 인증, 그룹 정책 신뢰 |
| TCP | 135 | 온프레미스 CIDR | 복제 | RPC, EPM |
| TCP | 636 | 온프레미스 CIDR | LDAP SSL | 디렉터리, 복제, 사용자 및 컴퓨터 인증 그룹 정책, 신뢰 |
| TCP | 49152 - 65535 | 온프레미스 CIDR | RPC | 복제, 사용자 및 컴퓨터 인증, 그룹 정책, 신뢰 |
| TCP | 3268 - 3269 | 온프레미스 CIDR | LDAP GC 및 LDAP GC SSL | 디렉터리, 복제, 사용자 및 컴퓨터 인증 그룹 정책, 신뢰 |
| UDP | 123 | 온프레미스 CIDR | Windows 시간 | Windows 시간, 신뢰 |
| TCP 및 UDP | 53 | 클라이언트 CIDR | DNS | 사용자 및 컴퓨터 인증, 이름 확인, 신뢰 |
| TCP 및 UDP | 88 | 클라이언트 CIDR | Kerberos | 사용자 및 컴퓨터 인증, 포리스트 수준 신뢰 |
| TCP 및 UDP | 389 | 클라이언트 CIDR | LDAP | 디렉터리, 복제, 사용자 및 컴퓨터 인증 그룹 정책, 신뢰 |
| TCP 및 UDP | 445 | 클라이언트 CIDR | SMB/CIFS | 복제, 사용자 및 컴퓨터 인증, 그룹 정책 신뢰 |
| TCP 및 UDP | 464 | 클라이언트 CIDR | Kerberos 암호 변경/설정 | 복제, 사용자 및 컴퓨터 인증, 신뢰 |
| TCP | 135 | 클라이언트 CIDR | 복제 | RPC, EPM |
| TCP | 636 | 클라이언트 CIDR | LDAP SSL | 디렉터리, 복제, 사용자 및 컴퓨터 인증 그룹 정책, 신뢰 |
| TCP | 49152 - 65535 | 클라이언트 CIDR | RPC | 복제, 사용자 및 컴퓨터 인증, 그룹 정책, 신뢰 |
| TCP | 3268 - 3269 | 클라이언트 CIDR | LDAP GC 및 LDAP GC SSL | 디렉터리, 복제, 사용자 및 컴퓨터 인증 그룹 정책, 신뢰 |
| TCP | 9389 | 클라이언트 CIDR | SOAP | AD DS 웹 서비스 |
| UDP | 123 | 클라이언트 CIDR | Windows 시간 | Windows 시간, 신뢰 |
| UDP | 138 | 클라이언트 CIDR | DFSN 및 NetLogon | DFS, 그룹 정책 |
아웃바운드 규칙
| 프로토콜 | 포트 범위 | 소스 | 트래픽 유형 | Active Directory 사용 |
|---|---|---|---|---|
| 모두 | 모두 | 온프레미스 CIDR | 모든 트래픽 |
