기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS 관리형 Microsoft AD 네트워크 보안 구성 개선
AWS 관리형 Microsoft AD 디렉터리에 프로비저닝된 AWS 보안 그룹은 AWS 관리형 Microsoft AD 디렉터리에 대해 알려진 모든 사용 사례를 지원하는 데 필요한 최소 인바운드 네트워크 포트로 구성됩니다. 프로비저닝된 AWS 보안 그룹에 대한 자세한 내용은 섹션을 참조하세요AWS 관리형 Microsoft AD로 생성되는 항목.
AWS 관리형 Microsoft AD 디렉터리의 네트워크 보안을 더욱 강화하기 위해 다음과 같은 일반적인 시나리오를 기반으로 AWS 보안 그룹을 수정할 수 있습니다.
고객 도메인 컨트롤러 CIDR -이 CIDR 블록은 도메인 온프레미스 도메인 컨트롤러가 있는 곳입니다.
고객 클라이언트 CIDR -이 CIDR 블록은 컴퓨터 또는 사용자와 같은 클라이언트가 AWS 관리형 Microsoft AD에 인증하는 곳입니다. AWS 관리형 Microsoft AD 도메인 컨트롤러도이 CIDR 블록에 있습니다.
시나리오
AWS 애플리케이션만 지원
모든 사용자 계정은 다음과 같이 지원되는 AWS 애플리케이션에서 사용할 수 있도록 AWS 관리형 Microsoft AD에서만 프로비저닝됩니다.
-
Amazon Chime
-
Amazon Connect
-
Amazon QuickSight
-
AWS IAM Identity Center
-
Amazon WorkDocs
-
Amazon WorkMail
-
AWS Client VPN
-
AWS Management Console
다음 AWS 보안 그룹 구성을 사용하여 AWS 관리형 Microsoft AD 도메인 컨트롤러에 대한 모든 비필수 트래픽을 차단할 수 있습니다.
참고
-
다음은이 AWS 보안 그룹 구성과 호환되지 않습니다.
-
Amazon EC2 인스턴스
-
Amazon FSx
-
Amazon RDS for MySQL
-
Amazon RDS for Oracle
-
Amazon RDS for PostgreSQL
-
Amazon RDS for SQL Server
-
WorkSpaces
-
Active Directory 신뢰
-
도메인에 조인된 클라이언트 또는 서버
-
인바운드 규칙
없음.
아웃바운드 규칙
없음.
AWS 신뢰 지원이 있는 애플리케이션만 해당
모든 사용자 계정은 AWS 관리형 Microsoft AD 또는 신뢰할 수 있는 Active Directory에 프로비저닝되어 다음과 같은 지원되는 AWS 애플리케이션에 사용됩니다.
-
Amazon Chime
-
Amazon Connect
-
Amazon QuickSight
-
AWS IAM Identity Center
-
Amazon WorkDocs
-
Amazon WorkMail
-
Amazon WorkSpaces
-
AWS Client VPN
-
AWS Management Console
프로비저닝된 AWS 보안 그룹 구성을 수정하여 AWS 관리형 Microsoft AD 도메인 컨트롤러에 대한 모든 비필수 트래픽을 차단할 수 있습니다.
참고
-
다음은이 AWS 보안 그룹 구성과 호환되지 않습니다.
-
Amazon EC2 인스턴스
-
Amazon FSx
-
Amazon RDS for MySQL
-
Amazon RDS for Oracle
-
Amazon RDS for PostgreSQL
-
Amazon RDS for SQL Server
-
WorkSpaces
-
Active Directory 신뢰
-
도메인에 조인된 클라이언트 또는 서버
-
-
이 구성을 사용하려면 “고객 도메인 컨트롤러 CIDR” 네트워크가 안전한지 확인해야 합니다.
-
TCP 445는 신뢰 생성에만 사용되며 신뢰가 설정된 후에 제거할 수 있습니다.
-
TCP 636은 LDAP over SSL이 사용 중인 경우에만 필요합니다.
인바운드 규칙
| 프로토콜 | 포트 범위 | 소스 | 트래픽 유형 | Active Directory 사용 |
|---|---|---|---|---|
| TCP 및 UDP | 53 | 고객 도메인 컨트롤러 CIDR | DNS | 사용자 및 컴퓨터 인증, 이름 확인, 신뢰 |
| TCP 및 UDP | 88 | 고객 도메인 컨트롤러 CIDR | Kerberos | 사용자 및 컴퓨터 인증, 포리스트 수준 신뢰 |
| TCP 및 UDP | 389 | 고객 도메인 컨트롤러 CIDR | LDAP | 디렉터리, 복제, 사용자 및 컴퓨터 인증 그룹 정책, 신뢰 |
| TCP 및 UDP | 464 | 고객 도메인 컨트롤러 CIDR | Kerberos 암호 변경/설정 | 복제, 사용자 및 컴퓨터 인증, 신뢰 |
| TCP | 445 | 고객 도메인 컨트롤러 CIDR | SMB/CIFS | 복제, 사용자 및 컴퓨터 인증, 그룹 정책 신뢰 |
| TCP | 135 | 고객 도메인 컨트롤러 CIDR | 복제 | RPC, EPM |
| TCP | 636 | 고객 도메인 컨트롤러 CIDR | LDAP SSL | 디렉터리, 복제, 사용자 및 컴퓨터 인증 그룹 정책, 신뢰 |
| TCP | 49,152~65,535 | 고객 도메인 컨트롤러 CIDR | RPC | 복제, 사용자 및 컴퓨터 인증, 그룹 정책, 신뢰 |
| TCP | 3268 - 3269 | 고객 도메인 컨트롤러 CIDR | LDAP GC 및 LDAP GC SSL | 디렉터리, 복제, 사용자 및 컴퓨터 인증 그룹 정책, 신뢰 |
| UDP | 123 | 고객 도메인 컨트롤러 CIDR | Windows 시간 | Windows 시간, 신뢰 |
아웃바운드 규칙
| 프로토콜 | 포트 범위 | 소스 | 트래픽 유형 | Active Directory 사용 |
|---|---|---|---|---|
| 모두 | 모두 | 고객 도메인 컨트롤러 CIDR | 모든 트래픽 |
AWS 애플리케이션 및 기본 Active Directory 워크로드 지원
사용자 계정은 다음과 같은 지원되는 AWS 애플리케이션에서 사용할 수 있도록 AWS 관리형 Microsoft AD에서만 프로비저닝됩니다.
-
Amazon Chime
-
Amazon Connect
-
Amazon EC2 인스턴스
-
Amazon FSx
-
Amazon QuickSight
-
Amazon RDS for MySQL
-
Amazon RDS for Oracle
-
Amazon RDS for PostgreSQL
-
Amazon RDS for SQL Server
-
AWS IAM Identity Center
-
Amazon WorkDocs
-
Amazon WorkMail
-
WorkSpaces
-
AWS Client VPN
-
AWS Management Console
프로비저닝된 AWS 보안 그룹 구성을 수정하여 AWS 관리형 Microsoft AD 도메인 컨트롤러에 대한 모든 비필수 트래픽을 차단할 수 있습니다.
참고
-
Active Directory AWS 관리형 Microsoft AD 디렉터리와 고객 도메인 컨트롤러 CIDR 간에는 트러스트를 생성하고 유지할 수 없습니다.
-
이를 위해서는 “고객 클라이언트 CIDR” 네트워크가 안전한지 확인해야 합니다.
-
TCP 636은 LDAP over SSL이 사용 중인 경우에만 필요합니다.
-
이 구성에서 엔터프라이즈 CA를 사용하려면 아웃바운드 규칙 “TCP, 443, CA CIDR”을 생성해야 합니다.
인바운드 규칙
| 프로토콜 | 포트 범위 | 소스 | 트래픽 유형 | Active Directory 사용 |
|---|---|---|---|---|
| TCP 및 UDP | 53 | 고객 클라이언트 CIDR | DNS | 사용자 및 컴퓨터 인증, 이름 확인, 신뢰 |
| TCP 및 UDP | 88 | 고객 클라이언트 CIDR | Kerberos | 사용자 및 컴퓨터 인증, 포리스트 수준 신뢰 |
| TCP 및 UDP | 389 | 고객 클라이언트 CIDR | LDAP | 디렉터리, 복제, 사용자 및 컴퓨터 인증 그룹 정책, 신뢰 |
| TCP 및 UDP | 445 | 고객 클라이언트 CIDR | SMB/CIFS | 복제, 사용자 및 컴퓨터 인증, 그룹 정책 신뢰 |
| TCP 및 UDP | 464 | 고객 클라이언트 CIDR | Kerberos 암호 변경/설정 | 복제, 사용자 및 컴퓨터 인증, 신뢰 |
| TCP | 135 | 고객 클라이언트 CIDR | 복제 | RPC, EPM |
| TCP | 636 | 고객 클라이언트 CIDR | LDAP SSL | 디렉터리, 복제, 사용자 및 컴퓨터 인증 그룹 정책, 신뢰 |
| TCP | 49,152~65,535 | 고객 클라이언트 CIDR | RPC | 복제, 사용자 및 컴퓨터 인증, 그룹 정책, 신뢰 |
| TCP | 3268 - 3269 | 고객 클라이언트 CIDR | LDAP GC 및 LDAP GC SSL | 디렉터리, 복제, 사용자 및 컴퓨터 인증 그룹 정책, 신뢰 |
| TCP | 9389 | 고객 클라이언트 CIDR | SOAP | AD DS 웹 서비스 |
| UDP | 123 | 고객 클라이언트 CIDR | Windows 시간 | Windows 시간, 신뢰 |
| UDP | 138 | 고객 클라이언트 CIDR | DFSN 및 NetLogon | DFS, 그룹 정책 |
아웃바운드 규칙
없음.
AWS 신뢰 지원을 통한 애플리케이션 및 기본 Active Directory 워크로드 지원
모든 사용자 계정은 AWS 관리형 Microsoft AD 또는 신뢰할 수 있는 Active Directory에 프로비저닝되어 다음과 같은 지원되는 AWS 애플리케이션에 사용됩니다.
-
Amazon Chime
-
Amazon Connect
-
Amazon EC2 인스턴스
-
Amazon FSx
-
Amazon QuickSight
-
Amazon RDS for MySQL
-
Amazon RDS for Oracle
-
Amazon RDS for PostgreSQL
-
Amazon RDS for SQL Server
-
AWS IAM Identity Center
-
Amazon WorkDocs
-
Amazon WorkMail
-
WorkSpaces
-
AWS Client VPN
-
AWS Management Console
프로비저닝된 AWS 보안 그룹 구성을 수정하여 AWS 관리형 Microsoft AD 도메인 컨트롤러에 대한 모든 비필수 트래픽을 차단할 수 있습니다.
참고
-
이를 위해서는 “고객 도메인 컨트롤러 CIDR” 및 “고객 클라이언트 CIDR” 네트워크가 안전한지 확인해야 합니다.
-
“고객 도메인 컨트롤러 CIDR”이 포함된 TCP 445는 신뢰 생성에만 사용되며 신뢰가 설정된 후 제거할 수 있습니다.
-
'고객 클라이언트 CIDR'이 있는 TCP 445는 그룹 정책 처리에 필요하므로 열려 있어야 합니다.
-
TCP 636은 LDAP over SSL이 사용 중인 경우에만 필요합니다.
-
이 구성에서 엔터프라이즈 CA를 사용하려면 아웃바운드 규칙 “TCP, 443, CA CIDR”을 생성해야 합니다.
인바운드 규칙
| 프로토콜 | 포트 범위 | 소스 | 트래픽 유형 | Active Directory 사용 |
|---|---|---|---|---|
| TCP 및 UDP | 53 | 고객 도메인 컨트롤러 CIDR | DNS | 사용자 및 컴퓨터 인증, 이름 확인, 신뢰 |
| TCP 및 UDP | 88 | 고객 도메인 컨트롤러 CIDR | Kerberos | 사용자 및 컴퓨터 인증, 포리스트 수준 신뢰 |
| TCP 및 UDP | 389 | 고객 도메인 컨트롤러 CIDR | LDAP | 디렉터리, 복제, 사용자 및 컴퓨터 인증 그룹 정책, 신뢰 |
| TCP 및 UDP | 464 | 고객 도메인 컨트롤러 CIDR | Kerberos 암호 변경/설정 | 복제, 사용자 및 컴퓨터 인증, 신뢰 |
| TCP | 445 | 고객 도메인 컨트롤러 CIDR | SMB/CIFS | 복제, 사용자 및 컴퓨터 인증, 그룹 정책 신뢰 |
| TCP | 135 | 고객 도메인 컨트롤러 CIDR | 복제 | RPC, EPM |
| TCP | 636 | 고객 도메인 컨트롤러 CIDR | LDAP SSL | 디렉터리, 복제, 사용자 및 컴퓨터 인증 그룹 정책, 신뢰 |
| TCP | 49,152~65,535 | 고객 도메인 컨트롤러 CIDR | RPC | 복제, 사용자 및 컴퓨터 인증, 그룹 정책, 신뢰 |
| TCP | 3268 - 3269 | 고객 도메인 컨트롤러 CIDR | LDAP GC 및 LDAP GC SSL | 디렉터리, 복제, 사용자 및 컴퓨터 인증 그룹 정책, 신뢰 |
| UDP | 123 | 고객 도메인 컨트롤러 CIDR | Windows 시간 | Windows 시간, 신뢰 |
| TCP 및 UDP | 53 | 고객 도메인 컨트롤러 CIDR | DNS | 사용자 및 컴퓨터 인증, 이름 확인, 신뢰 |
| TCP 및 UDP | 88 | 고객 도메인 컨트롤러 CIDR | Kerberos | 사용자 및 컴퓨터 인증, 포리스트 수준 신뢰 |
| TCP 및 UDP | 389 | 고객 도메인 컨트롤러 CIDR | LDAP | 디렉터리, 복제, 사용자 및 컴퓨터 인증 그룹 정책, 신뢰 |
| TCP 및 UDP | 445 | 고객 도메인 컨트롤러 CIDR | SMB/CIFS | 복제, 사용자 및 컴퓨터 인증, 그룹 정책 신뢰 |
| TCP 및 UDP | 464 | 고객 도메인 컨트롤러 CIDR | Kerberos 암호 변경/설정 | 복제, 사용자 및 컴퓨터 인증, 신뢰 |
| TCP | 135 | 고객 도메인 컨트롤러 CIDR | 복제 | RPC, EPM |
| TCP | 636 | 고객 도메인 컨트롤러 CIDR | LDAP SSL | 디렉터리, 복제, 사용자 및 컴퓨터 인증 그룹 정책, 신뢰 |
| TCP | 49,152~65,535 | 고객 도메인 컨트롤러 CIDR | RPC | 복제, 사용자 및 컴퓨터 인증, 그룹 정책, 신뢰 |
| TCP | 3268 - 3269 | 고객 도메인 컨트롤러 CIDR | LDAP GC 및 LDAP GC SSL | 디렉터리, 복제, 사용자 및 컴퓨터 인증 그룹 정책, 신뢰 |
| TCP | 9389 | 고객 도메인 컨트롤러 CIDR | SOAP | AD DS 웹 서비스 |
| UDP | 123 | 고객 도메인 컨트롤러 CIDR | Windows 시간 | Windows 시간, 신뢰 |
| UDP | 138 | 고객 도메인 컨트롤러 CIDR | DFSN 및 NetLogon | DFS, 그룹 정책 |
아웃바운드 규칙
| 프로토콜 | 포트 범위 | 소스 | 트래픽 유형 | Active Directory 사용 |
|---|---|---|---|---|
| 모두 | 모두 | 고객 도메인 컨트롤러 CIDR | 모든 트래픽 |
