Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Mejora de la configuración de seguridad de la red AWS gestionada de Microsoft AD
El grupo de AWS seguridad que se aprovisiona para el directorio de Microsoft AD AWS administrado está configurado con los puertos de red de entrada mínimos necesarios para admitir todos los casos de uso conocidos del directorio de AWS Microsoft AD administrado. Para obtener más información sobre el grupo de AWS seguridad aprovisionado, consulte. ¿Qué se crea con AWS Managed Microsoft AD?
Para mejorar aún más la seguridad de la red del directorio AWS administrado de Microsoft AD, puede modificar el grupo de AWS seguridad en función de los siguientes escenarios comunes.
CIDR de controladores de dominio del cliente: este bloque de CIDR es donde residen los controladores de dominio en las instalaciones de su dominio.
CIDR del cliente: este bloque CIDR es el lugar donde sus clientes, como ordenadores o usuarios, se autentican en su AWS Microsoft AD administrado. Los controladores de dominio AWS gestionados de Microsoft AD también residen en este bloque CIDR.
Escenarios
AWS las aplicaciones solo son compatibles
Todas las cuentas de usuario se aprovisionan únicamente en su Microsoft AD AWS administrado para usarlas con AWS las aplicaciones compatibles, como las siguientes:
-
Amazon Chime
-
Amazon Connect
-
Quick Suite
-
AWS IAM Identity Center
-
WorkDocs
-
Amazon WorkMail
-
AWS Client VPN
-
Consola de administración de AWS
Puede usar la siguiente configuración de grupo AWS de seguridad para bloquear todo el tráfico no esencial a sus controladores de dominio AWS gestionados de Microsoft AD.
nota
-
Lo siguiente no es compatible con esta configuración de grupo AWS de seguridad:
-
EC2 Instancias de Amazon
-
Amazon FSx
-
Amazon RDS para MySQL
-
Amazon RDS para Oracle
-
Amazon RDS para PostgreSQL
-
Amazon RDS para SQL Server
-
WorkSpaces
-
Relaciones de confianza de Active Directory
-
Clientes o servidores unidos al dominio
-
Reglas entrantes
Ninguna.
Reglas salientes
Ninguna.
AWS aplicaciones solo con soporte de confianza
Todas las cuentas de usuario se aprovisionan en su Microsoft AD AWS administrado o Active Directory de confianza para usarlas con AWS las aplicaciones compatibles, como las siguientes:
-
Amazon Chime
-
Amazon Connect
-
Quick Suite
-
AWS IAM Identity Center
-
WorkDocs
-
Amazon WorkMail
-
Amazon WorkSpaces
-
AWS Client VPN
-
Consola de administración de AWS
Puede modificar la configuración del grupo de AWS seguridad aprovisionado para bloquear todo el tráfico no esencial dirigido a sus controladores de dominio gestionados de AWS Microsoft AD.
nota
-
Lo siguiente no es compatible con esta configuración de grupo AWS de seguridad:
-
EC2 Instancias de Amazon
-
Amazon FSx
-
Amazon RDS para MySQL
-
Amazon RDS para Oracle
-
Amazon RDS para PostgreSQL
-
Amazon RDS para SQL Server
-
WorkSpaces
-
Relaciones de confianza de Active Directory
-
Clientes o servidores unidos al dominio
-
-
Esta configuración requiere que se asegure de que la red “CIDR de controladores de dominio de cliente” sea segura.
-
TCP 445 se utiliza solo para la creación de relaciones de confianza y se puede eliminar una vez establecida la relación de confianza.
-
TCP 636 solo se requiere cuando LDAP a través de SSL está en uso.
Reglas entrantes
| Protocolo | Intervalo de puertos | origen | Tipo de tráfico | Uso de Active Directory |
|---|---|---|---|---|
| TCP y UDP | 53 | Controladores de dominio del cliente (CIDR) | DNS | Autenticación de usuarios y equipos, resolución de nombres, relaciones de confianza |
| TCP y UDP | 88 | Controladores de dominio del cliente (CIDR) | Kerberos | Autenticación de usuarios y equipos, relaciones de confianza de nivel de bosque |
| TCP y UDP | 389 | Controladores de dominio del cliente (CIDR) | LDAP | Política de grupo de autenticación de directorios, replicación, usuarios y equipos, relaciones de confianza |
| TCP y UDP | 464 | Controladores de dominio del cliente (CIDR) | Cambiar/establecer contraseña de Kerberos | Replicación, autenticación de usuarios y equipos, relaciones de confianza |
| TCP | 445 | Controladores de dominio del cliente (CIDR) | SMB/CIFS | Replicación, autenticación de usuarios y equipos, relaciones de confianza de políticas de grupo |
| TCP | 135 | Controladores de dominio del cliente (CIDR) | Replicación | RPC, EPM |
| TCP | 636 | Controladores de dominio del cliente (CIDR) | LDAP SSL | Política de grupo de autenticación de directorios, replicación, usuarios y equipos, relaciones de confianza |
| TCP | 49152 - 65535 | Controladores de dominio del cliente (CIDR) | RPC | Replicación, autenticación de usuarios y equipos, política de grupo, relaciones de confianza |
| TCP | 3268 - 3269 | Controladores de dominio del cliente (CIDR) | LDAP GC y LDAP GC SSL | Política de grupo de autenticación de directorios, replicación, usuarios y equipos, relaciones de confianza |
| UDP | 123 | Controladores de dominio del cliente (CIDR) | Hora de Windows | Hora de Windows, relaciones de confianza |
Reglas salientes
| Protocolo | Intervalo de puertos | origen | Tipo de tráfico | Uso de Active Directory |
|---|---|---|---|---|
| Todos | Todos | Controladores de dominio del cliente (CIDR) | Todo el tráfico |
AWS soporte para aplicaciones y cargas de trabajo nativas de Active Directory
Las cuentas de usuario se aprovisionan únicamente en su Microsoft AD AWS administrado para usarlas con AWS las aplicaciones compatibles, como las siguientes:
-
Amazon Chime
-
Amazon Connect
-
EC2 Instancias de Amazon
-
Amazon FSx
-
Quick Suite
-
Amazon RDS para MySQL
-
Amazon RDS para Oracle
-
Amazon RDS para PostgreSQL
-
Amazon RDS para SQL Server
-
AWS IAM Identity Center
-
WorkDocs
-
Amazon WorkMail
-
WorkSpaces
-
AWS Client VPN
-
Consola de administración de AWS
Puede modificar la configuración del grupo de AWS seguridad aprovisionado para bloquear todo el tráfico no esencial dirigido a sus controladores de dominio gestionados de AWS Microsoft AD.
nota
-
No se pueden crear ni mantener confianzas de Active Directory entre el directorio AWS administrado de Microsoft AD y los controladores de dominio del cliente CIDR.
-
Requiere asegurarse de que la red “CIDR del cliente” es segura.
-
TCP 636 solo se requiere cuando LDAP a través de SSL está en uso.
-
Si desea utilizar una CA empresarial con esta configuración, deberá crear una regla de salida “TCP, 443, CA CIDR”.
Reglas entrantes
| Protocolo | Intervalo de puertos | origen | Tipo de tráfico | Uso de Active Directory |
|---|---|---|---|---|
| TCP y UDP | 53 | CIDR de cliente | DNS | Autenticación de usuarios y equipos, resolución de nombres, relaciones de confianza |
| TCP y UDP | 88 | CIDR de cliente | Kerberos | Autenticación de usuarios y equipos, relaciones de confianza de nivel de bosque |
| TCP y UDP | 389 | CIDR de cliente | LDAP | Política de grupo de autenticación de directorios, replicación, usuarios y equipos, relaciones de confianza |
| TCP y UDP | 445 | CIDR de cliente | SMB/CIFS | Replicación, autenticación de usuarios y equipos, relaciones de confianza de políticas de grupo |
| TCP y UDP | 464 | CIDR de cliente | Cambiar/establecer contraseña de Kerberos | Replicación, autenticación de usuarios y equipos, relaciones de confianza |
| TCP | 135 | CIDR de cliente | Replicación | RPC, EPM |
| TCP | 636 | CIDR de cliente | LDAP SSL | Política de grupo de autenticación de directorios, replicación, usuarios y equipos, relaciones de confianza |
| TCP | 49152 - 65535 | CIDR de cliente | RPC | Replicación, autenticación de usuarios y equipos, política de grupo, relaciones de confianza |
| TCP | 3268 - 3269 | CIDR de cliente | LDAP GC y LDAP GC SSL | Política de grupo de autenticación de directorios, replicación, usuarios y equipos, relaciones de confianza |
| TCP | 9389 | CIDR de cliente | SOAP | Servicios web de AD DS |
| UDP | 123 | CIDR de cliente | Hora de Windows | Hora de Windows, relaciones de confianza |
| UDP | 138 | CIDR de cliente | DFSN & NetLogon | DFS, política de grupo |
Reglas salientes
Ninguna.
AWS soporte para aplicaciones y cargas de trabajo nativas de Active Directory con soporte de confianza
Todas las cuentas de usuario se aprovisionan en su Microsoft AD AWS administrado o Active Directory de confianza para usarlas con AWS las aplicaciones compatibles, como las siguientes:
-
Amazon Chime
-
Amazon Connect
-
EC2 Instancias de Amazon
-
Amazon FSx
-
Quick Suite
-
Amazon RDS para MySQL
-
Amazon RDS para Oracle
-
Amazon RDS para PostgreSQL
-
Amazon RDS para SQL Server
-
AWS IAM Identity Center
-
WorkDocs
-
Amazon WorkMail
-
WorkSpaces
-
AWS Client VPN
-
Consola de administración de AWS
Puede modificar la configuración del grupo de AWS seguridad aprovisionado para bloquear todo el tráfico no esencial dirigido a sus controladores de dominio gestionados de AWS Microsoft AD.
nota
-
Requiere que se asegure de que las redes “CIDR de controladores de dominio de cliente” y “CIDR de cliente” sean seguras.
-
TCP 445 con “CIDR de controladores de dominio de cliente” se utiliza solo para la creación de relaciones de confianza y se puede eliminar después de que se haya establecido la relación de confianza.
-
TCP 445 con “CIDR cliente” debe dejarse abierto ya que es necesario para el procesamiento de la política de grupo.
-
TCP 636 solo se requiere cuando LDAP a través de SSL está en uso.
-
Si desea utilizar una CA empresarial con esta configuración, deberá crear una regla de salida “TCP, 443, CA CIDR”.
Reglas entrantes
| Protocolo | Intervalo de puertos | origen | Tipo de tráfico | Uso de Active Directory |
|---|---|---|---|---|
| TCP y UDP | 53 | Controladores de dominio del cliente (CIDR) | DNS | Autenticación de usuarios y equipos, resolución de nombres, relaciones de confianza |
| TCP y UDP | 88 | Controladores de dominio del cliente (CIDR) | Kerberos | Autenticación de usuarios y equipos, relaciones de confianza de nivel de bosque |
| TCP y UDP | 389 | Controladores de dominio del cliente (CIDR) | LDAP | Política de grupo de autenticación de directorios, replicación, usuarios y equipos, relaciones de confianza |
| TCP y UDP | 464 | Controladores de dominio del cliente (CIDR) | Cambiar/establecer contraseña de Kerberos | Replicación, autenticación de usuarios y equipos, relaciones de confianza |
| TCP | 445 | Controladores de dominio del cliente (CIDR) | SMB/CIFS | Replicación, autenticación de usuarios y equipos, relaciones de confianza de políticas de grupo |
| TCP | 135 | Controladores de dominio del cliente (CIDR) | Replicación | RPC, EPM |
| TCP | 636 | Controladores de dominio del cliente (CIDR) | LDAP SSL | Política de grupo de autenticación de directorios, replicación, usuarios y equipos, relaciones de confianza |
| TCP | 49152 - 65535 | Controladores de dominio del cliente (CIDR) | RPC | Replicación, autenticación de usuarios y equipos, política de grupo, relaciones de confianza |
| TCP | 3268 - 3269 | Controladores de dominio del cliente (CIDR) | LDAP GC y LDAP GC SSL | Política de grupo de autenticación de directorios, replicación, usuarios y equipos, relaciones de confianza |
| UDP | 123 | Controladores de dominio del cliente (CIDR) | Hora de Windows | Hora de Windows, relaciones de confianza |
| TCP y UDP | 53 | Controladores de dominio del cliente (CIDR) | DNS | Autenticación de usuarios y equipos, resolución de nombres, relaciones de confianza |
| TCP y UDP | 88 | Controladores de dominio del cliente (CIDR) | Kerberos | Autenticación de usuarios y equipos, relaciones de confianza de nivel de bosque |
| TCP y UDP | 389 | Controladores de dominio del cliente (CIDR) | LDAP | Política de grupo de autenticación de directorios, replicación, usuarios y equipos, relaciones de confianza |
| TCP y UDP | 445 | Controladores de dominio del cliente (CIDR) | SMB/CIFS | Replicación, autenticación de usuarios y equipos, relaciones de confianza de políticas de grupo |
| TCP y UDP | 464 | Controladores de dominio del cliente (CIDR) | Cambiar/establecer contraseña de Kerberos | Replicación, autenticación de usuarios y equipos, relaciones de confianza |
| TCP | 135 | Controladores de dominio del cliente (CIDR) | Replicación | RPC, EPM |
| TCP | 636 | Controladores de dominio del cliente (CIDR) | LDAP SSL | Política de grupo de autenticación de directorios, replicación, usuarios y equipos, relaciones de confianza |
| TCP | 49152 - 65535 | Controladores de dominio del cliente (CIDR) | RPC | Replicación, autenticación de usuarios y equipos, política de grupo, relaciones de confianza |
| TCP | 3268 - 3269 | Controladores de dominio del cliente (CIDR) | LDAP GC y LDAP GC SSL | Política de grupo de autenticación de directorios, replicación, usuarios y equipos, relaciones de confianza |
| TCP | 9389 | Controladores de dominio del cliente (CIDR) | SOAP | Servicios web de AD DS |
| UDP | 123 | Controladores de dominio del cliente (CIDR) | Hora de Windows | Hora de Windows, relaciones de confianza |
| UDP | 138 | Controladores de dominio del cliente (CIDR) | DFSN y NetLogon | DFS, política de grupo |
Reglas salientes
| Protocolo | Intervalo de puertos | origen | Tipo de tráfico | Uso de Active Directory |
|---|---|---|---|---|
| Todos | Todos | Controladores de dominio del cliente (CIDR) | Todo el tráfico |
