AWS Managed Microsoft AD のネットワークセキュリティ設定の強化
AWS Managed Microsoft AD ディレクトリ用にプロビジョニングされている AWS セキュリティグループには、AWS Managed Microsoft AD ディレクトリのすべての既知のユースケースをサポートするために必要な、最小限のインバウンドネットワークポートが設定済みとなっています。プロビジョニングされた AWS セキュリティグループの詳細については、「AWS Managed Microsoft AD で作成されるもの」を参照してください。
AWS Managed Microsoft AD ディレクトリのネットワークセキュリティをさらに強化するために、以下に示す一般的なシナリオに応じて AWS セキュリティグループを変更できます。
[カスタマードメインコントローラー CIDR] - この CIDR ブロックは、ドメインオンプレミスドメインコントローラーが存在する場所です。
[カスタマークライアント CIDR] - この CIDR ブロックは、コンピュータやユーザーなどのクライアントが AWS Managed Microsoft AD に対して認証する場所です。AWS Managed Microsoft AD ドメインコントローラーもこの CIDR ブロックにあります。
シナリオ
AWS アプリケーションのみのサポート
すべてのユーザーアカウントは、以下に挙げるようなサポートされた AWS アプリケーション専用として、AWS Managed Microsoft AD にプロビジョニングされます。
-
Amazon Chime
-
Amazon Connect
-
Quick Suite
-
AWS IAM Identity Center
-
WorkDocs
-
Amazon WorkMail
-
AWS Client VPN
-
AWS マネジメントコンソール
AWS Managed Microsoft AD ドメインコントローラーへの重要でないすべてのトラフィックは、次の AWS セキュリティグループ設定を使用してブロックできます。
注記
-
以下のサービスでは、この AWS セキュリティグループ設定を使用できません。
-
Amazon EC2 インスタンス
-
Amazon FSx
-
Amazon RDS for MySQL
-
Amazon RDS for Oracle
-
Amazon RDS for PostgreSQL
-
Amazon RDS for SQL Server
-
WorkSpaces
-
Active Directory での信頼
-
ドメイン参加済みのクライアントまたはサーバー
-
インバウンドルール
なし。
アウトバウンドルール
なし。
AWS 信頼がサポートされる アプリケーション
すべてのユーザーアカウントは、AWS Managed Microsoft AD 、または信頼された Active Directory にプロビジョニングされており、これをサポートしている以下の AWS アプリケーションにおいて使用が可能です。
-
Amazon Chime
-
Amazon Connect
-
Quick Suite
-
AWS IAM Identity Center
-
WorkDocs
-
Amazon WorkMail
-
Amazon WorkSpaces
-
AWS Client VPN
-
AWS マネジメントコンソール
プロビジョニングされている AWS セキュリティグループ設定を変更すると、AWS Managed Microsoft AD ドメインコントローラーへの、重要ではないすべてのトラフィックをブロックすることができます。
注記
-
以下のサービスでは、この AWS セキュリティグループ設定を使用できません。
-
Amazon EC2 インスタンス
-
Amazon FSx
-
Amazon RDS for MySQL
-
Amazon RDS for Oracle
-
Amazon RDS for PostgreSQL
-
Amazon RDS for SQL Server
-
WorkSpaces
-
Active Directory での信頼
-
ドメイン参加済みのクライアントまたはサーバー
-
-
この設定では、「カスタマードメインコントローラ CIDR」ネットワークのセキュリティを確保する必要があります。
-
TCP 445 は、信頼の作成時にだけ使用し、信頼の確立後は削除できます。
-
TCP 636 は、SSL 経由で LDAP を使用している場合にのみ必要となります。
インバウンドルール
| プロトコル | ポート範囲 | ソース | トラフィックの種類 | Active Directory の使用 |
|---|---|---|---|---|
| TCP と UDP | 53 | カスタマードメインコントローラー CIDR | DNS | ユーザーとコンピュータの認証、名前解決、信頼 |
| TCP と UDP | 88 | カスタマードメインコントローラー CIDR | Kerberos | ユーザーとコンピュータの認証、フォレストレベルの信頼 |
| TCP と UDP | 389 | カスタマードメインコントローラー CIDR | LDAP | ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP と UDP | 464 | カスタマードメインコントローラー CIDR | Kerberos パスワードの変更 / 設定 | レプリケーション、ユーザーとコンピュータの認証、信頼 |
| TCP | 445 | カスタマードメインコントローラー CIDR | SMB / CIFS | レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP | 135 | カスタマードメインコントローラー CIDR | レプリケーション | RPC、EPM |
| TCP | 636 | カスタマードメインコントローラー CIDR | LDAP SSL | ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP | 49152 - 65535 | カスタマードメインコントローラー CIDR | RPC | レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP | 3268 - 3269 | カスタマードメインコントローラー CIDR | LDAP GC および LDAP GC SSL | ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| UDP | 123 | カスタマードメインコントローラー CIDR | Windows タイム | Windows タイム、信頼 |
アウトバウンドルール
| プロトコル | ポート範囲 | ソース | トラフィックの種類 | Active Directory の使用 |
|---|---|---|---|---|
| すべて | すべて | カスタマードメインコントローラー CIDR | すべてのトラフィック |
AWS アプリケーションとネイティブの Active Directory ワークロードのサポート
ユーザーアカウントは、以下に挙げるようなサポートされた AWS アプリケーション専用として、AWS Managed Microsoft AD にプロビジョニングされています。
-
Amazon Chime
-
Amazon Connect
-
Amazon EC2 インスタンス
-
Amazon FSx
-
Quick Suite
-
Amazon RDS for MySQL
-
Amazon RDS for Oracle
-
Amazon RDS for PostgreSQL
-
Amazon RDS for SQL Server
-
AWS IAM Identity Center
-
WorkDocs
-
Amazon WorkMail
-
WorkSpaces
-
AWS Client VPN
-
AWS マネジメントコンソール
プロビジョニングされている AWS セキュリティグループ設定を変更すると、AWS Managed Microsoft AD ドメインコントローラーへの、重要ではないすべてのトラフィックをブロックすることができます。
注記
-
AWS Managed Microsoft AD ディレクトリとカスタマードメインコントローラ CIDR との間では、Active Directory の信頼を作成し維持することはできません。
-
そのためには、「カスタマークライアント CIDR」ネットワークのセキュリティを確保する必要があります。
-
TCP 636 は、SSL 経由で LDAP を使用している場合にのみ必要となります。
-
この設定エンタープライズ CA を使用する場合は、アウトバウンドルールとして「TCP、443、CA CIDR」を作成する必要があります。
インバウンドルール
| プロトコル | ポート範囲 | ソース | トラフィックの種類 | Active Directory の使用 |
|---|---|---|---|---|
| TCP と UDP | 53 | カスタマークライアント CIDR | DNS | ユーザーとコンピュータの認証、名前解決、信頼 |
| TCP と UDP | 88 | カスタマークライアント CIDR | Kerberos | ユーザーとコンピュータの認証、フォレストレベルの信頼 |
| TCP と UDP | 389 | カスタマークライアント CIDR | LDAP | ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP と UDP | 445 | カスタマークライアント CIDR | SMB / CIFS | レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP と UDP | 464 | カスタマークライアント CIDR | Kerberos パスワードの変更 / 設定 | レプリケーション、ユーザーとコンピュータの認証、信頼 |
| TCP | 135 | カスタマークライアント CIDR | レプリケーション | RPC、EPM |
| TCP | 636 | カスタマークライアント CIDR | LDAP SSL | ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP | 49152 - 65535 | カスタマークライアント CIDR | RPC | レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP | 3268 - 3269 | カスタマークライアント CIDR | LDAP GC および LDAP GC SSL | ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP | 9389 | カスタマークライアント CIDR | SOAP | AD DS ウェブサービス |
| UDP | 123 | カスタマークライアント CIDR | Windows タイム | Windows タイム、信頼 |
| UDP | 138 | カスタマークライアント CIDR | DFSN と NetLogon | DFS、グループポリシー |
アウトバウンドルール
なし。
AWS 信頼の使用が可能な アプリケーションとネイティブの Active Directory ワークロードのサポート
すべてのユーザーアカウントは、AWS Managed Microsoft AD 、または信頼された Active Directory にプロビジョニングされており、これをサポートしている以下の AWS アプリケーションにおいて使用が可能です。
-
Amazon Chime
-
Amazon Connect
-
Amazon EC2 インスタンス
-
Amazon FSx
-
Quick Suite
-
Amazon RDS for MySQL
-
Amazon RDS for Oracle
-
Amazon RDS for PostgreSQL
-
Amazon RDS for SQL Server
-
AWS IAM Identity Center
-
WorkDocs
-
Amazon WorkMail
-
WorkSpaces
-
AWS Client VPN
-
AWS マネジメントコンソール
プロビジョニングされている AWS セキュリティグループ設定を変更すると、AWS Managed Microsoft AD ドメインコントローラーへの、重要ではないすべてのトラフィックをブロックすることができます。
注記
-
「顧客ドメインコントローラー CIDR」と「顧客クライアント CIDR」ネットワークが安全であることを確認する必要があります。
-
「カスタマードメインコントローラ CIDR」での TCP 445 は、信頼の作成時にのみ使用され、信頼の確立後は削除できます。
-
「カスタマークライアント CIDR」での TCP 445 は、グループポリシーの処理に必要なため、開いたままにしておきます。
-
TCP 636 は、SSL 経由で LDAP を使用している場合にのみ必要となります。
-
この設定エンタープライズ CA を使用する場合は、アウトバウンドルールとして「TCP、443、CA CIDR」を作成する必要があります。
インバウンドルール
| プロトコル | ポート範囲 | ソース | トラフィックの種類 | Active Directory の使用 |
|---|---|---|---|---|
| TCP と UDP | 53 | カスタマードメインコントローラー CIDR | DNS | ユーザーとコンピュータの認証、名前解決、信頼 |
| TCP と UDP | 88 | カスタマードメインコントローラー CIDR | Kerberos | ユーザーとコンピュータの認証、フォレストレベルの信頼 |
| TCP と UDP | 389 | カスタマードメインコントローラー CIDR | LDAP | ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP と UDP | 464 | カスタマードメインコントローラー CIDR | Kerberos パスワードの変更 / 設定 | レプリケーション、ユーザーとコンピュータの認証、信頼 |
| TCP | 445 | カスタマードメインコントローラー CIDR | SMB / CIFS | レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP | 135 | カスタマードメインコントローラー CIDR | レプリケーション | RPC、EPM |
| TCP | 636 | カスタマードメインコントローラー CIDR | LDAP SSL | ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP | 49152 - 65535 | カスタマードメインコントローラー CIDR | RPC | レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP | 3268 - 3269 | カスタマードメインコントローラー CIDR | LDAP GC および LDAP GC SSL | ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| UDP | 123 | カスタマードメインコントローラー CIDR | Windows タイム | Windows タイム、信頼 |
| TCP と UDP | 53 | カスタマードメインコントローラー CIDR | DNS | ユーザーとコンピュータの認証、名前解決、信頼 |
| TCP と UDP | 88 | カスタマードメインコントローラー CIDR | Kerberos | ユーザーとコンピュータの認証、フォレストレベルの信頼 |
| TCP と UDP | 389 | カスタマードメインコントローラー CIDR | LDAP | ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP と UDP | 445 | カスタマードメインコントローラー CIDR | SMB / CIFS | レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP と UDP | 464 | カスタマードメインコントローラー CIDR | Kerberos パスワードの変更 / 設定 | レプリケーション、ユーザーとコンピュータの認証、信頼 |
| TCP | 135 | カスタマードメインコントローラー CIDR | レプリケーション | RPC、EPM |
| TCP | 636 | カスタマードメインコントローラー CIDR | LDAP SSL | ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP | 49152 - 65535 | カスタマードメインコントローラー CIDR | RPC | レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP | 3268 - 3269 | カスタマードメインコントローラー CIDR | LDAP GC および LDAP GC SSL | ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP | 9389 | カスタマードメインコントローラー CIDR | SOAP | AD DS ウェブサービス |
| UDP | 123 | カスタマードメインコントローラー CIDR | Windows タイム | Windows タイム、信頼 |
| UDP | 138 | カスタマードメインコントローラー CIDR | DFSN と NetLogon | DFS、グループポリシー |
アウトバウンドルール
| プロトコル | ポート範囲 | ソース | トラフィックの種類 | Active Directory の使用 |
|---|---|---|---|---|
| すべて | すべて | カスタマードメインコントローラー CIDR | すべてのトラフィック |
