翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS Managed Microsoft AD ネットワークセキュリティ設定の強化
AWS Managed Microsoft AD ディレクトリ用にプロビジョニングされる AWS セキュリティグループは、 AWS Managed Microsoft AD ディレクトリのすべての既知のユースケースをサポートするために必要な最小限のインバウンドネットワークポートで設定されます。プロビジョニングされた AWS セキュリティグループの詳細については、「」を参照してください[AWS Managed Microsoft AD で作成される内容](ms_ad_getting_started_what_gets_created.md)。
AWS Managed Microsoft AD ディレクトリのネットワークセキュリティをさらに強化するために、以下の一般的なシナリオに基づいて AWS セキュリティグループを変更できます。
**[カスタマードメインコントローラー CIDR]** - この CIDR ブロックは、ドメインオンプレミスドメインコントローラーが存在する場所です。
**カスタマークライアント CIDR** - この CIDR ブロックは、コンピュータやユーザーなどのクライアントが AWS Managed Microsoft AD に対して認証する場所です。 AWS Managed Microsoft AD ドメインコントローラーもこの CIDR ブロックにあります。
**Topics**
+ [AWS アプリケーションは のみをサポートします](#aws_apps_support)
+ [AWS 信頼サポートのあるアプリケーションのみ](#aws_apps_trust_support)
+ [AWS アプリケーションとネイティブ Active Directory ワークロードのサポート](#aws_apps_native_ad_support)
+ [AWS アプリケーションとネイティブ Active Directory ワークロードのサポートと信頼サポート](#aws_apps_native_ad_trust_support)
## AWS アプリケーションは のみをサポートします
すべてのユーザーアカウントは AWS Managed Microsoft AD でのみプロビジョニングされ、次のようなサポートされている AWS アプリケーションで使用されます。
+ Amazon Chime
+ Amazon Connect
+ Quick
+ AWS IAM アイデンティティセンター
+ WorkDocs
+ Amazon WorkMail
+ AWS Client VPN
+ AWS マネジメントコンソール
次の AWS セキュリティグループ設定を使用して、 AWS Managed Microsoft AD ドメインコントローラーへの重要でないトラフィックをすべてブロックできます。
**注記**
以下は、この AWS セキュリティグループ設定と互換性がありません。
Amazon EC2 インスタンス
Amazon FSx
Amazon RDS for MySQL
Amazon RDS for Oracle
Amazon RDS for PostgreSQL
Amazon RDS for SQL Server
WorkSpaces
Active Directory での信頼
ドメイン参加済みのクライアントまたはサーバー
**インバウンドルール**
なし。
**アウトバウンドルール**
なし。
## AWS 信頼サポートのあるアプリケーションのみ
すべてのユーザーアカウントは AWS Managed Microsoft AD または信頼できる Active Directory にプロビジョニングされ、次のようなサポートされている AWS アプリケーションで使用されます。
+ Amazon Chime
+ Amazon Connect
+ Quick
+ AWS IAM アイデンティティセンター
+ WorkDocs
+ Amazon WorkMail
+ Amazon WorkSpaces
+ AWS Client VPN
+ AWS マネジメントコンソール
Managed AWS Microsoft AD ドメインコントローラーへの重要でないトラフィックをすべてブロックするように、プロビジョニングされた AWS セキュリティグループ設定を変更できます。
**注記**
以下は、この AWS セキュリティグループ設定と互換性がありません。
Amazon EC2 インスタンス
Amazon FSx
Amazon RDS for MySQL
Amazon RDS for Oracle
Amazon RDS for PostgreSQL
Amazon RDS for SQL Server
WorkSpaces
Active Directory での信頼
ドメイン参加済みのクライアントまたはサーバー
この設定では、「カスタマードメインコントローラ CIDR」ネットワークのセキュリティを確保する必要があります。
TCP 445 は、信頼の作成時にだけ使用し、信頼の確立後は削除できます。
TCP 636 は、SSL 経由で LDAP を使用している場合にのみ必要となります。
**インバウンドルール**
****
| プロトコル | ポート範囲 | ソース | トラフィックの種類 | Active Directory の使用 |
| --- | --- | --- | --- | --- |
| TCP と UDP | 53 | カスタマードメインコントローラー CIDR | DNS | ユーザーとコンピュータの認証、名前解決、信頼 |
| TCP と UDP | 88 | カスタマードメインコントローラー CIDR | Kerberos | ユーザーとコンピュータの認証、フォレストレベルの信頼 |
| TCP と UDP | 389 | カスタマードメインコントローラー CIDR | LDAP | ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP と UDP | 464 | カスタマードメインコントローラー CIDR | Kerberos パスワードの変更 / 設定 | レプリケーション、ユーザーとコンピュータの認証、信頼 |
| TCP | 445 | カスタマードメインコントローラー CIDR | SMB / CIFS | レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP | 135 | カスタマードメインコントローラー CIDR | レプリケーション | RPC、EPM |
| TCP | 636 | カスタマードメインコントローラー CIDR | LDAP SSL | ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP | 49152 - 65535 | カスタマードメインコントローラー CIDR | RPC | レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP | 3268 - 3269 | カスタマードメインコントローラー CIDR | LDAP GC および LDAP GC SSL | ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| UDP | 123 | カスタマードメインコントローラー CIDR | Windows タイム | Windows タイム、信頼 |
**アウトバウンドルール**
****
| プロトコル | ポート範囲 | ソース | トラフィックの種類 | Active Directory の使用 |
| --- | --- | --- | --- | --- |
| すべて | すべて | カスタマードメインコントローラー CIDR | すべてのトラフィック | |
## AWS アプリケーションとネイティブ Active Directory ワークロードのサポート
ユーザーアカウントは Managed Microsoft AD AWS でのみプロビジョニングされ、次のようなサポートされている AWS アプリケーションで使用されます。
+ Amazon Chime
+ Amazon Connect
+ Amazon EC2 インスタンス
+ Amazon FSx
+ Quick
+ Amazon RDS for MySQL
+ Amazon RDS for Oracle
+ Amazon RDS for PostgreSQL
+ Amazon RDS for SQL Server
+ AWS IAM アイデンティティセンター
+ WorkDocs
+ Amazon WorkMail
+ WorkSpaces
+ AWS Client VPN
+ AWS マネジメントコンソール
Managed AWS Microsoft AD ドメインコントローラーへの重要でないトラフィックをすべてブロックするように、プロビジョニングされた AWS セキュリティグループ設定を変更できます。
**注記**
Active Directory の信頼は、 AWS Managed Microsoft AD ディレクトリとカスタマードメインコントローラー CIDR の間で作成および維持することはできません。
そのためには、「カスタマークライアント CIDR」ネットワークのセキュリティを確保する必要があります。
TCP 636 は、SSL 経由で LDAP を使用している場合にのみ必要となります。
この設定エンタープライズ CA を使用する場合は、アウトバウンドルールとして「TCP、443、CA CIDR」を作成する必要があります。
**インバウンドルール**
****
| プロトコル | ポート範囲 | ソース | トラフィックの種類 | Active Directory の使用 |
| --- | --- | --- | --- | --- |
| TCP と UDP | 53 | カスタマークライアント CIDR | DNS | ユーザーとコンピュータの認証、名前解決、信頼 |
| TCP と UDP | 88 | カスタマークライアント CIDR | Kerberos | ユーザーとコンピュータの認証、フォレストレベルの信頼 |
| TCP と UDP | 389 | カスタマークライアント CIDR | LDAP | ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP と UDP | 445 | カスタマークライアント CIDR | SMB / CIFS | レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP と UDP | 464 | カスタマークライアント CIDR | Kerberos パスワードの変更 / 設定 | レプリケーション、ユーザーとコンピュータの認証、信頼 |
| TCP | 135 | カスタマークライアント CIDR | レプリケーション | RPC、EPM |
| TCP | 636 | カスタマークライアント CIDR | LDAP SSL | ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP | 49152 - 65535 | カスタマークライアント CIDR | RPC | レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP | 3268 - 3269 | カスタマークライアント CIDR | LDAP GC および LDAP GC SSL | ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP | 9389 | カスタマークライアント CIDR | SOAP | AD DS ウェブサービス |
| UDP | 123 | カスタマークライアント CIDR | Windows タイム | Windows タイム、信頼 |
| UDP | 138 | カスタマークライアント CIDR | DFSN と NetLogon | DFS、グループポリシー |
**アウトバウンドルール**
なし。
## AWS アプリケーションとネイティブ Active Directory ワークロードのサポートと信頼サポート
すべてのユーザーアカウントは AWS Managed Microsoft AD または信頼できる Active Directory にプロビジョニングされ、次のようなサポートされている AWS アプリケーションで使用されます。
+ Amazon Chime
+ Amazon Connect
+ Amazon EC2 インスタンス
+ Amazon FSx
+ Quick
+ Amazon RDS for MySQL
+ Amazon RDS for Oracle
+ Amazon RDS for PostgreSQL
+ Amazon RDS for SQL Server
+ AWS IAM アイデンティティセンター
+ WorkDocs
+ Amazon WorkMail
+ WorkSpaces
+ AWS Client VPN
+ AWS マネジメントコンソール
Managed AWS Microsoft AD ドメインコントローラーへの重要でないトラフィックをすべてブロックするように、プロビジョニングされた AWS セキュリティグループ設定を変更できます。
**注記**
「顧客ドメインコントローラー CIDR」と「顧客クライアント CIDR」ネットワークが安全であることを確認する必要があります。
「カスタマードメインコントローラ CIDR」での TCP 445 は、信頼の作成時にのみ使用され、信頼の確立後は削除できます。
「カスタマークライアント CIDR」での TCP 445 は、グループポリシーの処理に必要なため、開いたままにしておきます。
TCP 636 は、SSL 経由で LDAP を使用している場合にのみ必要となります。
この設定エンタープライズ CA を使用する場合は、アウトバウンドルールとして「TCP、443、CA CIDR」を作成する必要があります。
**インバウンドルール**
****
| プロトコル | ポート範囲 | ソース | トラフィックの種類 | Active Directory の使用 |
| --- | --- | --- | --- | --- |
| TCP と UDP | 53 | カスタマードメインコントローラー CIDR | DNS | ユーザーとコンピュータの認証、名前解決、信頼 |
| TCP と UDP | 88 | カスタマードメインコントローラー CIDR | Kerberos | ユーザーとコンピュータの認証、フォレストレベルの信頼 |
| TCP と UDP | 389 | カスタマードメインコントローラー CIDR | LDAP | ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP と UDP | 464 | カスタマードメインコントローラー CIDR | Kerberos パスワードの変更 / 設定 | レプリケーション、ユーザーとコンピュータの認証、信頼 |
| TCP | 445 | カスタマードメインコントローラー CIDR | SMB / CIFS | レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP | 135 | カスタマードメインコントローラー CIDR | レプリケーション | RPC、EPM |
| TCP | 636 | カスタマードメインコントローラー CIDR | LDAP SSL | ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP | 49152 - 65535 | カスタマードメインコントローラー CIDR | RPC | レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP | 3268 - 3269 | カスタマードメインコントローラー CIDR | LDAP GC および LDAP GC SSL | ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| UDP | 123 | カスタマードメインコントローラー CIDR | Windows タイム | Windows タイム、信頼 |
| TCP と UDP | 53 | カスタマードメインコントローラー CIDR | DNS | ユーザーとコンピュータの認証、名前解決、信頼 |
| TCP と UDP | 88 | カスタマードメインコントローラー CIDR | Kerberos | ユーザーとコンピュータの認証、フォレストレベルの信頼 |
| TCP と UDP | 389 | カスタマードメインコントローラー CIDR | LDAP | ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP と UDP | 445 | カスタマードメインコントローラー CIDR | SMB / CIFS | レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP と UDP | 464 | カスタマードメインコントローラー CIDR | Kerberos パスワードの変更 / 設定 | レプリケーション、ユーザーとコンピュータの認証、信頼 |
| TCP | 135 | カスタマードメインコントローラー CIDR | レプリケーション | RPC、EPM |
| TCP | 636 | カスタマードメインコントローラー CIDR | LDAP SSL | ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP | 49152 - 65535 | カスタマードメインコントローラー CIDR | RPC | レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP | 3268 - 3269 | カスタマードメインコントローラー CIDR | LDAP GC および LDAP GC SSL | ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP | 9389 | カスタマードメインコントローラー CIDR | SOAP | AD DS ウェブサービス |
| UDP | 123 | カスタマードメインコントローラー CIDR | Windows タイム | Windows タイム、信頼 |
| UDP | 138 | カスタマードメインコントローラー CIDR | DFSN と NetLogon | DFS、グループポリシー |
**アウトバウンドルール**
****
| プロトコル | ポート範囲 | ソース | トラフィックの種類 | Active Directory の使用 |
| --- | --- | --- | --- | --- |
| すべて | すべて | カスタマードメインコントローラー CIDR | すべてのトラフィック | |