增强你的 Microsoft AD Amazon 托管网络安全配置 - Amazon Directory Service
Amazon 仅支持应用程序Amazon 仅支持信任的应用程序Amazon 应用程序和本地活动目录工作负载支持Amazon 应用程序和本地活动目录工作负载支持,并支持信任支持
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

增强你的 Microsoft AD Amazon 托管网络安全配置

为 Amazon 托管 Microsoft AD 目录配置 Amazon 的安全组配置了支持托管 Microsoft AD 目录的所有已知用例所需的最小入站网络端口。 Amazon 有关已配置 Amazon 安全组的更多信息,请参阅随 Amazon Managed Microsoft AD 创建的内容

要进一步增强 Amazon 托管 Microsoft AD 目录的网络 Amazon 安全,您可以根据以下常见情况修改安全组。

客户域控制器 CIDR-此 CIDR 块是您的域本地域控制器所在的地方。

客户客户端 CIDR-此 CIDR 块是您的客户端(例如计算机或用户)向您的托管 Amazon Microsoft AD 进行身份验证的地方。你的 Amazon 托管 Microsoft AD 域控制器也位于此 CIDR 块中。

Amazon 仅支持应用程序

所有用户帐户仅在您的 Amazon 托管 Microsoft AD 中进行配置,以便与支持的 Amazon 应用程序一起使用,例如:

  • Amazon Chime

  • Amazon Connect

  • QuickSight

  • Amazon IAM Identity Center

  • WorkDocs

  • Amazon WorkMail

  • Amazon Client VPN

  • Amazon Web Services Management Console

您可以使用以下 Amazon 安全组配置来阻止所有流向 Amazon 托管 Microsoft AD 域控制器的非必要流量。

注意

  • 以下内容与此 Amazon 安全组配置不兼容:

    • 亚马逊 EC2 实例

    • Amazon FSx

    • Amazon RDS for MySQL

    • Amazon RDS for Oracle

    • Amazon RDS for PostgreSQL

    • Amazon RDS for SQL Server

    • WorkSpaces

    • Active Directory 信任

    • 加入域的客户端或服务器

入站规则

无。

出站规则

无。

Amazon 仅支持信任的应用程序

所有用户帐户均在您的 Amazon 托管 Microsoft AD 或受信任的 Active Directory 中进行配置,以便与支持的 Amazon 应用程序一起使用,例如:

  • Amazon Chime

  • Amazon Connect

  • QuickSight

  • Amazon IAM Identity Center

  • WorkDocs

  • Amazon WorkMail

  • Amazon WorkSpaces

  • Amazon Client VPN

  • Amazon Web Services Management Console

您可以修改已配置 Amazon 的安全组配置,以阻止所有流向托管 Amazon Microsoft AD 域控制器的非必要流量。

注意

  • 以下内容与此 Amazon 安全组配置不兼容:

    • 亚马逊 EC2 实例

    • Amazon FSx

    • Amazon RDS for MySQL

    • Amazon RDS for Oracle

    • Amazon RDS for PostgreSQL

    • Amazon RDS for SQL Server

    • WorkSpaces

    • Active Directory 信任

    • 加入域的客户端或服务器

  • 此配置要求您确保 “客户域控制器 CIDR” 网络是安全的。

  • TCP 445 仅用于创建信任,可在建立信任后删除。

  • 仅当使用基于 SSL 的 LDAP 时,才需要 TCP 636。

入站规则

协议 端口范围 来源 流量的类型 Active Directory 使用情况
TCP 和 UDP 53 客户域控制器 CIDR DNS 用户和计算机身份验证、名称解析、信任
TCP 和 UDP 88 客户域控制器 CIDR Kerberos 用户和计算机身份验证、林级信任
TCP 和 UDP 389 客户域控制器 CIDR LDAP 目录、复制、用户和计算机身份验证组策略、信任
TCP 和 UDP 464 客户域控制器 CIDR Kerberos 更改/设置密码 复制、用户和计算机身份验证、信任
TCP 445 客户域控制器 CIDR SMB / CIFS 复制、用户和计算机身份验证、组策略信任
TCP 135 客户域控制器 CIDR 复制 RPC、EPM
TCP 636 客户域控制器 CIDR LDAP SSL 目录、复制、用户和计算机身份验证组策略、信任
TCP 49152 - 65535 客户域控制器 CIDR RPC 复制、用户和计算机身份验证、组策略、信任
TCP 3268 - 3269 客户域控制器 CIDR LDAP GC 和 LDAP GC SSL 目录、复制、用户和计算机身份验证组策略、信任
UDP 123 客户域控制器 CIDR Windows 时间 Windows 时间、信任

出站规则

协议 端口范围 来源 流量的类型 Active Directory 使用情况
全部 全部 客户域控制器 CIDR 所有流量

Amazon 应用程序和本地活动目录工作负载支持

仅在您的 Amazon 托管 Microsoft AD 中配置用户帐户,以便与支持的 Amazon 应用程序一起使用,例如:

  • Amazon Chime

  • Amazon Connect

  • 亚马逊 EC2 实例

  • Amazon FSx

  • QuickSight

  • Amazon RDS for MySQL

  • Amazon RDS for Oracle

  • Amazon RDS for PostgreSQL

  • Amazon RDS for SQL Server

  • Amazon IAM Identity Center

  • WorkDocs

  • Amazon WorkMail

  • WorkSpaces

  • Amazon Client VPN

  • Amazon Web Services Management Console

您可以修改已配置 Amazon 的安全组配置,以阻止所有流向托管 Amazon Microsoft AD 域控制器的非必要流量。

注意

  • Active Directory无法在您的 Amazon 托管 Microsoft AD 目录和客户域控制器 CIDR 之间创建和维护信任。

  • 它要求您确保 “客户客户端 CIDR” 网络的安全。

  • 仅当使用基于 SSL 的 LDAP 时,才需要 TCP 636。

  • 如果要使用具有此配置的企业 CA,则需要创建出站规则 “TCP、443、CA CIDR”。

入站规则

协议 端口范围 来源 流量的类型 Active Directory 使用情况
TCP 和 UDP 53 客户客户端 CIDR DNS 用户和计算机身份验证、名称解析、信任
TCP 和 UDP 88 客户客户端 CIDR Kerberos 用户和计算机身份验证、林级信任
TCP 和 UDP 389 客户客户端 CIDR LDAP 目录、复制、用户和计算机身份验证组策略、信任
TCP 和 UDP 445 客户客户端 CIDR SMB / CIFS 复制、用户和计算机身份验证、组策略信任
TCP 和 UDP 464 客户客户端 CIDR Kerberos 更改/设置密码 复制、用户和计算机身份验证、信任
TCP 135 客户客户端 CIDR 复制 RPC、EPM
TCP 636 客户客户端 CIDR LDAP SSL 目录、复制、用户和计算机身份验证组策略、信任
TCP 49152 - 65535 客户客户端 CIDR RPC 复制、用户和计算机身份验证、组策略、信任
TCP 3268 - 3269 客户客户端 CIDR LDAP GC 和 LDAP GC SSL 目录、复制、用户和计算机身份验证组策略、信任
TCP 9389 客户客户端 CIDR SOAP AD DS Web 服务
UDP 123 客户客户端 CIDR Windows 时间 Windows 时间、信任
UDP 138 客户客户端 CIDR DFSN 和 NetLogon DFS、组策略

出站规则

无。

Amazon 应用程序和本地活动目录工作负载支持,并支持信任支持

所有用户帐户均在您的 Amazon 托管 Microsoft AD 或受信任的 Active Directory 中进行配置,以便与支持的 Amazon 应用程序一起使用,例如:

  • Amazon Chime

  • Amazon Connect

  • 亚马逊 EC2 实例

  • Amazon FSx

  • QuickSight

  • Amazon RDS for MySQL

  • Amazon RDS for Oracle

  • Amazon RDS for PostgreSQL

  • Amazon RDS for SQL Server

  • Amazon IAM Identity Center

  • WorkDocs

  • Amazon WorkMail

  • WorkSpaces

  • Amazon Client VPN

  • Amazon Web Services Management Console

您可以修改已配置 Amazon 的安全组配置,以阻止所有流向托管 Amazon Microsoft AD 域控制器的非必要流量。

注意

  • 它要求您确保 “客户域控制器 CIDR” 和 “客户客户端 CIDR” 网络是安全的。

  • 带有 “客户域控制器 CIDR” 的 TCP 445 仅用于创建信任,建立信任后可以将其删除。

  • 带有 “客户客户端 CIDR” 的 TCP 445 应保持打开状态,因为这是处理组策略所必需的。

  • 仅当使用基于 SSL 的 LDAP 时,才需要 TCP 636。

  • 如果要使用具有此配置的企业 CA,则需要创建出站规则 “TCP、443、CA CIDR”。

入站规则

协议 端口范围 来源 流量的类型 Active Directory 使用情况
TCP 和 UDP 53 客户域控制器 CIDR DNS 用户和计算机身份验证、名称解析、信任
TCP 和 UDP 88 客户域控制器 CIDR Kerberos 用户和计算机身份验证、林级信任
TCP 和 UDP 389 客户域控制器 CIDR LDAP 目录、复制、用户和计算机身份验证组策略、信任
TCP 和 UDP 464 客户域控制器 CIDR Kerberos 更改/设置密码 复制、用户和计算机身份验证、信任
TCP 445 客户域控制器 CIDR SMB / CIFS 复制、用户和计算机身份验证、组策略信任
TCP 135 客户域控制器 CIDR 复制 RPC、EPM
TCP 636 客户域控制器 CIDR LDAP SSL 目录、复制、用户和计算机身份验证组策略、信任
TCP 49152 - 65535 客户域控制器 CIDR RPC 复制、用户和计算机身份验证、组策略、信任
TCP 3268 - 3269 客户域控制器 CIDR LDAP GC 和 LDAP GC SSL 目录、复制、用户和计算机身份验证组策略、信任
UDP 123 客户域控制器 CIDR Windows 时间 Windows 时间、信任
TCP 和 UDP 53 客户域控制器 CIDR DNS 用户和计算机身份验证、名称解析、信任
TCP 和 UDP 88 客户域控制器 CIDR Kerberos 用户和计算机身份验证、林级信任
TCP 和 UDP 389 客户域控制器 CIDR LDAP 目录、复制、用户和计算机身份验证组策略、信任
TCP 和 UDP 445 客户域控制器 CIDR SMB / CIFS 复制、用户和计算机身份验证、组策略信任
TCP 和 UDP 464 客户域控制器 CIDR Kerberos 更改/设置密码 复制、用户和计算机身份验证、信任
TCP 135 客户域控制器 CIDR 复制 RPC、EPM
TCP 636 客户域控制器 CIDR LDAP SSL 目录、复制、用户和计算机身份验证组策略、信任
TCP 49152 - 65535 客户域控制器 CIDR RPC 复制、用户和计算机身份验证、组策略、信任
TCP 3268 - 3269 客户域控制器 CIDR LDAP GC 和 LDAP GC SSL 目录、复制、用户和计算机身份验证组策略、信任
TCP 9389 客户域控制器 CIDR SOAP AD DS Web 服务
UDP 123 客户域控制器 CIDR Windows 时间 Windows 时间、信任
UDP 138 客户域控制器 CIDR DFSN 和 NetLogon DFS、组策略

出站规则

协议 端口范围 来源 流量的类型 Active Directory 使用情况
全部 全部 客户域控制器 CIDR 所有流量