增强您的Amazon托管的 Microsoft AD 网络安全配置 - Amazon Directory Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

增强您的Amazon托管的 Microsoft AD 网络安全配置

这些区域有:Amazon为Amazon对于为托管的 Microsoft AD 目录,为其配置了支持您的所有已知使用案例所需的最少入站网络端口数Amazon托管的 Microsoft AD 目录。有关预置的 Amazon 安全组的更多信息,请参阅创建的内容

为了进一步提高你的网络安全性Amazon您可以修改托管的 Microsoft AD 目录Amazon安全组基于下面列出的常见场景。

Amazon仅支持应用程序

所有用户帐户仅在您的Amazon要与受支持一起使用的托管微软 ADAmazon应用程序,例如以下内容:

  • Amazon Chime

  • Amazon Connect

  • Amazon QuickSight

  • Amazon IAM Identity Center (successor to Amazon Single Sign-On)

  • Amazon WorkDocs

  • Amazon WorkMail

  • Amazon Client VPN

  • Amazon Web Services Management Console

您可以使用以下命令Amazon您的安全组配置,以阻止指向您的所有非必要通信Amazon托管的 Microsoft AD 域控制器。

注意
  • 以下内容与此 Amazon 安全组配置不兼容:

    • Amazon EC2 实例

    • Amazon FSx

    • Amazon RDS for MySQL

    • Amazon RDS for Oracle

    • Amazon RDS for PostgreSQL

    • Amazon RDS for SQL Server

    • WorkSpaces

    • Active Directory 信任

    • 加入域的客户端或服务器

入站规则

无。

出站规则

无。

Amazon仅有信任支持的应用程序

所有用户帐户都在您的Amazon托管微软 AD 或受信任的 Active Directory 与受支持一起使用Amazon应用程序,例如以下内容:

  • Amazon Chime

  • Amazon Connect

  • Amazon QuickSight

  • Amazon IAM Identity Center (successor to Amazon Single Sign-On)

  • Amazon WorkDocs

  • Amazon WorkMail

  • Amazon WorkSpaces

  • Amazon Client VPN

  • Amazon Web Services Management Console

您可以修改预置的Amazon您的安全组配置,以阻止指向您的所有非必要通信Amazon托管的 Microsoft AD 域控制器。

注意
  • 以下内容与此 Amazon 安全组配置不兼容:

    • Amazon EC2 实例

    • Amazon FSx

    • Amazon RDS for MySQL

    • Amazon RDS for Oracle

    • Amazon RDS for PostgreSQL

    • Amazon RDS for SQL Server

    • WorkSpaces

    • Active Directory 信任

    • 加入域的客户端或服务器

  • 此配置要求您确保“本地 CIDR”网络是安全的。

  • TCP 445 仅用于创建信任,可在建立信任后删除。

  • 仅当使用基于 SSL 的 LDAP 时,才需要 TCP 636。

入站规则

协议 端口范围 流量的类型 Active Directory 使用情况
TCP 和 UDP 53 本地 CIDR DNS 用户和计算机身份验证、名称解析、信任
TCP 和 UDP 88 本地 CIDR Kerberos 用户和计算机身份验证、林级信任
TCP 和 UDP 389 本地 CIDR LDAP 目录、复制、用户和计算机身份验证组策略、信任
TCP 和 UDP 464 本地 CIDR Kerberos 更改/设置密码 复制、用户和计算机身份验证、信任
TCP 445 本地 CIDR SMB / CIFS 复制、用户和计算机身份验证、组策略信任
TCP 135 本地 CIDR 复制 RPC、EPM
TCP 636 本地 CIDR LDAP SSL 目录、复制、用户和计算机身份验证组策略、信任
TCP 49152 - 65535 本地 CIDR RPC 复制、用户和计算机身份验证、组策略、信任
TCP 3268 - 3269 本地 CIDR LDAP GC 和 LDAP GC SSL 目录、复制、用户和计算机身份验证组策略、信任
UDP 123 本地 CIDR Windows 时间 Windows 时间、信任

出站规则

协议 端口范围 流量的类型 Active Directory 使用情况
所有 所有 本地 CIDR 所有流量

Amazon应用程序和原生活目录工作负载

用户帐户仅在您的Amazon要与受支持一起使用的托管微软 ADAmazon应用程序,例如以下内容:

  • Amazon Chime

  • Amazon Connect

  • Amazon EC2 实例

  • Amazon FSx

  • Amazon QuickSight

  • Amazon RDS for MySQL

  • Amazon RDS for Oracle

  • Amazon RDS for PostgreSQL

  • Amazon RDS for SQL Server

  • Amazon IAM Identity Center (successor to Amazon Single Sign-On)

  • Amazon WorkDocs

  • Amazon WorkMail

  • WorkSpaces

  • Amazon Client VPN

  • Amazon Web Services Management Console

您可以修改预置的Amazon您的安全组配置,以阻止指向您的所有非必要通信Amazon托管的 Microsoft AD 域控制器。

注意
  • 无法在您之间创建和维护 Active Directory 信任Amazon托管微软 AD 目录和本地域。

  • 它要求您确保“客户端 CIDR”网络是安全的。

  • 仅当使用基于 SSL 的 LDAP 时,才需要 TCP 636。

  • 如果要通过此配置使用企业 CA,则需要创建出站规则“TCP, 443, CA CIDR”。

入站规则

协议 端口范围 流量的类型 Active Directory 使用情况
TCP 和 UDP 53 客户端 CIDR DNS 用户和计算机身份验证、名称解析、信任
TCP 和 UDP 88 客户端 CIDR Kerberos 用户和计算机身份验证、林级信任
TCP 和 UDP 389 客户端 CIDR LDAP 目录、复制、用户和计算机身份验证组策略、信任
TCP 和 UDP 445 客户端 CIDR SMB / CIFS 复制、用户和计算机身份验证、组策略信任
TCP 和 UDP 464 客户端 CIDR Kerberos 更改/设置密码 复制、用户和计算机身份验证、信任
TCP 135 客户端 CIDR 复制 RPC、EPM
TCP 636 客户端 CIDR LDAP SSL 目录、复制、用户和计算机身份验证组策略、信任
TCP 49152 - 65535 客户端 CIDR RPC 复制、用户和计算机身份验证、组策略、信任
TCP 3268 - 3269 客户端 CIDR LDAP GC 和 LDAP GC SSL 目录、复制、用户和计算机身份验证组策略、信任
TCP 9389 客户端 CIDR SOAP AD DS Web 服务
UDP 123 客户端 CIDR Windows 时间 Windows 时间、信任
UDP 138 客户端 CIDR DFSN 和 NetLogon DFS、组策略

出站规则

无。

Amazon应用程序和本机 Active Directory 工作负载支持,并

所有用户帐户都在您的Amazon托管微软 AD 或受信任的 Active Directory 与受支持一起使用Amazon应用程序,例如以下内容:

  • Amazon Chime

  • Amazon Connect

  • Amazon EC2 实例

  • Amazon FSx

  • Amazon QuickSight

  • Amazon RDS for MySQL

  • Amazon RDS for Oracle

  • Amazon RDS for PostgreSQL

  • Amazon RDS for SQL Server

  • Amazon IAM Identity Center (successor to Amazon Single Sign-On)

  • Amazon WorkDocs

  • Amazon WorkMail

  • WorkSpaces

  • Amazon Client VPN

  • Amazon Web Services Management Console

您可以修改预置的Amazon您的安全组配置,以阻止指向您的所有非必要通信Amazon托管的 Microsoft AD 域控制器。

注意
  • 它要求您确保“本地 CIDR”和“客户端 CIDR”网络是安全的。

  • 带有“本地 CIDR” 的 TCP 445 仅用于创建信任,可在建立信任后删除。

  • 带有“客户端 CIDR”的 TCP 445 应保持打开状态,因为它是组策略处理所必需的。

  • 仅当使用基于 SSL 的 LDAP 时,才需要 TCP 636。

  • 如果要通过此配置使用企业 CA,则需要创建出站规则“TCP, 443, CA CIDR”。

入站规则

协议 端口范围 流量的类型 Active Directory 使用情况
TCP 和 UDP 53 本地 CIDR DNS 用户和计算机身份验证、名称解析、信任
TCP 和 UDP 88 本地 CIDR Kerberos 用户和计算机身份验证、林级信任
TCP 和 UDP 389 本地 CIDR LDAP 目录、复制、用户和计算机身份验证组策略、信任
TCP 和 UDP 464 本地 CIDR Kerberos 更改/设置密码 复制、用户和计算机身份验证、信任
TCP 445 本地 CIDR SMB / CIFS 复制、用户和计算机身份验证、组策略信任
TCP 135 本地 CIDR 复制 RPC、EPM
TCP 636 本地 CIDR LDAP SSL 目录、复制、用户和计算机身份验证组策略、信任
TCP 49152 - 65535 本地 CIDR RPC 复制、用户和计算机身份验证、组策略、信任
TCP 3268 - 3269 本地 CIDR LDAP GC 和 LDAP GC SSL 目录、复制、用户和计算机身份验证组策略、信任
UDP 123 本地 CIDR Windows 时间 Windows 时间、信任
TCP 和 UDP 53 客户端 CIDR DNS 用户和计算机身份验证、名称解析、信任
TCP 和 UDP 88 客户端 CIDR Kerberos 用户和计算机身份验证、林级信任
TCP 和 UDP 389 客户端 CIDR LDAP 目录、复制、用户和计算机身份验证组策略、信任
TCP 和 UDP 445 客户端 CIDR SMB / CIFS 复制、用户和计算机身份验证、组策略信任
TCP 和 UDP 464 客户端 CIDR Kerberos 更改/设置密码 复制、用户和计算机身份验证、信任
TCP 135 客户端 CIDR 复制 RPC、EPM
TCP 636 客户端 CIDR LDAP SSL 目录、复制、用户和计算机身份验证组策略、信任
TCP 49152 - 65535 客户端 CIDR RPC 复制、用户和计算机身份验证、组策略、信任
TCP 3268 - 3269 客户端 CIDR LDAP GC 和 LDAP GC SSL 目录、复制、用户和计算机身份验证组策略、信任
TCP 9389 客户端 CIDR SOAP AD DS Web 服务
UDP 123 客户端 CIDR Windows 时间 Windows 时间、信任
UDP 138 客户端 CIDR DFSN 和 NetLogon DFS、组策略

出站规则

协议 端口范围 流量的类型 Active Directory 使用情况
所有 所有 本地 CIDR 所有流量