本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
增强您的Amazon托管的 Microsoft AD 网络安全配置
这些区域有:Amazon为Amazon对于为托管的 Microsoft AD 目录,为其配置了支持您的所有已知使用案例所需的最少入站网络端口数Amazon托管的 Microsoft AD 目录。有关预置的 Amazon 安全组的更多信息,请参阅创建的内容。
为了进一步提高你的网络安全性Amazon您可以修改托管的 Microsoft AD 目录Amazon安全组基于下面列出的常见场景。
Amazon仅支持应用程序
所有用户帐户仅在您的Amazon要与受支持一起使用的托管微软 ADAmazon应用程序,例如以下内容:
Amazon Chime
Amazon Connect
Amazon QuickSight
Amazon IAM Identity Center (successor to Amazon Single Sign-On)
Amazon WorkDocs
Amazon WorkMail
Amazon Client VPN
Amazon Web Services Management Console
您可以使用以下命令Amazon您的安全组配置,以阻止指向您的所有非必要通信Amazon托管的 Microsoft AD 域控制器。
以下内容与此 Amazon 安全组配置不兼容:
Amazon EC2 实例
Amazon FSx
Amazon RDS for MySQL
Amazon RDS for Oracle
Amazon RDS for PostgreSQL
Amazon RDS for SQL Server
WorkSpaces
Active Directory 信任
加入域的客户端或服务器
入站规则
无。
出站规则
无。
Amazon仅有信任支持的应用程序
所有用户帐户都在您的Amazon托管微软 AD 或受信任的 Active Directory 与受支持一起使用Amazon应用程序,例如以下内容:
Amazon Chime
Amazon Connect
Amazon QuickSight
Amazon IAM Identity Center (successor to Amazon Single Sign-On)
Amazon WorkDocs
Amazon WorkMail
Amazon WorkSpaces
Amazon Client VPN
Amazon Web Services Management Console
您可以修改预置的Amazon您的安全组配置,以阻止指向您的所有非必要通信Amazon托管的 Microsoft AD 域控制器。
以下内容与此 Amazon 安全组配置不兼容:
Amazon EC2 实例
Amazon FSx
Amazon RDS for MySQL
Amazon RDS for Oracle
Amazon RDS for PostgreSQL
Amazon RDS for SQL Server
WorkSpaces
Active Directory 信任
加入域的客户端或服务器
-
此配置要求您确保“本地 CIDR”网络是安全的。
-
TCP 445 仅用于创建信任,可在建立信任后删除。
-
仅当使用基于 SSL 的 LDAP 时,才需要 TCP 636。
入站规则
| 协议 | 端口范围 | 源 | 流量的类型 | Active Directory 使用情况 |
|---|---|---|---|---|
| TCP 和 UDP | 53 | 本地 CIDR | DNS | 用户和计算机身份验证、名称解析、信任 |
| TCP 和 UDP | 88 | 本地 CIDR | Kerberos | 用户和计算机身份验证、林级信任 |
| TCP 和 UDP | 389 | 本地 CIDR | LDAP | 目录、复制、用户和计算机身份验证组策略、信任 |
| TCP 和 UDP | 464 | 本地 CIDR | Kerberos 更改/设置密码 | 复制、用户和计算机身份验证、信任 |
| TCP | 445 | 本地 CIDR | SMB / CIFS | 复制、用户和计算机身份验证、组策略信任 |
| TCP | 135 | 本地 CIDR | 复制 | RPC、EPM |
| TCP | 636 | 本地 CIDR | LDAP SSL | 目录、复制、用户和计算机身份验证组策略、信任 |
| TCP | 49152 - 65535 | 本地 CIDR | RPC | 复制、用户和计算机身份验证、组策略、信任 |
| TCP | 3268 - 3269 | 本地 CIDR | LDAP GC 和 LDAP GC SSL | 目录、复制、用户和计算机身份验证组策略、信任 |
| UDP | 123 | 本地 CIDR | Windows 时间 | Windows 时间、信任 |
出站规则
| 协议 | 端口范围 | 源 | 流量的类型 | Active Directory 使用情况 |
|---|---|---|---|---|
| 所有 | 所有 | 本地 CIDR | 所有流量 |
Amazon应用程序和原生活目录工作负载
用户帐户仅在您的Amazon要与受支持一起使用的托管微软 ADAmazon应用程序,例如以下内容:
Amazon Chime
Amazon Connect
Amazon EC2 实例
Amazon FSx
Amazon QuickSight
Amazon RDS for MySQL
Amazon RDS for Oracle
Amazon RDS for PostgreSQL
Amazon RDS for SQL Server
Amazon IAM Identity Center (successor to Amazon Single Sign-On)
Amazon WorkDocs
Amazon WorkMail
WorkSpaces
Amazon Client VPN
Amazon Web Services Management Console
您可以修改预置的Amazon您的安全组配置,以阻止指向您的所有非必要通信Amazon托管的 Microsoft AD 域控制器。
无法在您之间创建和维护 Active Directory 信任Amazon托管微软 AD 目录和本地域。
它要求您确保“客户端 CIDR”网络是安全的。
仅当使用基于 SSL 的 LDAP 时,才需要 TCP 636。
如果要通过此配置使用企业 CA,则需要创建出站规则“TCP, 443, CA CIDR”。
入站规则
| 协议 | 端口范围 | 源 | 流量的类型 | Active Directory 使用情况 |
|---|---|---|---|---|
| TCP 和 UDP | 53 | 客户端 CIDR | DNS | 用户和计算机身份验证、名称解析、信任 |
| TCP 和 UDP | 88 | 客户端 CIDR | Kerberos | 用户和计算机身份验证、林级信任 |
| TCP 和 UDP | 389 | 客户端 CIDR | LDAP | 目录、复制、用户和计算机身份验证组策略、信任 |
| TCP 和 UDP | 445 | 客户端 CIDR | SMB / CIFS | 复制、用户和计算机身份验证、组策略信任 |
| TCP 和 UDP | 464 | 客户端 CIDR | Kerberos 更改/设置密码 | 复制、用户和计算机身份验证、信任 |
| TCP | 135 | 客户端 CIDR | 复制 | RPC、EPM |
| TCP | 636 | 客户端 CIDR | LDAP SSL | 目录、复制、用户和计算机身份验证组策略、信任 |
| TCP | 49152 - 65535 | 客户端 CIDR | RPC | 复制、用户和计算机身份验证、组策略、信任 |
| TCP | 3268 - 3269 | 客户端 CIDR | LDAP GC 和 LDAP GC SSL | 目录、复制、用户和计算机身份验证组策略、信任 |
| TCP | 9389 | 客户端 CIDR | SOAP | AD DS Web 服务 |
| UDP | 123 | 客户端 CIDR | Windows 时间 | Windows 时间、信任 |
| UDP | 138 | 客户端 CIDR | DFSN 和 NetLogon | DFS、组策略 |
出站规则
无。
Amazon应用程序和本机 Active Directory 工作负载支持,并
所有用户帐户都在您的Amazon托管微软 AD 或受信任的 Active Directory 与受支持一起使用Amazon应用程序,例如以下内容:
Amazon Chime
Amazon Connect
Amazon EC2 实例
Amazon FSx
Amazon QuickSight
Amazon RDS for MySQL
Amazon RDS for Oracle
Amazon RDS for PostgreSQL
Amazon RDS for SQL Server
Amazon IAM Identity Center (successor to Amazon Single Sign-On)
Amazon WorkDocs
Amazon WorkMail
WorkSpaces
Amazon Client VPN
Amazon Web Services Management Console
您可以修改预置的Amazon您的安全组配置,以阻止指向您的所有非必要通信Amazon托管的 Microsoft AD 域控制器。
它要求您确保“本地 CIDR”和“客户端 CIDR”网络是安全的。
带有“本地 CIDR” 的 TCP 445 仅用于创建信任,可在建立信任后删除。
带有“客户端 CIDR”的 TCP 445 应保持打开状态,因为它是组策略处理所必需的。
仅当使用基于 SSL 的 LDAP 时,才需要 TCP 636。
如果要通过此配置使用企业 CA,则需要创建出站规则“TCP, 443, CA CIDR”。
入站规则
| 协议 | 端口范围 | 源 | 流量的类型 | Active Directory 使用情况 |
|---|---|---|---|---|
| TCP 和 UDP | 53 | 本地 CIDR | DNS | 用户和计算机身份验证、名称解析、信任 |
| TCP 和 UDP | 88 | 本地 CIDR | Kerberos | 用户和计算机身份验证、林级信任 |
| TCP 和 UDP | 389 | 本地 CIDR | LDAP | 目录、复制、用户和计算机身份验证组策略、信任 |
| TCP 和 UDP | 464 | 本地 CIDR | Kerberos 更改/设置密码 | 复制、用户和计算机身份验证、信任 |
| TCP | 445 | 本地 CIDR | SMB / CIFS | 复制、用户和计算机身份验证、组策略信任 |
| TCP | 135 | 本地 CIDR | 复制 | RPC、EPM |
| TCP | 636 | 本地 CIDR | LDAP SSL | 目录、复制、用户和计算机身份验证组策略、信任 |
| TCP | 49152 - 65535 | 本地 CIDR | RPC | 复制、用户和计算机身份验证、组策略、信任 |
| TCP | 3268 - 3269 | 本地 CIDR | LDAP GC 和 LDAP GC SSL | 目录、复制、用户和计算机身份验证组策略、信任 |
| UDP | 123 | 本地 CIDR | Windows 时间 | Windows 时间、信任 |
| TCP 和 UDP | 53 | 客户端 CIDR | DNS | 用户和计算机身份验证、名称解析、信任 |
| TCP 和 UDP | 88 | 客户端 CIDR | Kerberos | 用户和计算机身份验证、林级信任 |
| TCP 和 UDP | 389 | 客户端 CIDR | LDAP | 目录、复制、用户和计算机身份验证组策略、信任 |
| TCP 和 UDP | 445 | 客户端 CIDR | SMB / CIFS | 复制、用户和计算机身份验证、组策略信任 |
| TCP 和 UDP | 464 | 客户端 CIDR | Kerberos 更改/设置密码 | 复制、用户和计算机身份验证、信任 |
| TCP | 135 | 客户端 CIDR | 复制 | RPC、EPM |
| TCP | 636 | 客户端 CIDR | LDAP SSL | 目录、复制、用户和计算机身份验证组策略、信任 |
| TCP | 49152 - 65535 | 客户端 CIDR | RPC | 复制、用户和计算机身份验证、组策略、信任 |
| TCP | 3268 - 3269 | 客户端 CIDR | LDAP GC 和 LDAP GC SSL | 目录、复制、用户和计算机身份验证组策略、信任 |
| TCP | 9389 | 客户端 CIDR | SOAP | AD DS Web 服务 |
| UDP | 123 | 客户端 CIDR | Windows 时间 | Windows 时间、信任 |
| UDP | 138 | 客户端 CIDR | DFSN 和 NetLogon | DFS、组策略 |
出站规则
| 协议 | 端口范围 | 源 | 流量的类型 | Active Directory 使用情况 |
|---|---|---|---|---|
| 所有 | 所有 | 本地 CIDR | 所有流量 |