Amazon EC2 のセキュリティグループの設定
AWS では、Amazon EC2 や Amazon VPC など、アプリケーションのインフラストラクチャをプロビジョニング
するために使用できる構成要素のセットを提供しています。このモデルでは、物理セキュリティなど一部の セキュリティ機能が AWS の責任分担であり、これらについては「AWS セキュリティホワイトペーパー」で説 明されています。アプリケーションへのアクセス制御など、その他の機能はアプリケーション開発者の責任 分担であり、Microsoft プラットフォームでツールが提供されています。
このガイドの自動化されたデプロイオプションに従っていれば、提供される AWS CloudFormation テンプレー トによって必要なセキュリティグループが自動的に設定されています。これらのセキュリティグループを参 考にためにここに示します。
サブシステムポートマッピング
サブシステム 関連付け インバウンドインターフェイス ポート
DomainControllerSG1 DC1 DomainMemberSG TCP5985、UDP123、TCP135、UDP138、
TCP445、UDP445、TCP464、UDP464、
TCP49152-65535、UDP49152-65535、
TCP389、UDP389、TCP636、TCP3268、
TCP3269、TCP54、UDP53、TCP88、
UDP67、UDP2535 PrivSubnet2CIDR (2 番目の DC の
デプロイ先となるサブネット)
UDP123、TCP135、UDP138、TCP445、
UDP445、TCP464、UDP464、
TCP49152- 65535、UDP49152-65535、
TCP389、UDP389、TCP636、TCP3268、
TCP3269、TCP54、UDP53、TCP88、
UDP67、UDP2535、UDP5355、UDP137、
TCP139、TCP5722
31/33 ページ
サブシステム 関連付け インバウンドインターフェイス ポート DMZ1CIDR (リモートデスクトッ
プゲートウェイが AZ1 にデプロ イされるサブネット)
TCP3389、(ICMP -1)
DMZ2CIDR (リモートデスクトッ プゲートウェイが AZ2 にデプロ イされるサブネット)
TCP3389、(ICMP -1)
DomainControllerSG2 DC2 DomainMemberSG TCP5985、UDP123、TCP135、UDP138、
TCP445、UDP445、TCP464、UDP464、
TCP49152-65535、UDP49152-65535、
TCP389、UDP389、TCP636、TCP3268、
TCP3269、TCP54、UDP53、TCP88、
UDP67、UDP2535 PrivSubnet1CIDR (最初の DC のデ
プロイ先となるセキュリティグ ループ)
UDP123、TCP135、UDP138、TCP445、 UDP445、TCP464、UDP464、
TCP49152- 65535、UDP49152-65535、
TCP389、UDP389、TCP636、TCP3268、
TCP3269、TCP54、UDP53、TCP88、
UDP67、UDP2535、UDP5355、
UDP137、TCP139、TCP5722 DMZ1CIDR (リモートデスクトッ
プゲートウェイが AZ2 にデプロ イされるサブネット)
TCP3389、(ICMP -1)
DMZ2CIDR (リモートデスクトッ プゲートウェイが AZ2 にデプロ イされるサブネット)
TCP3389、(ICMP -1)
32/33 ページ
サブシステム 関連付け インバウンドインターフェイス ポート DomainMemberSG RDGW1、RDGW2 PrivSubnet1CIDR (プライマリ DC
のデプロイ先となるサブネット)
TCP53、UDP53、TCP49152-65535、
UDP49152-65535 PrivSubnet2CIDR (セカンダリ DC
のデプロイ先となるサブネット)
TCP53、UDP53、TCP49152-65535、
UDP49152-65535 PrivSubnet1CIDR (リモートデスク
トップゲートウェイが AZ1 にデ プロイされるサブネット)
TCP3389
PublicSubnet2CIDR (リモートデス クトップゲートウェイが AZ2 に デプロイされるサブネット)
TCP3389
NATSecurityGroup NAT1、NAT2 0.0.0.0/0 TCP22
PrivSubnet1CIDR、
PrivSubnet2CIDR
ALL1-65535
RDGWSecurityGroup RDGW1、RDGW2 0.0.0.0/0 TCP3389
* 注意:RDP は決してインターネット全体に開かないことが重要です。テスト目的や一時的なものであっても 同様です。詳細については、Amazon セキュリティ情報を参照してください。ポートやソーストラフィック は、アプリケーションの機能をサポートするために最小限必要な範囲のみに常に制限します。リモートデス クトップゲートウェイのセキュリティ保護の詳細については、「アマゾン ウェブ サービスでの Microsoft プ ラットフォームのセキュリティ保護」ホワイトペーパーを参照してください。
33/33 ページ