付録 - 目次要約... 3 ここで取り上げる内容... 6 開始する前に... 7 アーキテクチャ上の考慮事項... 8 Virtual Private Cloud... 8 Activ

Amazon EC2 のセキュリティグループの設定

AWS では、Amazon EC2 や Amazon VPC など、アプリケーションのインフラストラクチャをプロビジョニング

するために使用できる構成要素のセットを提供しています。このモデルでは、物理セキュリティなど一部のセキュリティ機能が AWS の責任分担であり、これらについては「AWS セキュリティホワイトペーパー」で説明されています。アプリケーションへのアクセス制御など、その他の機能はアプリケーション開発者の責任分担であり、Microsoft プラットフォームでツールが提供されています。

このガイドの自動化されたデプロイオプションに従っていれば、提供される AWS CloudFormation テンプレートによって必要なセキュリティグループが自動的に設定されています。これらのセキュリティグループを参考にためにここに示します。

サブシステムポートマッピング

サブシステム 関連付け インバウンドインターフェイス ポート

DomainControllerSG1 DC1 DomainMemberSG TCP5985、UDP123、TCP135、UDP138、

TCP445、UDP445、TCP464、UDP464、

TCP49152-65535、UDP49152-65535、

TCP389、UDP389、TCP636、TCP3268、

TCP3269、TCP54、UDP53、TCP88、

UDP67、UDP2535 PrivSubnet2CIDR (2 番目の DC の

デプロイ先となるサブネット)

UDP123、TCP135、UDP138、TCP445、

UDP445、TCP464、UDP464、

TCP49152- 65535、UDP49152-65535、

TCP389、UDP389、TCP636、TCP3268、

TCP3269、TCP54、UDP53、TCP88、

UDP67、UDP2535、UDP5355、UDP137、

TCP139、TCP5722

31/33 ページ

サブシステム 関連付け インバウンドインターフェイス ポート DMZ1CIDR (リモートデスクトッ

プゲートウェイが AZ1 にデプロイされるサブネット)

TCP3389、(ICMP -1)

DMZ2CIDR (リモートデスクトップゲートウェイが AZ2 にデプロイされるサブネット)

TCP3389、(ICMP -1)

DomainControllerSG2 DC2 DomainMemberSG TCP5985、UDP123、TCP135、UDP138、

TCP445、UDP445、TCP464、UDP464、

TCP49152-65535、UDP49152-65535、

TCP389、UDP389、TCP636、TCP3268、

TCP3269、TCP54、UDP53、TCP88、

UDP67、UDP2535 PrivSubnet1CIDR (最初の DC のデ

プロイ先となるセキュリティグループ)

UDP123、TCP135、UDP138、TCP445、 UDP445、TCP464、UDP464、

TCP49152- 65535、UDP49152-65535、

TCP389、UDP389、TCP636、TCP3268、

TCP3269、TCP54、UDP53、TCP88、

UDP67、UDP2535、UDP5355、

UDP137、TCP139、TCP5722 DMZ1CIDR (リモートデスクトッ

プゲートウェイが AZ2 にデプロイされるサブネット)

TCP3389、(ICMP -1)

DMZ2CIDR (リモートデスクトップゲートウェイが AZ2 にデプロイされるサブネット)

TCP3389、(ICMP -1)

32/33 ページ

サブシステム 関連付け インバウンドインターフェイス ポート DomainMemberSG RDGW1、RDGW2 PrivSubnet1CIDR (プライマリ DC

のデプロイ先となるサブネット)

TCP53、UDP53、TCP49152-65535、

UDP49152-65535 PrivSubnet2CIDR (セカンダリ DC

のデプロイ先となるサブネット)

TCP53、UDP53、TCP49152-65535、

UDP49152-65535 PrivSubnet1CIDR (リモートデスク

トップゲートウェイが AZ1 にデプロイされるサブネット)

TCP3389

PublicSubnet2CIDR (リモートデスクトップゲートウェイが AZ2 にデプロイされるサブネット)

TCP3389

NATSecurityGroup NAT1、NAT2 0.0.0.0/0 TCP22

PrivSubnet1CIDR、

PrivSubnet2CIDR

ALL1-65535

RDGWSecurityGroup RDGW1、RDGW2 0.0.0.0/0 TCP3389

* 注意:RDP は決してインターネット全体に開かないことが重要です。テスト目的や一時的なものであっても同様です。詳細については、Amazon セキュリティ情報を参照してください。ポートやソーストラフィックは、アプリケーションの機能をサポートするために最小限必要な範囲のみに常に制限します。リモートデスクトップゲートウェイのセキュリティ保護の詳細については、「アマゾンウェブサービスでの Microsoft プラットフォームのセキュリティ保護」ホワイトペーパーを参照してください。

33/33 ページ

ドキュメント内目次要約... 3 ここで取り上げる内容... 6 開始する前に... 7 アーキテクチャ上の考慮事項... 8 Virtual Private Cloud... 8 Active Directory の設計インスタンスの設定デプロイ例のシナリオ #1:AWS クラウド (ページ 30-33)