기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# AWS 관리형 Microsoft AD 보호
암호 정책, 멀티 팩터 인증(MFA)과 같은 기능 및 설정을 사용하여 AWS 관리형 Microsoft AD를 보호할 수 있습니다. 디렉터리를 보호하는 방법은 다음과 같습니다.
+ AWS 관리형 Microsoft AD 사용자에게 적용할 수 있도록 [Active Directory의 암호 정책이 작동하는 방식을 이해합니다](ms_ad_password_policies.md). AWS 관리형 Microsoft AD 암호 정책을 관리할 수 있는 사용자를 위임할 수도 있습니다.
+ AWS 관리형 Microsoft AD 보안을 강화하는 [MFA를 활성화합니다](ms_ad_mfa.md).
+ >LDAP를 통한 통신이 암호화되고 보안이 향상되도록 [SSL(Secure Socket Layer)/TLS(Transport Layer Security)(LDAPS)를 통한 경량 디렉터리 액세스 프로토콜을 활성화합니다](ms_ad_ldap.md).
+ 연방 위험 및 권한 부여 관리 프로그램(FedRAMP) 및 결제 카드 산업(PCI) 데이터 보안 표준(DSS)과 같은 표준을 사용하여 [AWS 관리형 Microsoft AD 규정 준수를 관리합니다](ms_ad_compliance.md).
+ 환경 요구 [사항에 맞게 보안 그룹을 수정하여 AWS 관리형 Microsoft AD 네트워크 보안 구성>을 개선](ms_ad_network_security.md)합니다. AWS
+ 필요에 맞게 인증서 기본 인증, 보안 채널 암호 및 프로토콜과 같은 [AWS 관리형 Microsoft AD 디렉터리 보안 설정을 편집](ms_ad_directory_settings.md)합니다.
+ AWS 관리형 Microsoft [AD에 대한 인증서를 발급하고 관리할 수 있도록 AD용 AWS Private Certificate Authority 커넥터를 설정합니다](ms_ad_pca_connector.md) AWS Private CA.
# AWS 관리형 Microsoft AD 암호 정책 이해
AWS 관리형 Microsoft AD를 사용하면 AWS 관리형 Microsoft AD 도메인에서 관리하는 사용자 그룹에 대해 다양한 암호 및 계정 잠금 정책([세분화된 암호 정책](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/get-started/adac/introduction-to-active-directory-administrative-center-enhancements--level-100-#fine_grained_pswd_policy_mgmt)이라고도 함)을 정의하고 할당할 수 있습니다. AWS 관리형 Microsoft AD 디렉터리를 생성하면 기본 도메인 정책이 생성되어 Active Directory에 적용됩니다. 이 정책에는 다음 설정이 포함되어 있습니다.
****
| 정책 | 설정 |
| --- | --- |
| 암호 기록 강제 시행 | 24개 암호 저장 |
| 최대 암호 수명 | 42일 \$1 |
| 최소 암호 수명 | 1일 |
| 최소 암호 길이 | 7자 |
| 암호가 복잡성 요구 사항을 충족해야 함 | 활성화됨 |
| 해독 가능한 암호화를 사용하여 암호 저장 | 비활성화됨 |
**참고**
\$1 최대 42일의 암호 수명에는 admin 암호가 포함됩니다.
예를 들어 중요도가 낮은 정보에만 액세스할 수 있는 직원에게 덜 엄격한 정책 설정을 할당할 수 있습니다. 정기적으로 기밀 정보에 액세스하는 고위 관리자에 대해서는 더 엄격한 설정을 적용할 수 있습니다.
다음 리소스는 Microsoft Active Directory의 세분화된 암호 정책 및 보안 정책에 대한 자세한 정보를 제공합니다.
+ [보안 정책 설정 구성](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/how-to-configure-security-policy-settings)
+ [암호 복잡성 요구 사항](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/password-must-meet-complexity-requirements)
+ [암호 복잡성 보안 고려 사항](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/password-must-meet-complexity-requirements#security-considerations)
AWS 는 그룹에 구성하고 할당할 수 있는 AWS 관리형 Microsoft AD의 세분화된 암호 정책 세트를 제공합니다. 정책을 구성하려면 [Active Directory Administrative Center](https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/get-started/adac/active-directory-administrative-center)와 같은 표준 Microsoft 정책 도구를 사용할 수 있습니다. Microsoft 정책 도구를 시작하려면 [AWS 관리형 Microsoft AD용 Active Directory 관리 도구 설치](ms_ad_install_ad_tools.md)을 참조하세요.
## 암호 정책 적용 방법
암호 재설정 또는 변경 여부에 따라 세분화된 암호 정책이 적용되는 방식에는 차이가 있습니다. 도메인 사용자는 본인의 암호를 변경할 수 있습니다. 필요한 권한을 가진 Active Directory 관리자 또는 사용자는 [사용자 암호를 재설정](ms_ad_manage_users_groups_reset_password.md)할 수 있습니다. 자세한 정보는 다음 차트를 참조하세요.
****
| 정책 | 암호 재설정 | 암호 변경 |
| --- | --- | --- |
| 암호 기록 강제 시행 | ![\[No\]](http://docs.aws.amazon.com/ko_kr/directoryservice/latest/admin-guide/images/icon-no.png) 아니요 | ![\[Yes\]](http://docs.aws.amazon.com/ko_kr/directoryservice/latest/admin-guide/images/icon-yes.png) 예 |
| 최대 암호 수명 | ![\[Yes\]](http://docs.aws.amazon.com/ko_kr/directoryservice/latest/admin-guide/images/icon-yes.png) 예 | ![\[Yes\]](http://docs.aws.amazon.com/ko_kr/directoryservice/latest/admin-guide/images/icon-yes.png) 예 |
| 최소 암호 수명 | ![\[No\]](http://docs.aws.amazon.com/ko_kr/directoryservice/latest/admin-guide/images/icon-no.png) 아니요 | ![\[Yes\]](http://docs.aws.amazon.com/ko_kr/directoryservice/latest/admin-guide/images/icon-yes.png) 예 |
| 최소 암호 길이 | ![\[Yes\]](http://docs.aws.amazon.com/ko_kr/directoryservice/latest/admin-guide/images/icon-yes.png) 예 | ![\[Yes\]](http://docs.aws.amazon.com/ko_kr/directoryservice/latest/admin-guide/images/icon-yes.png) 예 |
| 암호가 복잡성 요구 사항을 충족해야 함 | ![\[Yes\]](http://docs.aws.amazon.com/ko_kr/directoryservice/latest/admin-guide/images/icon-yes.png) 예 | ![\[Yes\]](http://docs.aws.amazon.com/ko_kr/directoryservice/latest/admin-guide/images/icon-yes.png) 예 |
이러한 차이는 보안에 영향을 미칩니다. 예를 들어 사용자의 암호가 재설정될 때마다 암호 적용 기록과 최소 암호 기간 정책은 적용되지 않습니다. 자세한 내용은 [비밀번호 기록](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/enforce-password-history#security-considerations) 및 [최소 비밀번호 사용 기간](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/minimum-password-age#security-considerations) 정책 시행과 관련된 보안 고려 사항에 대한 Microsoft 문서를 참조하세요.
## 지원되는 정책 설정
AWS 관리형 Microsoft AD에는 편집할 수 없는 우선 순위 값이 있는 5개의 세분화된 정책이 포함되어 있습니다. 각 정책에서 다수의 속성을 구성하여 암호 강도와 로그인 실패 시 계정 잠금 동작을 적용할 수 있습니다. 정책을 0개 이상의 Active Directory 그룹에 할당할 수 있습니다. 최종 사용자가 여러 그룹의 멤버이고 복수의 암호 정책을 할당 받은 경우 Active Directory가 가장 낮은 우선 순위 값의 정책을 적용합니다.
### AWS 사전 정의된 암호 정책
다음 표에는 AWS 관리형 Microsoft AD 디렉터리에 포함된 5가지 정책과 할당된 우선 순위 값이 나와 있습니다. 자세한 내용은 [우선 순위](#precedence) 단원을 참조하십시오.
****
| 정책 이름 | 우선 순위 |
| --- | --- |
| CustomerPSO-01 | 10 |
| CustomerPSO-02 | 20 |
| CustomerPSO-03 | 30 |
| CustomerPSO-04 | 40 |
| CustomerPSO-05 | 50 |
#### 암호 정책 속성
비즈니스 요구 사항을 충족하는 규정 준수 표준을 준수하기 위해 암호 정책에서 다음 속성을 편집할 수 있습니다.
+ 정책 이름
+ [암호 기록 강제 시행](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/enforce-password-history)
+ [최소 암호 길이](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/minimum-password-length)
+ [최소 암호 수명](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/minimum-password-age)
+ [최대 암호 수명](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/maximum-password-age)
+ [해독 가능한 암호화를 사용하여 암호 저장](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/store-passwords-using-reversible-encryption)
+ [암호가 복잡성 요구 사항을 충족해야 함](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/password-must-meet-complexity-requirements)
이러한 정책에서 우선 순위 값을 수정할 수 없습니다. 이러한 설정이 암호 적용에 미치는 영향에 대한 자세한 내용은 *Microsoft TechNet* 웹 사이트의 [AD DS: 세분화된 암호 정책을](https://technet.microsoft.com/en-us/library/cc770394(v=ws.10).aspx) 참조하세요. 이러한 정책에 대한 일반 정보는 *Microsoft TechNet* 웹 사이트의 [Password policy](https://technet.microsoft.com/en-us/library/hh994572(v=ws.11).aspx)를 참조하세요.
### 계정 잠금 정책
암호 정책에서 다음 속성을 수정하여 로그인 실패 시 Active Directory가 계정을 잠글지 여부 및 방법을 지정할 수도 있습니다.
+ 로그인 시도 실패 허용 횟수
+ 계정 잠금 기간
+ 일정 기간 후 로그인 시도 실패 횟수 재설정
이러한 정책에 대한 일반 정보는 *Microsoft TechNet* 웹 사이트의 [계정 잠금 정책](https://technet.microsoft.com/en-us/library/hh994563(v=ws.11).aspx)을 참조하세요.
### 우선 순위
우선 순위 값이 낮은 정책일수록 우선 순위가 높아집니다. Active Directory 보안 그룹에 암호 정책을 할당합니다. 단일 보안 그룹에 단일 정책을 적용해야 하지만 단일 사용자가 복수의 암호 정책을 할당 받을 수 있습니다. 예를 들어 `jsmith`가 HR 그룹의 멤버이자 MANAGERS 그룹의 멤버라고 가정합시다. **CustomerPSO-05**(우선 순위 값 50)를 HR 그룹에 할당하고 **CustomerPSO-04**(우선 순위 값 40)를 MANAGERS에 할당한 경우, **CustomerPSO-04**의 우선 순위가 더 높으므로 Active Directory가 이 정책을 `jsmith`에 적용합니다.
특정 사용자 또는 그룹에 여러 정책을 할당하는 경우 Active Directory는 다음과 같이 적용할 정책을 결정합니다.
1. 사용자 객체에 직접 할당한 정책이 적용됩니다.
1. 사용자 객체에 직접 할당된 정책이 없는 경우 그룹 멤버십으로 인해 사용자에게 할당된 모든 정책 중 우선 순위 값이 가장 낮은 정책이 적용됩니다.
자세한 내용은 Microsoft *TechNet* 웹 사이트의 [AD DS: 세분화된 암호 정책](https://technet.microsoft.com/en-us/library/cc770394(v=ws.10).aspx)을 참조하세요.
**Topics**
+ [암호 정책 적용 방법](#how_password_policies_applied)
+ [지원되는 정책 설정](#supportedpolicysettings)
+ [AWS 관리형 Microsoft AD 사용자에게 암호 정책 할당](assignpasswordpolicies.md)
+ [AWS 관리형 Microsoft AD 암호 정책을 관리할 수 있는 사용자 위임](delegatepasswordpolicies.md)
**관련 AWS 보안 블로그 기사**
+ [AWS 관리형 Microsoft AD Directory Service 용를 사용하여 보안 표준을 충족하는 데 도움이 되도록 더욱 강력한 암호 정책을 구성하는 방법](https://aws.amazon.com/blogs/security/how-to-configure-even-stronger-password-policies-to-help-meet-your-security-standards-by-using-aws-directory-service-for-microsoft-active-directory/)
# AWS 관리형 Microsoft AD 사용자에게 암호 정책 할당
**AWS AS Delegated Fine Grained Password Policy Administrators(위임 세분화된 암호 정책 관리자)** 보안 그룹의 멤버인 사용자 계정은 다음 절차를 사용하여 사용자 및 보안 그룹에 정책을 할당할 수 있습니다.
**사용자에게 암호 정책을 할당하려면**
1. AWS Managed Microsoft AD 도메인에 조인한 모든 관리형 EC2 인스턴스에서 [Active Directory 관리 센터(ADAC)](https://technet.microsoft.com/en-us/library/dd560651.aspx)를 시작합니다.
1. [**Tree View**]로 전환하여 [**System\$1Password Settings Container**]로 이동합니다.
1. 편집하려는 세분화된 정책을 두 번 클릭합니다. [**Add**]를 클릭하여 정책 속성을 편집하고 사용자 또는 보안 그룹을 정책에 추가합니다. AWS Managed Microsoft AD에서 제공하는 기본 세분화 정책에 관한 자세한 내용은 [AWS 사전 정의된 암호 정책](ms_ad_password_policies.md#supportedpwdpolicies) 단원을 참조하세요.
1. 암호 정책이 적용되었는지 확인하려면 다음 PowerShell 명령을 실행합니다.
```
[Get-ADUserResultantPasswordPolicy](https://docs.microsoft.com/en-us/powershell/module/activedirectory/get-aduserresultantpasswordpolicy?view=windowsserver2022-ps) -Identity 'username'
```
**참고**
결과가 정확하지 않을 수 있으므로 `net user` 명령을 사용하지 마세요.
AWS 관리형 Microsoft AD 디렉터리에서 암호 정책 5개를 구성하지 않으면 Active Directory는 기본 도메인 그룹 정책을 사용합니다. **암호 설정 컨테이너** 사용에 대한 자세한 내용은 이 [Microsoft 블로그 게시물](https://blogs.technet.microsoft.com/canitpro/2013/05/29/step-by-step-enabling-and-using-fine-grained-password-policies-in-ad/)을 참조하세요.
# AWS 관리형 Microsoft AD 암호 정책을 관리할 수 있는 사용자 위임
위임된 세분화된 암호 정책 관리자 보안 그룹에 계정을 추가하여 AWS 관리형 Microsoft AD에서 생성한 특정 사용자 계정에 암호 정책을 관리할 수 있는 권한을 위임할 수 있습니다. **AWS ** 이 그룹의 멤버가 된 계정에는 [이전](ms_ad_password_policies.md#supportedpwdpolicies)에 나열된 모든 암호 정책을 편집 및 구성할 수 있는 권한이 부여됩니다.
**암호 정책을 관리할 수 있는 권한을 위임하려면**
1. AWS Managed Microsoft AD 도메인에 조인한 모든 관리형 EC2 인스턴스에서 [Active Directory 관리 센터(ADAC)](https://technet.microsoft.com/en-us/library/dd560651.aspx)를 시작합니다.
1. **트리 보기**로 전환하여 **AWS Delegated Groups(위임 그룹)** OU로 이동합니다. 이 OU에 대한 자세한 내용은 [AWS 관리형 Microsoft AD로 생성되는 항목](ms_ad_getting_started_what_gets_created.md)를 참조하세요.
1. **AWS Delegated Fine Grained Password Policy Administrators(위임 세분화된 암호 정책 관리자)** 사용자 그룹을 찾습니다. 도메인의 사용자 또는 그룹을 이 그룹에 추가합니다.
# AWS 관리형 Microsoft AD에 대한 다중 인증 활성화
사용자가 지원되는 Amazon Enterprise 애플리케이션에 액세스하기 위해 AD 자격 증명을 지정할 때 AWS 관리형 Microsoft AD 디렉터리에 대해 다중 인증(MFA)을 활성화하여 보안을 강화할 수 있습니다. MFA를 활성화하면 사용자는 평소 대로 사용자 이름 및 암호(첫 번째 요소)를 입력하는 것 외에도 가상 또는 하드웨어 MFA 솔루션에서 얻는 인증 코드(두 번째 요소)를 입력해야 합니다. 이들 요소는 사용자가 유효한 사용자 자격 증명과 유효 MFA 코드를 제공하지 않는 경우 Amazon 엔터프라이즈 애플리케이션에 대한 액세스를 금지하여 보안을 강화합니다.
MFA를 사용하려면 [원격 인증 전화 접속 사용자 서비스](https://en.wikipedia.org/wiki/RADIUS)(RADIUS) 서버인 MFA 솔루션이 있거나 사용자의 온프레미스 인프라에 이미 구현된 RADIUS 서버에 대한 MFA 플러그인이 있어야 합니다. MFA 솔루션에서는 사용자가 하드웨어 디바이스나 휴대전화 등의 기기에서 실행되는 소프트웨어에서 얻는 일회용 암호(OTP)를 사용할 수 있어야 합니다.
RADIUS는 사용자가 네트워크 서비스에 연결할 수 있도록 인증, 권한 부여, 계정 관리 서비스를 제공하는 업계 표준 클라이언트/서버 프로토콜입니다. AWS 관리형 Microsoft AD에는 MFA 솔루션을 구현한 RADIUS 서버에 연결하는 RADIUS 클라이언트가 포함되어 있습니다. RADIUS 서버에서는 사용자 이름과 OTP 코드를 확인합니다. RADIUS 서버가 사용자를 성공적으로 검증하면 AWS 관리형 Microsoft AD가 Active Directory에 대해 사용자를 인증합니다. Active Directory 인증에 성공하면 사용자는 AWS 애플리케이션에 액세스할 수 있습니다. AWS 관리형 Microsoft AD RADIUS 클라이언트와 RADIUS 서버 간의 통신에서는 포트 1812를 통한 통신을 활성화하는 AWS 보안 그룹을 구성해야 합니다.
다음 절차를 수행하여 AWS 관리형 Microsoft AD 디렉터리에 대한 다중 인증을 활성화할 수 있습니다. RADIUS 서버가 Directory Service 및 MFA에서 작동하도록 구성하는 자세한 방법은 [다중 인증 사전 조건](ms_ad_getting_started.md#prereq_mfa_ad) 단원을 참조하세요.
## 고려 사항
다음은 AWS 관리형 Microsoft AD의 다중 인증에 대한 몇 가지 고려 사항입니다.
+ Simple AD에는 다중 인증을 사용할 수 없습니다. 그러나 AD Connector 디렉터리에는 MFA를 사용할 수 있습니다. 자세한 내용은 [AD Connector에 대한 다중 인증 활성화](ad_connector_mfa.md) 단원을 참조하십시오.
+ MFA는 AWS Managed Microsoft AD의 리전별 기능입니다. [다중 리전 복제](ms_ad_configure_multi_region_replication.md)를 사용하는 경우 AWS 관리형 Microsoft AD의 기본 리전에서만 MFA를 사용할 수 있습니다.
+ 외부 통신에 AWS 관리형 Microsoft AD를 사용하려는 경우 AWS 이러한 통신에 네트워크 외부의 NAT(Network Address Translation) 인터넷 게이트웨이 또는 인터넷 게이트웨이를 구성하는 것이 좋습니다.
+ AWS 관리형 Microsoft AD와 AWS 네트워크에서 호스팅되는 RADIUS 서버 간의 외부 통신을 지원하려면에 문의하십시오[지원](https://console.aws.amazon.com/support/home#/).
+ WorkSpaces, WorkDocs, Amazon WorkMail, Amazon Quick, AWS IAM Identity Center 및에 대한 액세스를 포함한 모든 Amazon Enterprise IT 애플리케이션 AWS Management Console 은 MFA와 함께 AWS Managed Microsoft AD 및 AD Connector를 사용할 때 지원됩니다. MFA를 사용하는 이러한 AWS 애플리케이션은 다중 리전에서 지원되지 않습니다.
자세한 내용은 [AWS 관리형 Microsoft AD 및 온프레미스 자격 증명을 사용하여 AWS 서비스에 대한 멀티 팩터 인증을 활성화하는 방법을 참조하세요](https://aws.amazon.com/blogs/security/how-to-enable-multi-factor-authentication-for-amazon-workspaces-and-amazon-quicksight-by-using-microsoft-ad-and-on-premises-credentials/).
+ Amazon Enterprise 애플리케이션, AWS Single Sign-On 및 AWS Management Console 사용에 대한 기본 사용자 액세스를 구성하는 방법에 대한 자세한 내용은 [AWS 관리형 Microsoft AD에서 AWS 애플리케이션 및 서비스에 액세스](ms_ad_manage_apps_services.md) 및 섹션을 Directory Service참조하세요[AWS 관리형 Microsoft AD 자격 증명을 사용하여 AWS Management Console 액세스 활성화](ms_ad_management_console_access.md).
+ 관리형 Microsoft AD에서 Amazon WorkSpaces 사용자에 대해 MFA를 활성화하는 방법, AWS 관리형 Microsoft [AWS AD 및 온프레미스 자격 증명을 사용하여 AWS 서비스에 대해 멀티 팩터 인증을 활성화하는 방법을](https://aws.amazon.com/blogs/security/how-to-enable-multi-factor-authentication-for-amazon-workspaces-and-amazon-quicksight-by-using-microsoft-ad-and-on-premises-credentials/) 알아보려면 다음 AWS 보안 블로그 게시물을 참조하세요.
## AWS 관리형 Microsoft AD에 대한 다중 인증 활성화
다음 절차에서는 AWS 관리형 Microsoft AD에 대한 다중 인증을 활성화하는 방법을 보여줍니다.
1. RADIUS MFA 서버의 IP 주소와 AWS 관리형 Microsoft AD 디렉터리를 식별합니다.
1. Virtual Private Cloud(VPC) 보안 그룹을 편집하여 AWS 관리형 Microsoft AD IP 엔드포인트와 RADIUS MFA 서버 간에 포트 1812를 통한 통신을 활성화합니다.
1. [AWS Directory Service 콘솔](https://console.aws.amazon.com/directoryservicev2/) 탐색 창에서 **디렉터리**를 선택합니다.
1. AWS Managed Microsoft AD 디렉터리의 디렉터리 ID 링크를 선택합니다.
1. **Directory details(디렉터리 세부 정보)** 페이지에서 다음 중 하나를 수행합니다.
+ **다중 리전 복제**에 여러 리전이 표시되는 경우 MFA를 활성화할 리전을 선택한 다음 **네트워킹 및 보안 탭**을 선택합니다. 자세한 내용은 [기본 리전과 추가 리전의 비교](multi-region-global-primary-additional.md) 단원을 참조하십시오.
+ **다중 리전 복제**에 리전이 표시되지 않는 경우 **네트워킹 및 보안** 탭을 선택합니다.
1. **다중 인증** 섹션에서 **작업**을 선택한 다음 **활성화**를 선택합니다.
1. **Enable multi-factor authentication (MFA)(다중 인증(MFA) 활성화)** 페이지에서 다음 값을 제공합니다.
**레이블 표시**
레이블 이름을 제공합니다.
**RADIUS 서버 DNS 이름 또는 IP 주소**
RADIUS 서버 엔드포인트의 IP 주소 또는 RADIUS 서버 로드 밸런서의 IP 주소입니다. 쉼표로 구분하여 여러 IP 주소를 입력할 수 있습니다(예: `192.0.0.0,192.0.0.12`).
RADIUS MFA는 또는 WorkSpaces AWS Management Console, Amazon Quick 또는 Amazon Chime과 같은 Amazon Enterprise 애플리케이션 및 서비스에 대한 액세스를 인증하는 경우에만 적용됩니다. Amazon Enterprise 애플리케이션 및 서비스는 AWS 관리형 Microsoft AD에 대해 다중 리전 복제가 구성된 경우에만 기본 리전에서 지원됩니다. EC2 인스턴스에서 실행되거나 EC2 인스턴스에 로그인하기 위한 Windows 워크로드에는 MFA를 제공하지 않습니다. Directory Service 는 RADIUS 챌린지/응답 인증을 지원하지 않습니다.
사용자는 사용자 이름과 암호를 입력할 때 MFA 코드를 알고 있어야 합니다. 또한 푸시 알림 또는 사용자에 대한 인증자 일회용 암호(OTP)와 같이 대역 외 MFA를 수행하는 솔루션을 사용해야 합니다. 대역 외 MFA 솔루션에서는 RADIUS 제한 시간 값을 솔루션에 적합하게 설정해야 합니다. 대역 외 MFA 솔루션을 사용하는 경우 로그인 페이지에서 MFA 코드를 묻는 메시지가 표시됩니다. 이 경우, 사용자는 암호 필드와 MFA 필드 모두에 암호를 입력해야 합니다.
**포트**
RADIUS 서버에서 통신용으로 사용 중인 포트입니다. 온프레미스 네트워크는 Directory Service 서버의 기본 RADIUS 서버 포트(UDP:1812)를 통한 인바운드 트래픽을 허용해야 합니다.
**Shared secret code**
RADIUS 엔드포인트가 생성될 때 지정된 공유 보안 코드입니다.
**Confirm shared secret code**
RADIUS 엔드포인트의 공유 보안 코드를 확인합니다.
**프로토콜**
RADIUS 엔드포인트가 생성될 때 지정된 프로토콜을 선택합니다.
**서버 제한 시간(초)**
RADIUS 서버에서 응답을 대기할 시간(초)입니다. 이 값은 1\$150이어야 합니다.
RADIUS 서버 제한 시간은 20초 이하로 구성하는 것이 좋습니다. 제한 시간이 20초를 초과하면 시스템에서 다른 RADIUS 서버로 재시도할 수 없어 시간 초과 실패가 발생할 수 있습니다..
**최대 RADIUS 요청 재시도**
RADIUS 서버와 통신을 시도하는 횟수입니다. 이 값은 0\$110이어야 합니다.
[**RADIUS Status**]가 [**Enabled**]로 변경되면 다중 인증을 사용할 수 있습니다.
1. **활성화**를 선택합니다.
# 보안 LDAP 또는 LDAPS 활성화
LDAP(Lightweight Directory Access Protocol)는 Active Directory에서 데이터를 읽고 쓰는 데 사용되는 표준 통신 프로토콜입니다. 일부 애플리케이션은 LDAP를 사용하여 Active Directory에서 사용자 및 그룹을 추가, 제거 또는 검색하거나 Active Directory에서 사용자를 인증하기 위한 자격 증명을 전송합니다. 모든 LDAP 통신에는 클라이언트(예: 애플리케이션)와 서버(예: Active Directory)가 포함됩니다.
기본적으로 LDAP를 통한 통신은 암호화되지 않습니다. 그러므로 악성 사용자가 네트워크 모니터링 소프트웨어를 사용하여 유선으로 전송되는 데이터 패킷을 볼 수 있습니다. 이 때문에 일반적으로 많은 기업 보안 정책은 조직이 모든 LDAP 통신을 암호화하도록 요구하고 있습니다.
이러한 형태의 데이터 노출을 완화하기 위해 AWS 관리형 Microsoft AD는 옵션을 제공합니다. 즉, LDAPS라고도 하는 SSL(Secure Sockets Layer)/TLS(Transport Layer Security)를 통해 LDAP를 활성화할 수 있습니다. LDAPS를 사용하면 유선 보안을 개선할 수 있습니다. LDAP 지원 애플리케이션과 AWS Managed Microsoft AD 간의 모든 통신을 암호화하여 규정 준수 요구 사항을 충족할 수도 있습니다.
AWS 관리형 Microsoft AD는 다음과 같은 배포 시나리오에서 LDAPS를 지원합니다.
+ **서버 측 LDAPS**는 상업용 또는 자체적인 LDAP 인식 애플리케이션(LDAP 클라이언트 역할)과 AWS Managed Microsoft AD(LDAP 서버 역할) 간의 LDAP 통신을 암호화합니다. 자세한 내용은 [AWS 관리형 Microsoft AD를 사용하여 서버 측 LDAPS 활성화](ms_ad_ldap_server_side.md) 단원을 참조하십시오.
+ **클라이언트 측 LDAPS**는 WorkSpaces와 같은 AWS 애플리케이션(LDAP 클라이언트 역할)과 자체 관리형(on-premises) Active Directory(LDAP 서버 역할) 간의 LDAP 통신을 암호화합니다. 자세한 내용은 [AWS 관리형 Microsoft AD를 사용하여 클라이언트 측 LDAPS 활성화](ms_ad_ldap_client_side.md) 단원을 참조하십시오.
Microsoft Active Directory Certificate Services 구현 보안 관련 모범 사례에 대한 자세한 내용은 [Microsoft 설명서를](https://learn.microsoft.com/en-us/defender-for-identity/security-assessment-prevent-users-request-certificate) 참조하세요.
**Topics**
+ [AWS 관리형 Microsoft AD를 사용하여 서버 측 LDAPS 활성화](ms_ad_ldap_server_side.md)
+ [AWS 관리형 Microsoft AD를 사용하여 클라이언트 측 LDAPS 활성화](ms_ad_ldap_client_side.md)
# AWS 관리형 Microsoft AD를 사용하여 서버 측 LDAPS 활성화
서버 측 Lightweight Directory Access Protocol Secure Sockets Layer (SSL)/Transport Layer Security (TLS) (LDAPS) 지원은 상용 또는 자체 개발 LDAP인식 애플리케이션과 AWS Managed Microsoft AD 디렉터리 간의 LDAP 통신을 암호화합니다. 이렇게 하면 Secure Sockets Layer (SSL) 암호화 프로토콜을 사용하여 유선 보안을 개선하고 규정 준수 요구 사항을 충족할 수 있습니다.
## 를 사용하여 서버 측 LDAPS 활성화 AWS Private Certificate Authority
를 사용하여 서버 측 LDAPS 및 인증 기관(CA) 서버를 설정하고 구성하는 방법에 대한 자세한 지침은 섹션을 AWS Private CA참조하세요[AWS 관리형 Microsoft AD용 AD용 AWS Private CA 커넥터 설정](ms_ad_pca_connector.md).
## Microsoft CA를 사용하여 서버 측 LDAPS 활성화
서버 측 LDAPS 및 인증 기관(CA) 서버를 설정하고 구성하는 방법에 대한 자세한 지침은 AWS 보안 블로그의 [AWS 관리형 Microsoft AD 디렉터리에 대해 서버 측 LDAPS를 활성화하는 방법을 참조하세요](https://aws.amazon.com/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/).
대부분의 설정은 AWS Managed Microsoft AD 도메인 컨트롤러를 관리하는 데 사용하는 Amazon EC2 인스턴스로부터 수행해야 합니다. 다음 단계에서는 AWS 클라우드내 도메인에 대해 LDAPS를 활성화하는 절차를 안내합니다.
자동화를 사용하여 PKI 인프라를 설정하려면 [Microsoft Public Key Infrastructure on AWS QuickStart 가이드를](https://aws.amazon.com/quickstart/architecture/microsoft-pki/) 사용할 수 있습니다. 특히 안내서의 지침에 따라 [AWS의 기존 VPC에 MicrosoftPKI 배포](https://aws-quickstart.github.io/quickstart-microsoft-pki/#_deployment_steps)를 위한 템플릿을 로드하는 것이 좋습니다. 템플릿을 로드한 후에는 **Active Directory 도메인 서비스 유형** 옵션으로 이동하면 **`AWSManaged`**를 선택해야 합니다. 빠른 시작 안내서를 사용한 경우 바로 [3단계: 인증서 템플릿 생성](#createcustomcert)로 이동할 수 있습니다.
**Topics**
+ [1단계: LDAPS를 활성화할 수 있는 사용자 위임](#grantpermsldaps)
+ [2단계: 인증 기관 설정](#setupca)
+ [3단계: 인증서 템플릿 생성](#createcustomcert)
+ [4단계: 보안 그룹 규칙 추가](#addgrouprules)
### 1단계: LDAPS를 활성화할 수 있는 사용자 위임
서버 측 LDAPS를 활성화하려면 AWS 관리형 Microsoft AD 디렉터리의 관리자 또는 AWS 위임된 엔터프라이즈 인증 기관 관리자 그룹의 멤버여야 합니다. 또는 기본 관리 사용자(관리자 계정)여야 합니다. 원하는 경우 관리자 계정 설정 LDAPS 이외의 사용자가 있을 수 있습니다. 이 경우 AWS 관리형 Microsoft AD 디렉터리의 관리자 또는 AWS 위임된 엔터프라이즈 인증 기관 관리자 그룹에 해당 사용자를 추가합니다.
### 2단계: 인증 기관 설정
서버 측 LDAPS를 활성화하려면 먼저 인증서를 만들어야 합니다. 이 인증서는 AWS Managed Microsoft AD 도메인에 조인된 Microsoft Enterprise CA 서버에서 발급한 인증서여야 합니다. 생성된 인증서는 해당 도메인의 각 도메인 컨트롤러에 설치해야 합니다. 이 인증서는 도메인 컨트롤러 상의 LDAP 서비스가 LDAP 클라이언트로부터 SSL 연결을 수신하고 자동으로 수락하도록 허용합니다.
**참고**
AWS 관리형 Microsoft AD를 사용하는 서버 측 LDAPS는 독립 실행형 CA에서 발급한 인증서를 지원하지 않습니다. 타사 인증 기관에서 발급한 인증서도 지원하지 않습니다.
비즈니스 필요에 따라 다음과 같이 도메인에서 CA를 설정 또는 연결할 수 있는 옵션이 있습니다.
+ **하위 항목 생성 Microsoft Enterprise CA** - (권장)이 옵션을 사용하면 AWS 클라우드에 하위 Microsoft Enterprise CA 서버를 배포할 수 있습니다. 서버에서는 Amazon EC2를 사용하므로 기존 루트 Microsoft CA로 작업할 수 있습니다. 하위 Microsoft를 설정하는 방법에 대한 자세한 내용은 관리형 Microsoft AD ** AD 디렉터리MicrosoftEnterprise CA에 AWS Microsoft 서버 측 LDAPS를 활성화하는 방법의 4단계:** 디렉터리에 추가를 Enterprise CA참조하세요. [AWS](https://aws.amazon.com/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/)
+ **루트 생성 Microsoft Enterprise CA** -이 옵션을 사용하면 Amazon EC2를 사용하여 AWS 클라우드MicrosoftEnterprise CA에서 루트를 생성하고 AWS 관리형 Microsoft AD 도메인에 조인할 수 있습니다. 이 루트 CA는 도메인 컨트롤러에 인증서를 발급합니다. 새 루트 CA 설정에 대한 자세한 내용은 관리형 Microsoft AD 디렉터리에 서버 측 LDAPS를 활성화하는 방법의 **3단계: 오프라인 CA 설치 및 구성을** 참조하세요. [AWS](https://aws.amazon.com/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/)
EC2 인스턴스를 도메인에 조인하는 방법에 대한 자세한 내용은 [Amazon EC2 인스턴스를 AWS 관리형 Microsoft AD에 조인하는 방법](ms_ad_join_instance.md) 단원을 참조하세요.
### 3단계: 인증서 템플릿 생성
Enterprise CA를 설정한 후 Kerberos 인증 인증서 템플릿을 구성할 수 있습니다.
**인증서 템플릿을 생성하려면**
1. **Microsoft Windows Server Manager**를 시작합니다. **도구 > 인증 기관**을 선택합니다.
1. **인증 기관** 창에서 왼쪽 창의 **인증 기관** 트리를 확장합니다. **Certificate Templates**를 마우스 오른쪽 버튼으로 클릭하고 **Manage**를 선택합니다.
1. **Certificate Templates Console** 창에서 **Kerberos Authentication**을 마우스 오른쪽 버튼으로 클릭하고 **Duplicate Template**을 선택합니다.
1. **새 템플릿의 속성** 창이 나타납니다.
1. **새 템플릿 속성** 창에서 **호환성** 탭으로 이동한 후 다음을 수행합니다.
1. **인증 기관**을 CA와 일치하는 OS로 변경합니다.
1. **변경 결과** 창이 나타나면 **확인**을 선택합니다.
1. **인증 수신자**를 **Windows 10/Windows Server 2016**으로 변경합니다.
**참고**
AWS 관리형 Microsoft AD는 로 구동됩니다Windows Server 2019.
1. **변경 결과** 창이 나타나면 **확인**을 선택합니다.
1. **일반** 탭을 클릭하고 **템플릿 표시 이름**을 **LDApoverssl** 또는 원하는 다른 이름으로 변경합니다.
1. **보안** 탭을 클릭하고 **그룹 또는 사용자 이름** 섹션에서 **도메인 컨트롤러**를 선택합니다. **도메인 컨트롤러에 대한 권한** 섹션에서 **읽기**, **등록**, **자동 등록**에 대한 **허용** 확인란이 선택되어 있는지 확인합니다.
1. **확인**을 선택하여 **LDApoverSSL**(또는 앞서 지정한 이름) 인증서 템플릿을 생성합니다. **인증서 템플릿 콘솔** 창을 닫습니다.
1. **Certificate Authority** 창에서 **Certificate Templates**를 마우스 오른쪽 버튼으로 클릭하고 **New > Certificate Template to Issue**를 선택합니다.
1. **인증서 템플릿 사용** 창에서 **LDApoverSL**(또는 앞서 지정한 이름)을 선택한 다음 **확인**을 선택합니다.
### 4단계: 보안 그룹 규칙 추가
마지막 단계에서 Amazon EC2 콘솔을 열고 보안 그룹 규칙을 추가해야 합니다. 이러한 규칙을 사용하면 도메인 컨트롤러가 Enterprise CA에 연결하여 인증서를 요청할 수 있습니다. 이렇게 하려면 Enterprise CA가 도메인 컨트롤러로부터 수신 트래픽을 수락할 수 있도록 인바운드 규칙을 추가합니다. 그런 다음 아웃바운드 규칙을 추가하여 도메인 컨트롤러에서 Enterprise CA로 가는 트래픽을 허용합니다.
두 규칙이 모두 구성되면 도메인 컨트롤러가 자동으로 Enterprise CA에 인증서를 요청하고 디렉터리에 대해 LDAPS를 활성화합니다. 이제 도메인 컨트롤러의 LDAP 서비스가 LDAPS 연결을 수락할 준비를 마쳤습니다.
**보안 그룹 규칙을 구성하려면**
1. Amazon EC2 콘솔 [https://console.aws.amazon.com/ec2](https://console.aws.amazon.com/ec2)로 이동하여 관리자 보안 인증 정보로 로그인합니다.
1. 탐색 창의 **Network & Security**에서 **Security Groups**를 선택합니다.
1. 기본 창에서 CA의 AWS 보안 그룹을 선택합니다.
1. **인바운드(Inbound)** 탭을 선택한 후 **편집(Edit)**을 선택합니다.
1. [**Edit inbound rules**] 대화 상자에서 다음을 수행합니다.
+ **규칙 추가(Add Rule)**를 선택합니다.
+ **유형**에서 **모든 트래픽**을 선택하고 **소스**로 **사용자 지정**을 선택합니다.
+ **소스** 옆의 상자에 디렉터리의 AWS 보안 그룹(예: `sg-123456789`)을 입력합니다.
+ **저장**을 선택합니다.
1. 이제 AWS 관리형 Microsoft AD 디렉터리의 AWS 보안 그룹을 선택합니다. [**Outbound**] 탭을 선택하고 [**Edit**]를 선택합니다.
1. [**Edit outbound rules**] 대화 상자에서 다음을 수행합니다.
+ **규칙 추가(Add Rule)**를 선택합니다.
+ **유형**에서 **모든 트래픽**을 선택하고 **대상**에서 **사용자 지정**을 선택합니다.
+ **대상** 옆의 상자에 CA의 AWS 보안 그룹을 입력합니다.
+ **저장**을 선택합니다.
LDP 도구를 사용하여 AWS 관리형 Microsoft AD 디렉터리에 대한 LDAPS 연결을 테스트할 수 있습니다. 이 LDP 도구는 Active Directory Administrative Tools와 함께 제공됩니다. 자세한 내용은 [AWS 관리형 Microsoft AD용 Active Directory 관리 도구 설치](ms_ad_install_ad_tools.md) 단원을 참조하십시오.
**참고**
LDAPS 연결을 테스트하기 전에 하위 CA가 도메인 컨트롤러에 인증서를 발급할 때까지 최대 30분간 기다려야 합니다.
서버 측 LDAPS에 대한 자세한 내용과 설정 방법에 대한 사용 사례 예제를 보려면 AWS 보안 블로그의 [AWS 관리형 Microsoft AD 디렉터리에 서버 측 LDAPS를 활성화하는 방법을 참조하세요](https://aws.amazon.com/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/).
# AWS 관리형 Microsoft AD를 사용하여 클라이언트 측 LDAPS 활성화
AWS 관리형 Microsoft AD의 클라이언트 측 Lightweight Directory Access Protocol Secure Sockets Layer(SSL)/전송 계층 보안(TLS)(LDAPS) 지원은 자체 관리형(온프레미스) Microsoft Active Directory(AD)와 AWS 애플리케이션 간의 통신을 암호화합니다. 이러한 애플리케이션의 예로는 WorkSpaces, AWS IAM Identity Center, Quick 및 Amazon Chime이 있습니다. 이 암호화를 통해 조직의 자격 증명 데이터에 대한 보안을 강화하고 보안 요구 사항을 충족할 수 있습니다.
## 사전 조건
클라이언트 측 LDAPS를 활성화하려면 먼저 다음 요구 사항을 충족해야 합니다.
**Topics**
+ [AWS 관리형 Microsoft AD와 자체 관리형 Microsoft Active Directory 간에 신뢰 관계 생성](#trust_relationship_MAD_and_self_managed)
+ [Active Directory에 서버 인증서 배포](#ldap_client_side_deploy_server_certs)
+ [인증 기관 인증서 요구 사항](#ldap_client_side_get_certs_ready)
+ [네트워킹 요구 사항](#ldap_client_side_considerations_enabling)
### AWS 관리형 Microsoft AD와 자체 관리형 Microsoft Active Directory 간에 신뢰 관계 생성
먼저 클라이언트 측 LDAPS를 활성화하려면 AWS 관리형 Microsoft AD와 자체 관리형 Microsoft Active Directory 간에 신뢰 관계를 설정해야 합니다. 자세한 내용은 [AWS 관리형 Microsoft AD와 자체 관리형 AD 간에 신뢰 관계 생성](ms_ad_setup_trust.md) 단원을 참조하십시오.
### Active Directory에 서버 인증서 배포
클라이언트 측 LDAPS를 활성화하려면 Active Directory의 각 도메인 컨트롤러에 대한 서버 인증서를 가져와 설치해야 합니다. LDAP 서비스에서는 이러한 인증서를 사용하여 LDAP 클라이언트로부터의 SSL 연결을 수신하고 자동으로 수락합니다. 사내 Active Directory 인증서 서비스(ADCS) 배포에서 발급하거나 상업용 발급자로부터 구매한 SSL 인증서를 사용할 수 있습니다. Active Directory 서버 인증서 요구 사항에 대한 자세한 내용은 Microsoft 웹 사이트의 [LDAP over SSL (LDAPS) Certificate](https://social.technet.microsoft.com/wiki/contents/articles/2980.ldap-over-ssl-ldaps-certificate.aspx)를 참조하세요.
### 인증 기관 인증서 요구 사항
클라이언트 측 LDAPS 작업에는 서버 인증서의 발급자를 나타내는 인증 기관(CA) 인증서가 필요합니다. CA 인증서는 LDAP 통신을 암호화하기 위해 Active Directory 도메인 컨트롤러에서 제공하는 서버 인증서와 일치합니다. 다음 CA 인증서 요구 사항에 유의하세요.
+ 클라이언트 측 LDAPS를 활성화하려면 엔터프라이즈 인증 기관(CA)이 필요합니다. 타사 상용 인증 기관인 Active Directory Certificate Service 또는 [AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html)를 사용할 수 있습니다. Microsoft Enterprise Certificate Authority에 대한 자세한 내용은 [Microsoft 설명서](https://learn.microsoft.com/en-us/previous-versions/tn-archive/cc875810(v=technet.10)?redirectedfrom=MSDN)를 참조하세요.
+ 인증서를 등록하려면 만료일까지 90일 이상 남아 있어야 합니다.
+ 인증서는 PEM(Privacy-Enhanced Mail) 형식이어야 합니다. Active Directory 내부에서 CA 인증서를 내보내는 경우 내보내기 파일 형식으로 base64로 인코딩된 X.509(.CER)를 선택합니다.
+ AWS 관리형 Microsoft AD 디렉터리당 최대 다섯(5) 개의 CA 인증서를 저장할 수 있습니다.
+ RSASSA-PSS 서명 알고리즘을 사용하는 인증서는 지원되지 않습니다.
+ 신뢰할 수 있는 모든 도메인의 모든 서버 인증서에 연결되는 CA 인증서를 등록해야 합니다.
### 네트워킹 요구 사항
AWS 애플리케이션 LDAP 트래픽은 TCP 포트 636에서만 실행되며 LDAP 포트 389로 대체되지 않습니다. 그러나 복제, 신뢰 등을 지원하는 Windows LDAP 통신은 Windows 기본 보안과 함께 LDAP 포트 389를 계속 사용합니다. AWS 관리형 Microsoft AD(아웃바운드) 및 자체 관리형 Active Directory(인바운드)의 포트 636에서 TCP 통신을 허용하도록 AWS 보안 그룹 및 네트워크 방화벽을 구성합니다. AWS Managed Microsoft AD 및 자체 관리형 Active Directory 간에 LDAP 포트 389를 열어 둡니다.
## 클라이언트 측 LDAPS 활성화
클라이언트 측 LDAPS를 활성화하려면 인증 기관(CA) 인증서를 AWS Managed Microsoft AD로 가져온 다음 디렉터리에서 LDAPS를 활성화합니다. 활성화하면 AWS 애플리케이션과 자체 관리형 Active Directory 간의 모든 LDAP 트래픽이 Secure Sockets Layer(SSL) 채널 암호화를 통해 흐릅니다.
두 가지 방법을 사용하여 디렉터리에 대해 클라이언트 측 LDAPS를 활성화할 수 있습니다. AWS Management Console 메서드 또는 AWS CLI 메서드를 사용할 수 있습니다.
**참고**
클라이언트 측 LDAPS는 AWS 관리형 Microsoft AD의 리전별 기능입니다. [다중 리전 복제](ms_ad_configure_multi_region_replication.md)를 사용하는 경우 다음 절차를 각 리전에 별도로 적용해야 합니다. 자세한 내용은 [글로벌 기능과 리전별 기능 비교](multi-region-global-region-features.md) 단원을 참조하십시오.
**Topics**
+ [1단계:에 인증서 등록 Directory Service](#ms_ad_registercert)
+ [2단계: 등록 상태 확인](#ms_ad_check-registration-status)
+ [3단계: 클라이언트 측 LDAPS 활성화](#ms_ad_enableclientsideldapssteps)
+ [4단계: LDAPS 상태 확인](#ms_ad_check-ldaps-status)
### 1단계:에 인증서 등록 Directory Service
다음 방법 중 하나를 사용하여 인증서를 등록합니다 Directory Service.
**방법 1:에 인증서를 등록하려면 Directory Service (AWS Management Console)**
1. [AWS Directory Service 콘솔](https://console.aws.amazon.com/directoryservicev2/) 탐색 창에서 **디렉터리**를 선택합니다.
1. 디렉터리에 대한 디렉터리 ID 링크를 선택합니다.
1. **Directory details(디렉터리 세부 정보)** 페이지에서 다음 중 하나를 수행합니다.
+ **다중 리전 복제**에 여러 리전이 표시되는 경우 인증서를 등록할 리전을 선택한 다음 **네트워킹 및 보안** 탭을 선택합니다. 자세한 내용은 [기본 리전과 추가 리전의 비교](multi-region-global-primary-additional.md) 단원을 참조하십시오.
+ **다중 리전 복제**에 리전이 표시되지 않는 경우 **네트워킹 및 보안** 탭을 선택합니다.
1. **클라이언트 측 LDAPS** 섹션에서 **작업** 메뉴를 선택한 다음 **인증서 등록**을 선택합니다.
1. **CA 인증서 등록** 대화 상자에서 **찾아보기**를 선택한 다음 인증서를 선택하고 **열기**를 선택합니다.
1. **인증서 등록**을 선택합니다.
**방법 2:에 인증서를 등록하려면 Directory Service (AWS CLI)**
+ 다음 명령을 실행합니다. 인증서 데이터의 경우 CA 인증서 파일의 위치를 가리킵니다. 응답에 인증서 ID가 제공됩니다.
```
aws ds register-certificate --directory-id your_directory_id --certificate-data file://your_file_path
```
### 2단계: 등록 상태 확인
인증서 등록 상태 또는 등록된 인증서 목록을 보려면 다음 명령을 사용합니다.
**방법 1: Directory Service (AWS Management Console)에서 인증서 등록 상태를 확인하는 방법**
1. **Directory details(디렉터리 세부 정보)** 페이지의 **클라이언트측 LDAPS** 섹션으로 이동합니다.
1. **등록 상태** 열 아래 표시되는 현재 인증서 등록 상태를 검토합니다. 등록 상태 값이 **등록됨**으로 변경되면 인증서가 성공적으로 등록된 것입니다.
**방법 2: Directory Service (AWS CLI)에서 인증서 등록 상태를 확인하는 방법**
+ 다음 명령을 실행합니다. 상태 값이 `Registered`를 반환하면 인증서가 성공적으로 등록된 것입니다.
```
aws ds list-certificates --directory-id your_directory_id
```
### 3단계: 클라이언트 측 LDAPS 활성화
다음 방법 중 하나를 사용하여 클라이언트 측 LDAPS를 활성화합니다 Directory Service.
**참고**
클라이언트 측 LDAPS를 활성화하려면 인증서를 하나 이상 등록해야 합니다.
**방법 1: Directory Service (AWS Management Console)에서 클라이언트 측 LDAPS를 활성화하려면**
1. **Directory details(디렉터리 세부 정보)** 페이지의 **클라이언트측 LDAPS** 섹션으로 이동합니다.
1. **활성화**를 선택합니다. 이 옵션을 사용할 수 없는 경우, 유효한 인증서가 성공적으로 등록되었는지 확인한 다음 다시 시도하세요.
1. **클라이언트 측 LDAPS 활성화** 대화 상자에서 **활성화**를 선택합니다.
**방법 2: Directory Service (AWS CLI)에서 클라이언트 측 LDAPS를 활성화하려면**
+ 다음 명령을 실행합니다.
```
aws ds enable-ldaps --directory-id your_directory_id --type Client
```
### 4단계: LDAPS 상태 확인
다음 방법 중 하나를 사용하여 LDAPS 상태를 확인합니다 Directory Service.
**방법 1: Directory Service (AWS Management Console)에서 LDAPS 상태 확인**
1. **Directory details(디렉터리 세부 정보)** 페이지의 **클라이언트측 LDAPS** 섹션으로 이동합니다.
1. 상태 값이 **활성화됨**으로 표시되면 LDAPS가 성공적으로 구성된 것입니다.
**방법 2: Directory Service (AWS CLI)에서 LDAPS 상태 확인**
+ 다음 명령을 실행합니다. 상태 값이 `Enabled`을 반환하면 LDAPS가 성공적으로 구성된 것입니다.
```
aws ds describe-ldaps-settings –-directory-id your_directory_id
```
## 클라이언트 측 LDAPS 관리
LDAPS 구성을 관리하려면 다음 명령을 사용합니다.
두 가지 방법을 사용하여 클라이언트 측 LDAPS 설정을 관리할 수 있습니다. AWS Management Console 메서드 또는 AWS CLI 메서드를 사용할 수 있습니다.
### 인증서 세부 정보 보기
다음 방법 중 하나를 사용하여 인증서가 만료되도록 설정된 시기를 확인합니다.
**방법 1: Directory Service (AWS Management Console)에서 인증서 세부 정보를 보는 방법**
1. [AWS Directory Service 콘솔](https://console.aws.amazon.com/directoryservicev2/) 탐색 창에서 **디렉터리**를 선택합니다.
1. 디렉터리에 대한 디렉터리 ID 링크를 선택합니다.
1. **Directory details(디렉터리 세부 정보)** 페이지에서 다음 중 하나를 수행합니다.
+ **다중 리전 복제**에 여러 리전이 표시되는 경우 인증서를 보려는 리전을 선택한 다음 **네트워킹 및 보안** 탭을 선택합니다. 자세한 내용은 [기본 리전과 추가 리전의 비교](multi-region-global-primary-additional.md) 단원을 참조하십시오.
+ **다중 리전 복제에** 표시된 리전이 없는 경우 **네트워킹 및 보안** 탭을 선택합니다.
1. **클라이언트 측 LDAPS** 섹션의 **CA 인증서** 아래에 인증서에 대한 정보가 표시됩니다.
**방법 2: Directory Service (AWS CLI)에서 인증서 세부 정보를 보는 방법**
+ 다음 명령을 실행합니다. 인증서 ID의 경우 `register-certificate` 또는 `list-certificates`에서 반환한 식별자를 사용합니다.
```
aws ds describe-certificate --directory-id your_directory_id --certificate-id your_cert_id
```
### 인증서 등록 취소
다음 방법 중 하나를 사용하여 인증서 등록을 취소합니다.
**참고**
인증서가 하나만 등록된 경우 먼저 LDAPS를 비활성화해야 인증서의 등록을 취소할 수 있습니다.
**방법 1: Directory Service (AWS Management Console)에서 인증서 등록 취소**
1. [AWS Directory Service 콘솔](https://console.aws.amazon.com/directoryservicev2/) 탐색 창에서 **디렉터리**를 선택합니다.
1. 디렉터리에 대한 디렉터리 ID 링크를 선택합니다.
1. **Directory details(디렉터리 세부 정보)** 페이지에서 다음 중 하나를 수행합니다.
+ **다중 리전 복제**에 여러 리전이 표시된 경우 인증서 등록을 취소할 리전을 선택한 다음 **네트워킹 및** 보안 탭을 선택합니다. 자세한 내용은 [기본 리전과 추가 리전의 비교](multi-region-global-primary-additional.md) 단원을 참조하십시오.
+ **다중 리전 복제**에 리전이 표시되지 않는 경우 **네트워킹 및 보안** 탭을 선택합니다.
1. **클라이언트 측 LDAPS** 섹션에서 **작업**을 선택한 다음 **인증서 등록 취소**를 선택합니다.
1. **CA 인증서 등록 취소** 대화 상자에서 **등록 취소**를 선택합니다.
**방법 2: Directory Service (AWS CLI)에서 인증서 등록 취소**
+ 다음 명령을 실행합니다. 인증서 ID의 경우 `register-certificate` 또는 `list-certificates`에서 반환한 식별자를 사용합니다.
```
aws ds deregister-certificate --directory-id your_directory_id --certificate-id your_cert_id
```
### 클라이언트 측 LDAPS 비활성화
다음 방법 중 하나를 사용하여 클라이언트 측 LDAPS를 비활성화합니다.
**방법 1: Directory Service (AWS Management Console)에서 클라이언트 측 LDAPS를 비활성화하려면**
1. [AWS Directory Service 콘솔](https://console.aws.amazon.com/directoryservicev2/) 탐색 창에서 **디렉터리**를 선택합니다.
1. 디렉터리에 대한 디렉터리 ID 링크를 선택합니다.
1. **Directory details(디렉터리 세부 정보)** 페이지에서 다음 중 하나를 수행합니다.
+ **다중 리전 복제**에 여러 리전이 표시되는 경우 클라이언트측 LDAPS를 사용하지 않도록 설정할 리전을 선택한 다음 **네트워킹 및 보안 탭**을 선택합니다. 자세한 내용은 [기본 리전과 추가 리전의 비교](multi-region-global-primary-additional.md) 단원을 참조하십시오.
+ **다중 리전 복제**에 리전이 표시되지 않는 경우 **네트워킹 및 보안** 탭을 선택합니다.
1. **클라이언트 측 LDAPS** 섹션에서 **비활성화**를 선택합니다.
1. **클라이언트 측 LDAPS 비활성화** 대화 상자에서 **비활성화**를 선택합니다.
**방법 2: Directory Service (AWS CLI)에서 클라이언트 측 LDAPS를 비활성화하려면**
+ 다음 명령을 실행합니다.
```
aws ds disable-ldaps --directory-id your_directory_id --type Client
```
## 인증서 등록 문제
관리 AWS 형 Microsoft AD 도메인 컨트롤러를 CA 인증서에 등록하는 프로세스는 최대 30분이 걸릴 수 있습니다. 인증서 등록에 문제가 발생하여 AWS 관리형 Microsoft AD 도메인 컨트롤러를 다시 시작하려면에 문의하세요 지원. 지원 사례를 생성하려면 [지원 사례 및 사례 관리 생성](https://docs.aws.amazon.com/awssupport/latest/user/case-management.html)을 참조하세요.
# AWS 관리형 Microsoft AD의 규정 준수 관리
AWS 관리형 Microsoft AD를 사용하여 클라우드에서 다음 규정 준수 요구 사항이 AWS 적용되는 Active Directory 인식 애플리케이션을 지원할 수 있습니다. 하지만 Simple AD를 사용하는 경우 애플리케이션이 규정 준수 요건을 충족하지 않습니다.
## 지원되는 규정 준수 표준
AWS 관리형 Microsoft AD는 다음 표준에 대한 감사를 거쳤으며 규정 준수 인증을 받아야 하는 솔루션의 일부로 사용할 수 있습니다.
****
| | |
| --- |--- |
| ![\[FedRamp Logo\]](http://docs.aws.amazon.com/ko_kr/directoryservice/latest/admin-guide/images/FedRAMP.png) | AWS Managed Microsoft AD는 연방 위험 및 권한 부여 관리 프로그램(FedRAMP) 보안 요구 사항을 충족하고 FedRAMP 보통 및 상위 기준에서 FedRAMP 공동 권한 부여 위원회(JAB) 잠정적 운영 권한(P-ATO)을 받았습니다. FedRAMP에 대한 자세한 내용은 [FedRAMP 규정 준수](https://aws.amazon.com/compliance/fedramp/)를 참조하세요. |
| ![\[PCI Logo\]](http://docs.aws.amazon.com/ko_kr/directoryservice/latest/admin-guide/images/PCI.png) | AWS 관리형 Microsoft AD에는 서비스 공급자 수준 1에서 결제 카드 산업(PCI) 데이터 보안 표준(DSS) 버전 3.2에 대한 규정 준수 증명이 있습니다. 제품 및 서비스를 사용하여 AWS 카드 소지자 데이터를 저장, 처리 또는 전송하는 고객은 자체 PCI DSS 규정 준수 인증을 관리할 때 AWS 관리형 Microsoft AD를 사용할 수 있습니다. PCI 규정 준수 패키지의 사본을 요청하는 방법을 포함하여 AWS PCI DSS에 대한 자세한 내용은 [PCI DSS 레벨 1](https://aws.amazon.com/compliance/pci-dss-level-1-faqs/)을 참조하세요. 중요한 것은 PCI DSS 버전 3.2 표준과 일치하도록 AWS 관리형 Microsoft AD에서 세분화된 암호 정책을 구성해야 한다는 것입니다. 적용해야 하는 정책에 대한 자세한 내용은 아래 AWS 관리형 Microsoft AD 디렉터리에 대한 PCI 규정 준수 활성화 섹션을 참조하세요. |
| ![\[HIPPA Logo\]](http://docs.aws.amazon.com/ko_kr/directoryservice/latest/admin-guide/images/HIPAA.jpg) | AWS 는 AWS Managed Microsoft AD를 HIPAA [적격 서비스로 포함하도록 HIPAA](https://aws.amazon.com/compliance/hipaa-eligible-services-reference/)(Health Insurance Portability and Accountability Act) 규정 준수 프로그램을 확장했습니다. 와 BAA(Business Associate Agreement)를 체결한 경우 AWS 관리형 Microsoft AD를 사용하여 HIPAA 준수 애플리케이션을 구축할 AWS수 있습니다. AWS 는 상태 정보의 AWS 처리 및 저장에를 활용하는 방법에 대해 자세히 알고 싶은 고객을 위해 [HIPAA 중심의 백서를](https://docs.aws.amazon.com/pdfs/whitepapers/latest/architecting-hipaa-security-and-compliance-on-aws/architecting-hipaa-security-and-compliance-on-aws.pdf) 제공합니다. 자세한 내용은 [HIPAA 규정 준수](https://aws.amazon.com/compliance/hipaa-compliance/)를 참조하세요. |
## 공동 책임
FedRAMP, HIPAA 및 PCI 규정 준수를 비롯해 보안은 [공동 책임](https://aws.amazon.com/compliance/shared-responsibility-model/)입니다. AWS 관리형 Microsoft AD 규정 준수 상태는 AWS 클라우드에서 실행하는 애플리케이션에 자동으로 적용되지 않는다는 점을 이해하는 것이 중요합니다. AWS 서비스 사용이 표준을 준수하는지 확인해야 합니다.
AWS Managed Microsoft AD가 지원하는 모든 다양한 AWS 규정 준수 프로그램의 전체 목록은 [AWS 규정 준수 프로그램별 범위 내 서비스를](https://aws.amazon.com/compliance/services-in-scope/) 참조하세요.
## AWS 관리형 Microsoft AD 디렉터리에 대한 PCI 규정 준수 활성화
AWS 관리형 Microsoft AD 디렉터리에 대한 PCI 규정 준수를 활성화하려면에서 제공하는 PCI DSS 규정 준수 증명(AOC) 및 책임 요약 문서에 지정된 대로 세분화된 암호 정책을 구성해야 합니다 AWS Artifact.
세분화된 암호 정책 사용에 대한 자세한 내용은 [AWS 관리형 Microsoft AD 암호 정책 이해](ms_ad_password_policies.md) 단원을 참조하세요.
# AWS 관리형 Microsoft AD 네트워크 보안 구성 개선
AWS 관리형 Microsoft AD 디렉터리에 프로비저닝된 AWS 보안 그룹은 AWS 관리형 Microsoft AD 디렉터리에 대해 알려진 모든 사용 사례를 지원하는 데 필요한 최소 인바운드 네트워크 포트로 구성됩니다. 프로비저닝된 AWS 보안 그룹에 대한 자세한 내용은 섹션을 참조하세요[AWS 관리형 Microsoft AD로 생성되는 항목](ms_ad_getting_started_what_gets_created.md).
AWS Managed Microsoft AD 디렉터리의 네트워크 보안을 더욱 강화하기 위해 다음과 같은 일반적인 시나리오를 기반으로 AWS 보안 그룹을 수정할 수 있습니다.
**고객 도메인 컨트롤러 CIDR** -이 CIDR 블록은 도메인 온프레미스 도메인 컨트롤러가 있는 곳입니다.
**고객 클라이언트 CIDR** -이 CIDR 블록은 컴퓨터 또는 사용자와 같은 클라이언트가 AWS 관리형 Microsoft AD에 인증하는 곳입니다. AWS 관리형 Microsoft AD 도메인 컨트롤러도이 CIDR 블록에 있습니다.
**Topics**
+ [AWS 애플리케이션만 지원](#aws_apps_support)
+ [AWS 신뢰 지원이 있는 애플리케이션만 해당](#aws_apps_trust_support)
+ [AWS 애플리케이션 및 기본 Active Directory 워크로드 지원](#aws_apps_native_ad_support)
+ [AWS 신뢰 지원을 통한 애플리케이션 및 기본 Active Directory 워크로드 지원](#aws_apps_native_ad_trust_support)
## AWS 애플리케이션만 지원
모든 사용자 계정은 다음과 같이 지원되는 AWS 애플리케이션에서 사용할 수 있도록 AWS 관리형 Microsoft AD에서만 프로비저닝됩니다.
+ Amazon Chime
+ Amazon Connect
+ Quick
+ AWS IAM Identity Center
+ WorkDocs
+ Amazon WorkMail
+ AWS Client VPN
+ AWS Management Console
다음 AWS 보안 그룹 구성을 사용하여 AWS 관리형 Microsoft AD 도메인 컨트롤러에 대한 모든 비필수 트래픽을 차단할 수 있습니다.
**참고**
다음은이 AWS 보안 그룹 구성과 호환되지 않습니다.
Amazon EC2 인스턴스
Amazon FSx
Amazon RDS for MySQL
Amazon RDS for Oracle
Amazon RDS for PostgreSQL
Amazon RDS for SQL Server
WorkSpaces
Active Directory 신뢰
도메인에 조인된 클라이언트 또는 서버
**인바운드 규칙**
없음.
**아웃바운드 규칙**
없음.
## AWS 신뢰 지원이 있는 애플리케이션만 해당
모든 사용자 계정은 다음과 같이 지원되는 AWS 애플리케이션에서 사용할 수 있도록 AWS 관리형 Microsoft AD 또는 신뢰할 수 있는 Active Directory에 프로비저닝됩니다.
+ Amazon Chime
+ Amazon Connect
+ Quick
+ AWS IAM Identity Center
+ WorkDocs
+ Amazon WorkMail
+ Amazon WorkSpaces
+ AWS Client VPN
+ AWS Management Console
프로비저닝된 AWS 보안 그룹 구성을 수정하여 AWS 관리형 Microsoft AD 도메인 컨트롤러에 대한 모든 비필수 트래픽을 차단할 수 있습니다.
**참고**
다음은이 AWS 보안 그룹 구성과 호환되지 않습니다.
Amazon EC2 인스턴스
Amazon FSx
Amazon RDS for MySQL
Amazon RDS for Oracle
Amazon RDS for PostgreSQL
Amazon RDS for SQL Server
WorkSpaces
Active Directory 신뢰
도메인에 조인된 클라이언트 또는 서버
이 구성을 사용하려면 ‘고객 도메인 컨트롤러 CIDR’ 네트워크가 안전한지 확인해야 합니다.
TCP 445는 신뢰 생성에만 사용되며 신뢰가 설정된 후에 제거할 수 있습니다.
TCP 636은 LDAP over SSL이 사용 중인 경우에만 필요합니다.
**인바운드 규칙**
****
| 프로토콜 | 포트 범위 | 소스 | 트래픽 유형 | Active Directory 사용 |
| --- | --- | --- | --- | --- |
| TCP 및 UDP | 53 | 고객 도메인 컨트롤러 CIDR | DNS | 사용자 및 컴퓨터 인증, 이름 확인, 신뢰 |
| TCP 및 UDP | 88 | 고객 도메인 컨트롤러 CIDR | Kerberos | 사용자 및 컴퓨터 인증, 포리스트 수준 신뢰 |
| TCP 및 UDP | 389 | 고객 도메인 컨트롤러 CIDR | LDAP | 디렉터리, 복제, 사용자 및 컴퓨터 인증 그룹 정책, 신뢰 |
| TCP 및 UDP | 464 | 고객 도메인 컨트롤러 CIDR | Kerberos 암호 변경/설정 | 복제, 사용자 및 컴퓨터 인증, 신뢰 |
| TCP | 445 | 고객 도메인 컨트롤러 CIDR | SMB/CIFS | 복제, 사용자 및 컴퓨터 인증, 그룹 정책 신뢰 |
| TCP | 135 | 고객 도메인 컨트롤러 CIDR | 복제 | RPC, EPM |
| TCP | 636 | 고객 도메인 컨트롤러 CIDR | LDAP SSL | 디렉터리, 복제, 사용자 및 컴퓨터 인증 그룹 정책, 신뢰 |
| TCP | 49,152\$165,535 | 고객 도메인 컨트롤러 CIDR | RPC | 복제, 사용자 및 컴퓨터 인증, 그룹 정책, 신뢰 |
| TCP | 3268 - 3269 | 고객 도메인 컨트롤러 CIDR | LDAP GC 및 LDAP GC SSL | 디렉터리, 복제, 사용자 및 컴퓨터 인증 그룹 정책, 신뢰 |
| UDP | 123 | 고객 도메인 컨트롤러 CIDR | Windows 시간 | Windows 시간, 신뢰 |
**아웃바운드 규칙**
****
| 프로토콜 | 포트 범위 | 소스 | 트래픽 유형 | Active Directory 사용 |
| --- | --- | --- | --- | --- |
| 모두 | 모두 | 고객 도메인 컨트롤러 CIDR | 모든 트래픽 | |
## AWS 애플리케이션 및 기본 Active Directory 워크로드 지원
사용자 계정은 다음과 같은 지원되는 AWS 애플리케이션에서 사용할 수 있도록 AWS 관리형 Microsoft AD에서만 프로비저닝됩니다.
+ Amazon Chime
+ Amazon Connect
+ Amazon EC2 인스턴스
+ Amazon FSx
+ Quick
+ Amazon RDS for MySQL
+ Amazon RDS for Oracle
+ Amazon RDS for PostgreSQL
+ Amazon RDS for SQL Server
+ AWS IAM Identity Center
+ WorkDocs
+ Amazon WorkMail
+ WorkSpaces
+ AWS Client VPN
+ AWS Management Console
프로비저닝된 AWS 보안 그룹 구성을 수정하여 AWS 관리형 Microsoft AD 도메인 컨트롤러에 대한 모든 비필수 트래픽을 차단할 수 있습니다.
**참고**
AWS 관리형 Microsoft AD 디렉터리와 고객 도메인 컨트롤러 CIDR 간에는 Active Directory 신뢰를 생성하고 유지할 수 없습니다.
‘클라이언트 CIDR’ 네트워크가 안전한지 확인해야 합니다.
TCP 636은 LDAP over SSL이 사용 중인 경우에만 필요합니다.
이 구성에서 엔터프라이즈 CA를 사용하려면 아웃바운드 규칙 ‘TCP, 443, CA CIDR’을 생성해야 합니다.
**인바운드 규칙**
****
| 프로토콜 | 포트 범위 | 소스 | 트래픽 유형 | Active Directory 사용 |
| --- | --- | --- | --- | --- |
| TCP 및 UDP | 53 | 고객 클라이언트 CIDR | DNS | 사용자 및 컴퓨터 인증, 이름 확인, 신뢰 |
| TCP 및 UDP | 88 | 고객 클라이언트 CIDR | Kerberos | 사용자 및 컴퓨터 인증, 포리스트 수준 신뢰 |
| TCP 및 UDP | 389 | 고객 클라이언트 CIDR | LDAP | 디렉터리, 복제, 사용자 및 컴퓨터 인증 그룹 정책, 신뢰 |
| TCP 및 UDP | 445 | 고객 클라이언트 CIDR | SMB/CIFS | 복제, 사용자 및 컴퓨터 인증, 그룹 정책 신뢰 |
| TCP 및 UDP | 464 | 고객 클라이언트 CIDR | Kerberos 암호 변경/설정 | 복제, 사용자 및 컴퓨터 인증, 신뢰 |
| TCP | 135 | 고객 클라이언트 CIDR | 복제 | RPC, EPM |
| TCP | 636 | 고객 클라이언트 CIDR | LDAP SSL | 디렉터리, 복제, 사용자 및 컴퓨터 인증 그룹 정책, 신뢰 |
| TCP | 49,152\$165,535 | 고객 클라이언트 CIDR | RPC | 복제, 사용자 및 컴퓨터 인증, 그룹 정책, 신뢰 |
| TCP | 3268 - 3269 | 고객 클라이언트 CIDR | LDAP GC 및 LDAP GC SSL | 디렉터리, 복제, 사용자 및 컴퓨터 인증 그룹 정책, 신뢰 |
| TCP | 9389 | 고객 클라이언트 CIDR | SOAP | AD DS 웹 서비스 |
| UDP | 123 | 고객 클라이언트 CIDR | Windows 시간 | Windows 시간, 신뢰 |
| UDP | 138 | 고객 클라이언트 CIDR | DFSN 및 NetLogon | DFS, 그룹 정책 |
**아웃바운드 규칙**
없음.
## AWS 신뢰 지원을 통한 애플리케이션 및 기본 Active Directory 워크로드 지원
모든 사용자 계정은 다음과 같이 지원되는 AWS 애플리케이션에서 사용할 수 있도록 AWS 관리형 Microsoft AD 또는 신뢰할 수 있는 Active Directory에 프로비저닝됩니다.
+ Amazon Chime
+ Amazon Connect
+ Amazon EC2 인스턴스
+ Amazon FSx
+ Quick
+ Amazon RDS for MySQL
+ Amazon RDS for Oracle
+ Amazon RDS for PostgreSQL
+ Amazon RDS for SQL Server
+ AWS IAM Identity Center
+ WorkDocs
+ Amazon WorkMail
+ WorkSpaces
+ AWS Client VPN
+ AWS Management Console
프로비저닝된 AWS 보안 그룹 구성을 수정하여 AWS 관리형 Microsoft AD 도메인 컨트롤러에 대한 모든 비필수 트래픽을 차단할 수 있습니다.
**참고**
이를 위해서는 ‘고객 도메인 컨트롤러 CIDR’ 및 ’고객 클라이언트 CIDR’ 네트워크가 안전한지 확인해야 합니다.
‘고객 도메인 컨트롤러 CIDR’이 있는 TCP 445는 신뢰 생성에만 사용되며 신뢰가 설정된 후에는 제거할 수 있습니다.
‘고객 클라이언트 CIDR’이 있는 TCP 445는 그룹 정책 처리에 필요하므로 열어 두어야 합니다.
TCP 636은 LDAP over SSL이 사용 중인 경우에만 필요합니다.
이 구성에서 엔터프라이즈 CA를 사용하려면 아웃바운드 규칙 ‘TCP, 443, CA CIDR’을 생성해야 합니다.
**인바운드 규칙**
****
| 프로토콜 | 포트 범위 | 소스 | 트래픽 유형 | Active Directory 사용 |
| --- | --- | --- | --- | --- |
| TCP 및 UDP | 53 | 고객 도메인 컨트롤러 CIDR | DNS | 사용자 및 컴퓨터 인증, 이름 확인, 신뢰 |
| TCP 및 UDP | 88 | 고객 도메인 컨트롤러 CIDR | Kerberos | 사용자 및 컴퓨터 인증, 포리스트 수준 신뢰 |
| TCP 및 UDP | 389 | 고객 도메인 컨트롤러 CIDR | LDAP | 디렉터리, 복제, 사용자 및 컴퓨터 인증 그룹 정책, 신뢰 |
| TCP 및 UDP | 464 | 고객 도메인 컨트롤러 CIDR | Kerberos 암호 변경/설정 | 복제, 사용자 및 컴퓨터 인증, 신뢰 |
| TCP | 445 | 고객 도메인 컨트롤러 CIDR | SMB/CIFS | 복제, 사용자 및 컴퓨터 인증, 그룹 정책 신뢰 |
| TCP | 135 | 고객 도메인 컨트롤러 CIDR | 복제 | RPC, EPM |
| TCP | 636 | 고객 도메인 컨트롤러 CIDR | LDAP SSL | 디렉터리, 복제, 사용자 및 컴퓨터 인증 그룹 정책, 신뢰 |
| TCP | 49,152\$165,535 | 고객 도메인 컨트롤러 CIDR | RPC | 복제, 사용자 및 컴퓨터 인증, 그룹 정책, 신뢰 |
| TCP | 3268 - 3269 | 고객 도메인 컨트롤러 CIDR | LDAP GC 및 LDAP GC SSL | 디렉터리, 복제, 사용자 및 컴퓨터 인증 그룹 정책, 신뢰 |
| UDP | 123 | 고객 도메인 컨트롤러 CIDR | Windows 시간 | Windows 시간, 신뢰 |
| TCP 및 UDP | 53 | 고객 도메인 컨트롤러 CIDR | DNS | 사용자 및 컴퓨터 인증, 이름 확인, 신뢰 |
| TCP 및 UDP | 88 | 고객 도메인 컨트롤러 CIDR | Kerberos | 사용자 및 컴퓨터 인증, 포리스트 수준 신뢰 |
| TCP 및 UDP | 389 | 고객 도메인 컨트롤러 CIDR | LDAP | 디렉터리, 복제, 사용자 및 컴퓨터 인증 그룹 정책, 신뢰 |
| TCP 및 UDP | 445 | 고객 도메인 컨트롤러 CIDR | SMB/CIFS | 복제, 사용자 및 컴퓨터 인증, 그룹 정책 신뢰 |
| TCP 및 UDP | 464 | 고객 도메인 컨트롤러 CIDR | Kerberos 암호 변경/설정 | 복제, 사용자 및 컴퓨터 인증, 신뢰 |
| TCP | 135 | 고객 도메인 컨트롤러 CIDR | 복제 | RPC, EPM |
| TCP | 636 | 고객 도메인 컨트롤러 CIDR | LDAP SSL | 디렉터리, 복제, 사용자 및 컴퓨터 인증 그룹 정책, 신뢰 |
| TCP | 49,152\$165,535 | 고객 도메인 컨트롤러 CIDR | RPC | 복제, 사용자 및 컴퓨터 인증, 그룹 정책, 신뢰 |
| TCP | 3268 - 3269 | 고객 도메인 컨트롤러 CIDR | LDAP GC 및 LDAP GC SSL | 디렉터리, 복제, 사용자 및 컴퓨터 인증 그룹 정책, 신뢰 |
| TCP | 9389 | 고객 도메인 컨트롤러 CIDR | SOAP | AD DS 웹 서비스 |
| UDP | 123 | 고객 도메인 컨트롤러 CIDR | Windows 시간 | Windows 시간, 신뢰 |
| UDP | 138 | 고객 도메인 컨트롤러 CIDR | DFSN 및 NetLogon | DFS, 그룹 정책 |
**아웃바운드 규칙**
****
| 프로토콜 | 포트 범위 | 소스 | 트래픽 유형 | Active Directory 사용 |
| --- | --- | --- | --- | --- |
| 모두 | 모두 | 고객 도메인 컨트롤러 CIDR | 모든 트래픽 | |
# AWS 관리형 Microsoft AD 디렉터리 보안 설정 편집
운영 워크로드 증가 없이 규정 준수 및 보안 요구 사항을 충족하도록 AWS 관리형 Microsoft AD에 대한 세분화된 디렉터리 설정을 구성할 수 있습니다. 디렉터리 설정에서, 디렉터리에 사용되는 프로토콜 및 암호의 보안 채널 구성을 업데이트할 수 있습니다. 예를 들어 RC4 또는 DES와 같은 개별 레거시 암호와 SSL 2.0/3.0 및 TLS 1.0/1.1과 같은 프로토콜을 비활성화할 수 있습니다. AWS 그러면 관리형 Microsoft AD가 디렉터리의 모든 도메인 컨트롤러에 구성을 배포하고 도메인 컨트롤러 재부팅을 관리하며 확장하거나 추가를 배포할 때이 구성을 유지합니다 AWS 리전. 사용 가능한 모든 설정에 대한 세부 정보는 [디렉터리 보안 설정 목록](#list-ds-settings) 단원을 참조하세요.
## 디렉터리 보안 설정 편집
모든 디렉터리의 설정을 구성하고 편집할 수 있습니다.
**디렉터리 설정을 편집하려면**
1. AWS Management Console에 로그인하고에서 Directory Service 콘솔을 엽니다[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/).
1. [**Directories**] 페이지에서 디렉터리 ID를 선택합니다.
1. **Networking & security(네트워킹 및 보안)**에서 **Directory settings(디렉터리 설정)**을 찾은 다음 **Edit settings(설정 편집)**을 선택합니다.
1. **Edit settings(설정 편집)**에서 편집하려는 설정의 **Value(값)**을 변경합니다. 설정을 편집하면 상태가 **Default(기본값)** 에서 **Ready to Update(업데이트 준비 완료)**로 바뀝니다. 이전에 설정을 편집한 경우 상태가 **Updated(업데이트됨)**에서 **Ready to Update(업데이트 준비 완료)**로 바뀝니다. 그런 다음 **검토**를 선택합니다.
1. **설정 검토 및 업데이트**에서 **디렉터리 설정**을 참조하여 새 값이 모두 올바른지 확인합니다. 기타 설정을 변경하려면 **설정 편집**을 선택합니다. 변경 사항에 만족하고 새 값을 적용할 준비가 되면 **설정 업데이트**를 선택합니다. 이렇게 하면 디렉터리 ID 페이지로 돌아갑니다.
**참고**
**디렉터리 설정**에서 업데이트된 설정의 **상태**를 볼 수 있습니다. 설정이 구현되는 동안에는 **상태**가 **업데이트 중**으로 표시됩니다. 설정에서 **상태**에 **업데이트 중**이 표시되는 동안에는 다른 설정을 편집할 수 없습니다. 편집한 내용으로 설정이 성공적으로 업데이트되면 **상태**가 **업데이트됨**으로 표시됩니다. 편집 내용으로 설정이 업데이트되지 않으면 **상태**가 **실패**로 표시됩니다.
## 디렉터리 보안 설정 실패
설정 업데이트 중에 오류가 발생하는 경우 **상태가** **실패로** 표시됩니다. 실패 상태에서는 설정이 새 값으로 업데이트되지 않고 원래 값이 구현된 상태로 유지됩니다. 이러한 설정을 다시 업데이트를 시도하거나 이전 값으로 되돌릴 수 있습니다.
**업데이트된 설정 실패 문제를 해결하려면**
+ **디렉터리 설정**에서 **실패한 설정 해결**을 선택합니다. 그런 다음, 다음 중 하나를 수행합니다.
+ 설정을 실패 상태 이전의 원래 값으로 되돌리려면 **실패한 설정 되돌리기**를 선택합니다. 그런 다음 팝업 모드에서 **되돌리기**를 선택합니다.
+ 디렉터리 설정 업데이트를 재시도하려면 실패한 설정 **재시도**를 선택합니다. 실패한 업데이트를 다시 시도하기 전에 디렉터리 설정을 추가로 변경하려면 **편집 계속**을 선택합니다. **실패한 업데이트 검토 및 다시 시도**에서 **설정 업데이트**를 선택합니다.
## 디렉터리 보안 설정 목록
다음 목록에는 사용 가능한 모든 디렉터리 보안 설정의 유형, 설정 이름, API 이름, 잠재적 값, 설정 설명이 나와 있습니다.
다른 모든 보안 설정을 사용하지 않도록 설정한 경우 TLS 1.2 및 AES 256/256이 기본 디렉터리 보안 설정입니다. 이들은 비활성화할 수 없습니다.
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/directoryservice/latest/admin-guide/ms_ad_directory_settings.html)
# AWS 관리형 Microsoft AD 사용자의 초기 인증을 위한 퍼블릭 키 암호화(PKINIT) 활성화
AWS 관리형 Microsoft AD 디렉터리는 기본적으로 강력한 인증서 바인딩을 사용하므로 인증서와 AD 객체 간의 명시적 매핑이 필요합니다. 다음 매핑은 AWS 관리형 Microsoft AD에 대해 강력한 것으로 간주됩니다.
+ `altSecurityIdentities` 발급자 및 일련 번호
+ `altSecurityIdentities` 주체 키 식별자
+ `altSecurityIdentities` SHA1 퍼블릭 키 해시
이러한 속성을 사용하면 강력한 인증서 매핑이 가능해지며, 이는 Active Directory에 인증서 대 사용자 관계를 명시적으로 정의할 것을 요구하여 인증서 기반 인증에서 더 나은 보안을 제공합니다. 이렇게 하면 인증서 기반 권한 에스컬레이션 공격을 방지하는 데 도움이 됩니다.
이 절차를 사용하여 인증서 인증 기능을 유지하면서도 권한 에스컬레이션 공격을 방지하는 데 도움이 되는 강력한 인증서 바인딩을 구성할 수 있습니다.
자세한 내용은 Microsoft 지원 설명서에서 [Microsoft KB5014754- Windows 도메인 컨트롤러의 인증서 기반 인증 변경](https://support.microsoft.com/en-us/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16)을 참조하세요.
## 사전 조건
+ 인증 기관이 구성된 AWS 관리형 Microsoft AD 디렉터리
+ Active Directory 환경에 대한 관리 액세스
+ Active Directory 모듈이 설치된 PowerShell
+ AD 객체에 매핑하려는 인증서
## AltSecurityIdentity 속성 매핑
1. 인증서 정보를 기반으로 다음 `AltSecurityIdentity` 매핑 방법 중 하나를 선택합니다.
+ **SHA1 해시** - 인증서 퍼블릭 키의 SHA1 해시 사용
SHA1 해시 매핑의 경우 인증서 해시를 추출하여 사용자 객체에 적용합니다.
```
$Username = 'YourUsername'
$cert = certutil -dump "YourCertificate.cer"
$certHash = ($cert | Select-String -Pattern "(sha1):*" |
Select-String -Pattern "Cert").ToString().TrimStart('Cert Hash(sha1): ').Replace(' ','')
Set-ADUser -Identity $Username -Add @{'altSecurityIdentities'="X509:$CertHash"}
```
+ **발급자 및 일련 번호** - 인증서의 발급자 이름과 일련 번호 사용
발급자 및 일련 번호 매핑의 경우 인증서의 발급자 및 일련 번호를 사용합니다.
```
$Username = 'YourUsername'
$IssuerName = 'YourCertificateIssuer'
$SerialNumber = 'YourCertificateSerialNumber'
Set-ADUser -Identity $Username -Add @{'altSecurityIdentities'="X509:$IssuerName$SerialNumber"}
```
+ **주체 키 식별자** - 인증서의 주체 키 식별자 확장 사용
주체 키 식별자 매핑의 경우 인증서의 주체 키 식별자를 사용합니다.
```
$Username = 'YourUsername'
$SubjectKeyIdentifier = 'YourSubjectKeyIdentifier'
Set-ADUser -Identity $Username -Add @{'altSecurityIdentities'="X509:$SubjectKeyIdentifier"}
```
1. 매핑이 성공적으로 적용되었는지 확인합니다.
```
Get-ADUser -Identity $Username -Properties altSecurityIdentities |
Select-Object -ExpandProperty altSecurityIdentities
```
1. 인증서 인증을 테스트하기 전에 Active Directory 복제가 완료될 때까지 기다립니다(일반적으로 15\$130초).
## 예: AltSecurityIdentity 속성에 대량 인증서 매핑
다음 예시는 인증 기관에서 발급된 여러 사용자 인증서에 대해 `AltSecurityIdentity` 속성을 매핑하는 방법을 보여줍니다.
```
$CertificateTemplateName = 'User'
$Now = $((Get-Date).ToString($(Get-culture).DateTimeFormat.ShortDatePattern))
$Restrict = "Disposition=20,NotAfter>=$Now,Certificate Template=$CertificateTemplateName"
$Out = "SerialNumber,Certificate Hash,User Principal Name,RequesterName,CommonName,CertificateTemplate,NotBefore,NotAfter"
$Certs = certutil -view -restrict $Restrict -out $Out csv | ConvertFrom-CSV
$UserSha1HashMapping = @{}
ForEach ($Cert in $Certs) {
$UPN = $Cert.'User Principal Name'
$Username, $Domain = $UPN.Split('@')
$CertificateThumbprint = ($Cert.'Certificate Hash').Replace(' ','')
$AdUserObject = Get-ADUser -Identity $Username
If ($AdUserObject -And $AdUserObject.Count -gt 1) {
Write-Output "Unable to map user: $Username, multiple user objects found"
Continue
}
If ($AdUserObject) {
If ($UserSha1HashMapping.Keys -Contains $Username) {
$UserSha1HashMapping[$Username] += $CertificateThumbprint
} Else {
$UserSha1HashMapping[$Username] = @($CertificateThumbprint)
}
}
}
ForEach ($User in $UserSha1HashMapping.Keys) {
Write-Output "Mapping altSecurityIdentity for $User"
$UserObject = Get-ADUser -Identity $User | Get-ADObject -Properties 'altSecurityIdentities'
$altSecurityIdentities = $UserObject.altSecurityIdentities
ForEach ($thumbprint in $UserSha1HashMapping[$User]) {
$SHA1PUKEY = "X509:$thumbprint"
If ($altSecurityIdentities -Contains $SHA1PUKEY) {
Write-Output "Skipping $thumbprint, already mapped."
Continue
}
Write-Output "Adding $thumbprint to $User as altSecurityIdentity"
Set-ADUser -Identity $User -Add @{'altSecurityIdentities'=$SHA1PUKEY}
}
}
```
## 다음 단계
+ 매핑된 인증서를 사용하여 인증서 기반 인증 테스트
+ 매핑된 인증서를 인증에 사용하도록 애플리케이션 구성
+ 인증 이벤트를 위한 [AWS 관리형 Microsoft AD 모니터링](ms_ad_monitor.md)
# AWS 관리형 Microsoft AD용 AD용 AWS Private CA 커넥터 설정
AWS Managed Microsoft AD를 [AWS Private Certificate Authority (CA)](https://docs.aws.amazon.com/privateca/latest/userguide/connector-for-ad.html)와 통합하여 Active Directory 도메인 컨트롤러, 도메인 조인 사용자, 그룹 및 시스템에 대한 인증서를 발급하고 관리할 수 있습니다.Active Directory용 AWS Private CA 커넥터를 사용하면 로컬 에이전트 또는 프록시 서버를 배포, 패치 또는 업데이트할 필요 없이 자체 관리형 엔터프라이즈 CAs에 대해 완전 관리형 AWS Private CA 드롭인 대체 기능을 사용할 수 있습니다.
Directory Service 콘솔, Active Directory용 커넥터 콘솔 또는 [https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API_CreateTemplate.html](https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API_CreateTemplate.html) API를 AWS Private CA 호출하여 디렉터리와의 AWS Private CA 통합을 설정할 수 있습니다. Active Directory용 AWS Private CA 커넥터 콘솔을 통해 프라이빗 CA 통합을 설정하려면 [커넥터 템플릿 생성을 참조하세요](https://docs.aws.amazon.com/privateca/latest/userguide/create-ad-template.html). Directory Service 콘솔에서이 통합을 설정하는 방법은 다음 단계를 참조하세요.
## AD용 AWS Private CA 커넥터 설정
**Active Directory용 프라이빗 CA 커넥터를 생성하는 방법**
1. 에 로그인 AWS Management Console 하고에서 Directory Service 콘솔을 엽니다[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/).
1. [**Directories**] 페이지에서 디렉터리 ID를 선택합니다.
1. **애플리케이션 관리** 탭과 **AWS 앱 및 서비스** 섹션에서 **AD용AWS Private CA 커넥터를** 선택합니다.
1. **Active Directory용 프라이빗 CA 인증서 생성** 페이지에서 Active Directory Connector용 프라이빗 CA 생성 단계를 완료합니다.
자세한 내용은 [커넥터 생성](https://docs.aws.amazon.com/privateca/latest/userguide/create-connector-for-ad.html)을 참조하세요.
## AD용 AWS Private CA 커넥터 보기
**프라이빗 CA 커넥터 세부 정보를 보는 방법**
1. 에 로그인 AWS Management Console 하고에서 Directory Service 콘솔을 엽니다[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/).
1. [**Directories**] 페이지에서 디렉터리 ID를 선택합니다.
1. **애플리케이션 관리** 탭과 **AWS 앱 및 서비스** 섹션에서 프라이빗 CA 커넥터 및 연결된 프라이빗 CA를 확인합니다. 다음 필드가 표시됩니다.
1. **AWS Private CA 커넥터 ID** - AWS Private CA 커넥터의 고유 식별자입니다. 세부 정보 페이지를 보려면 선택합니다.
1. **AWS Private CA 제목** - CA의 고유 이름에 대한 정보입니다. 세부 정보 페이지를 보려면 선택합니다.
1. **상태** - AWS Private CA 커넥터 및 AWS Private CA에 대한 상태 확인 결과:
+ **활성** - 두 검사 모두 통과
+ **1/2 검사 실패** - 하나의 검사 실패
+ **실패** - 두 검사 모두 실패
실패 상태의 세부 정보를 보려면 하이퍼링크에 마우스를 대고 실패한 검사를 확인합니다.
1. **DC 인증서 등록 상태** - 도메인 컨트롤러 인증서 상태 검사:
+ **활성화됨** - 인증서 등록이 활성화됨
+ **비활성화됨** - 인증서 등록이 비활성화됨
1. **생성 날짜** - AWS Private CA 커넥터가 생성된 시간입니다.
자세한 내용은 [커넥터 세부 정보 보기](https://docs.aws.amazon.com/privateca/latest/userguide/view-connector-for-ad.html)를 참조하세요.
다음 표에는를 사용한 AWS 관리형 Microsoft AD의 도메인 컨트롤러 인증서 등록에 대한 다양한 상태가 나와 있습니다 AWS Private CA.
| DC 등록 상태 | 설명 | 필요한 작업 |
| --- | --- | --- |
| 활성화됨 | 도메인 컨트롤러 인증서가 디렉터리에 성공적으로 등록되었습니다. | 작업이 필요하지 않습니다. |
| 실패 | 디렉터리에 대한 도메인 컨트롤러 인증서 등록 활성화 또는 비활성화에 실패했습니다. | 활성화 작업에 실패하면 도메인 컨트롤러 인증서를 껐다가 켠 다음 재시도하세요. 비활성화 작업에 실패하면 도메인 컨트롤러 인증서를 켰다가 끈 다음 재시도하세요. 재시도에 실패하면 AWS Support에 문의하세요. |
| [Impaired] | 도메인 컨트롤러에 AWS Private CA 엔드포인트와 통신하는 네트워크 연결 문제가 있습니다. | 디렉터리와의 네트워크 연결을 허용하려면 AWS Private CA VPC 엔드포인트 및 S3 버킷 정책을 확인합니다. 자세한 내용은 [AWS 프라이빗 인증 기관 예외 메시지 문제 해결](https://docs.aws.amazon.com/privateca/latest/userguide/PCATsExceptions.html) 및 [AWS Private CA 인증서 해지 문제 해결을](https://docs.aws.amazon.com/privateca/latest/userguide/troubleshoot-certificate-revocation.html) 참조하세요. |
| 비활성화됨 | 디렉터리에 대한 도메인 컨트롤러 인증서 등록이 성공적으로 해제되었습니다. | 작업이 필요하지 않습니다. |
| 비활성화 | 도메인 컨트롤러 인증서 등록 비활성화가 진행 중입니다. | 작업이 필요하지 않습니다. |
| 활성화 | 도메인 컨트롤러 인증서 등록 활성화가 진행 중입니다. | 작업이 필요하지 않습니다. |
## AD 정책 구성
AWS Private CA AWS 관리형 Microsoft AD 도메인 컨트롤러 및 객체가 인증서를 요청하고 수신할 수 있도록 AD용 커넥터를 구성해야 합니다. 가 AWS 관리형 Microsoft AD 객체에 인증서를 발급할 AWS Private CA 수 있도록 그룹 정책 객체([GPO](https://learn.microsoft.com/previous-versions/windows/desktop/policy/group-policy-objects))를 구성합니다.
### 도메인 컨트롤러에 대한 Active Directory 정책 구성
**도메인 컨트롤러에 대한 Active Directory 정책 켜기**
1. **네트워크 및 보안** 탭을 엽니다.
1. **AWS Private CA 커넥터**를 선택합니다.
1. 디렉터리에 도메인 컨트롤러 인증서를 발급하는 AWS Private CA 제목에 연결된 커넥터를 선택합니다.
1. **작업**, **도메인 컨트롤러 인증서 활성화**를 선택합니다.
**중요**
업데이트 지연을 방지하기 위해 도메인 컨트롤러 인증서를 켜기 전에 유효한 도메인 컨트롤러 템플릿을 구성합니다.
도메인 컨트롤러 인증서 등록을 켜면 디렉터리의 도메인 컨트롤러가 AD용 AWS Private CA 커넥터에서 인증서를 요청하고 수신합니다.
도메인 컨트롤러 인증서 발급 AWS Private CA 을 변경하려면 먼저 AD용 새 AWS Private CA 커넥터를 사용하여 새를 AWS Private CA 디렉터리에 연결합니다. 새에서 인증서 등록을 켜기 전에 기존 인증서 등록을 끕 AWS Private CA니다.
**도메인 컨트롤러 인증서 끄기**
1. **네트워크 및 보안** 탭을 엽니다.
1. **AWS Private CA 커넥터**를 선택합니다.
1. 디렉터리에 도메인 컨트롤러 인증서를 발급하는 AWS Private CA 제목에 연결된 커넥터를 선택합니다.
1. **작업**, **도메인 컨트롤러 인증서 비활성화**를 선택합니다.
### 도메인에 조인된 사용자, 컴퓨터, 시스템에 대한 Active Directory 정책 구성
**그룹 정책 객체 구성**
1. AWS 관리형 Microsoft AD 관리자 인스턴스에 연결하고 **시작** 메뉴에서 [서버 관리자](https://learn.microsoft.com/windows-server/administration/server-manager/server-manager)를 엽니다.
1. **도구**에서 **그룹 정책 관리**를 선택합니다.
1. **포리스트 및 도메인**에서 하위 도메인 조직 단위(OU)(예: [AWS 관리형 Microsoft AD 생성](ms_ad_getting_started.md#ms_ad_getting_started_create_directory)에 설명된 절차를 따른 경우 하위 도메인 조직 단위는 `corp`입니다)를 찾아 하위 도메인 OU를 마우스 오른쪽 버튼으로 클릭합니다. **이 도메인에서 GPO를 생성하고 여기에 연결**을 선택한 다음 이름에 PCA GPO를 입력합니다. **확인**을 선택합니다.
1. 새로 생성된 GPO는 하위 도메인 이름 뒤에 표시됩니다. `PCA GPO`를 마우스 오른쪽 버튼으로 클릭하고 **편집**을 선택합니다. 이것은 링크이며 변경 내용이 전역으로 전파됩니다라는 경고 메시지가 표시된 대화 상자가 열리면 계속 진행하기 위해 **확인**을 선택하여 메시지를 승인합니다. **그룹 정책 관리 편집기** 창이 열립니다.
1. **그룹 정책 관리 편집기** 창에서 **컴퓨터 구성 > 정책 > Windows 설정 > 보안 설정 > 공개 키 정책(폴더 선택)**으로 이동합니다.
1. **개체 유형**에서 **인증서 서비스 클라이언트 - 인증서 등록 정책**을 선택합니다.
1. **인증서 서비스 클라이언트 - 인증서 등록 정책** 창에서 **구성 모델**을 **활성화**로 변경합니다.
1. **Active Directory 등록 정책**이 선택되고 **활성화**되어 있는지 확인합니다. **추가**를 선택합니다.
1. **인증서 등록 정책 서버** 대화 상자가 열립니다. **등록 서버 정책 URI 입력** 필드에 커넥터를 만들 때 생성했던 인증서 등록 정책 서버 엔드포인트를 입력합니다. **인증 유형**은 **Windows 통합**으로 그대로 둡니다.
1. **검증**을 선택합니다. 검증에 성공한 후 **추가**를 선택합니다.
1. **인증서 서비스 클라이언트 - 인증서 등록 정책** 대화 상자로 돌아가서 새로 생성한 커넥터 옆의 확인란을 선택하여 커넥터가 기본 등록 정책인지 확인합니다.
1. **Active Directory 등록 정책**을 선택하고 **제거**를 선택합니다.
1. 확인 대화 상자에서 **예**를 선택하여 LDAP 기반 인증을 삭제합니다.
1. **인증서 서비스 클라이언트 - 인증서 등록 정책** 창에서 **적용** 및 **확인**을 선택합니다. 그런 다음 창을 닫습니다.
1. **개체 유형**에서 **공개 키 정책 폴더의 인증서 서비스 클라이언트 - 자동 등록을 선택합니다.**
1. **구성 모델** 옵션을 **활성화**로 변경합니다.
1. **만료된 인증서 갱신**과 **인증서 업데이트** 옵션이 모두 선택되어 있는지 확인합니다. 다른 설정은 현재 값 그대로 둡니다.
1. **적용**을 선택한 다음 **확인**을 선택하고 대화 상자를 닫습니다.
그런 다음 **사용자 구성 > 정책 > Windows 설정 > 보안 설정 > 퍼블릭 키 정책** 섹션에서 6\$117단계를 반복하여 사용자 구성에 대한 퍼블릭 키 정책을 구성합니다.
GPOs 및 퍼블릭 키 정책 구성을 완료한 후 도메인의 객체는 AD용 AWS Private CA 커넥터에서 인증서를 요청하고에서 발급한 인증서를 수신합니다 AWS Private CA.
## 인증서 AWS Private CA 발급 확인
AWS 관리형 Microsoft AD에 대한 인증서를 발급 AWS Private CA 하도록 업데이트하는 프로세스는 최대 8시간이 걸릴 수 있습니다.
다음 중 하나를 수행할 수 있습니다.
+ 이 기간을 기다릴 수 있습니다.
+ 에서 인증서를 수신하도록 구성된 AWS 관리형 Microsoft AD 도메인 조인 시스템을 다시 시작할 수 있습니다 AWS Private CA. 그런 다음 [Microsoft 설명서](https://learn.microsoft.com/dotnet/framework/wcf/feature-details/how-to-view-certificates-with-the-mmc-snap-in)의 절차에 따라가 AWS 관리형 Microsoft AD 도메인의 멤버에게 인증서를 발급 AWS Private CA 했는지 확인할 수 있습니다.
+ 다음 PowerShell 명령을 사용하여 AWS 관리형 Microsoft AD의 인증서를 업데이트할 수 있습니다.
```
certutil -pulse
```