Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Vertrauenswürdiger Cloud-Anmeldeinformationsmanager
Der Trusted Cloud Credential Manager (TCCM) ist eine Komponente von. SCCA Er ist für die Verwaltung der Anmeldeinformationen verantwortlich. Bei der Einrichtung von ist es wichtigTCCM, den Zugriff auf das mit den geringsten Rechten zu ermöglichen. SCCA Dies kann mithilfe von AWS Identitäts- und Zugriffsverwaltungsdiensten erreicht werden. Eine weitere Komponente von TCCM ist eine Verbindung zu den Virtual Data Center Managed Services (VDMS). Sie können diese Verbindung nach Bedarf verwenden, um auf die zuzugreifen und die AWS Management Console zu verwaltenTCCM.
Das TCCM ist eine Kombination aus Technologien und Standards, die den Zugriff auf regeln AWS. Das TCCM wird für die meisten Implementierungen als entscheidend angesehen, da es die Zugriffsberechtigungen steuert. Die TCCM Funktion ist nicht dazu gedacht, dem kommerziellen Cloud-Dienstanbieter besondere Anforderungen an das Identitätsmanagement aufzuerlegen (CSP). Dies verbietet TCCM auch nicht die Verwendung von CSP DoD-Verbundlösungen oder Identitätsbroker-Lösungen von Drittanbietern zur Bereitstellung der beabsichtigten Identitätskontrolle.
Die TCCM Richtlinienkomponenten basieren auf einem allgemeinen Verständnis, das ein Identitäts- und Zugriffsverwaltungssystem CSPs bietet, das die Kontrolle des Zugriffs auf Cloud-Systeme ermöglicht. Solche Systeme können die CSP Servicekomponenten der Zugriffskonsole und der Befehlszeilenschnittstelle (CLI) umfassen. API Auf der Basisebene TCCM müssen die Anmeldeinformationen gesperrt werden, mit denen nicht autorisierte Netzwerke und andere Ressourcen erstellt werden können. Er TCCM wird vom Anweisungsbeamten (AO) ernannt, der für die Überwachung der IT-Systeme zuständig ist. Die TCCM Richtlinien legen fest, dass ein Zugriffsmodell mit den geringsten Rechten erforderlich ist. Diese Richtlinien sind für die Bereitstellung und Kontrolle privilegierter Benutzeranmeldedaten in der kommerziellen Cloud verantwortlich. Dies entspricht dem DoD Cloud Computing Security Requirements Guide
Die folgende Tabelle enthält die Mindestanforderungen für die. TCCM Es wird erklärt, ob LZA die einzelnen Anforderungen erfüllt werden und welche AWS-Services Sie verwenden können, um diese Anforderungen zu erfüllen.
| ID | TCCMSicherheitsanforderungen | AWS Technologien | Weitere Ressourcen | Abgedeckt von LZA |
|---|---|---|---|---|
| 2.1.4.1 | Sie entwickeln und pflegen einen Plan zur Verwaltung von Cloud-Zugangsdaten (CCMP), der sich mit der Umsetzung von Richtlinien, Plänen und Verfahren befasst, die auf die Verwaltung der Anmeldeinformationen für Kundenportale des Missionsinhabers angewendet werden. TCCM | N/A | N/A | Nicht abgedeckt |
| 2.1.4.2 | Sie TCCM sammeln, prüfen und archivieren alle Aktivitätsprotokolle und Benachrichtigungen des Kundenportals. | N/A | Abgedeckt | |
| 2.1.4.3 | Sie TCCM stellen sicher, dass Benachrichtigungen aus den Aktivitätsprotokollen mit DoD-privilegierten Benutzern, die an Aktivitäten beteiligt sind, geteilt, an diese weitergeleitet oder von diesen abgerufen werden können. MCP BCP | N/A | Abgedeckt | |
| 2.1.4.4 | Sie TCCM müssen, soweit dies für den Informationsaustausch erforderlich ist, Benutzerkonten für den Zugriff auf Protokolldaten für privilegierte Benutzer einrichten, die beide MCP Aktivitäten ausführen. BCP | N/A | Abgedeckt | |
| 2.1.4.5 | Sie TCCM müssen die Anmeldeinformationen für das Kundenportalkonto wiederherstellen und sicher kontrollieren, bevor die Missionsanwendung mit dem verbunden wird. DISN | AWS IAM Identity Center | N/A | Abgedeckt |
| 2.1.4.6 | Sie erstellen, erteilen und entziehen, falls erforderlich, den TCCM Anwendungs- und Systemadministratoren des Missionsbesitzers (d. h. DoD-privilegierte Benutzer) die Zugangsdaten für das Kundenportal mit den geringsten Zugriffsrechten. | N/A | Abgedeckt |
Um die Anforderungen erfüllen TCCM zu können, LZA verwendet der die programmgesteuerte Steuerung der Ressourcen über den IAM Dienst. Sie können es auch IAM kombinieren AWS Managed Microsoft AD , um Single Sign-On für ein anderes Verzeichnis zu implementieren. Dadurch wird Ihre AWS Umgebung an Ihre lokale Infrastruktur mit Active Directory-Vertrauensstellungen gebunden. In der LZA wird die Implementierung mit IAM Rollen für temporären, sitzungsbasierten Zugriff bereitgestellt. IAM Rollen sind kurzlebige Anmeldeinformationen, die Ihrem Unternehmen helfen, die erforderlichen Anforderungen zu erfüllen. TCCM
Obwohl der Zugriff mit den geringsten Rechten und den programmatischen, kurzfristigen Zugriff auf AWS Ressourcen LZA implementiert, sollten Sie sich mit den IAMbewährten Methoden vertraut machen, um sicherzustellen, dass Sie die empfohlenen Sicherheitsrichtlinien befolgen.
Weitere Informationen zur Implementierung AWS Managed Microsoft AD finden Sie im AWS Managed Microsoft AD
Das Modell der AWS gemeinsamen Verantwortung
