Administrador de credenciales en la nube de confianza - AWS Guía prescriptiva

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Administrador de credenciales en la nube de confianza

El Trusted Cloud Credential Manager (TCCM) es un componente del. SCCA Es responsable de la administración de credenciales. Al establecer elTCCM, es importante permitir el acceso con el menor privilegio al. SCCA Esto se puede lograr mediante el uso de servicios de administración de AWS identidad y acceso. Un componente adicional de TCCM es una conexión a Virtual Data Center Managed Services (VDMS). Puede utilizar esta conexión según sea necesario para acceder AWS Management Console al y administrar elTCCM.

TCCMEs una combinación de tecnologías y estándares que rigen el acceso a AWS. TCCMSe considera fundamental para la mayoría de las implementaciones porque controla los permisos de acceso. La TCCM función no pretende imponer requisitos exclusivos de gestión de identidad al proveedor de servicios en la nube comercial (CSP). TCCMTampoco prohíbe el uso de soluciones de CSP federación del DoD o de agentes de identidad de terceros para proporcionar el control de identidad previsto.

Los componentes TCCM de la política se basan en un entendimiento general que CSPs ofrece un sistema de gestión de identidad y acceso que permite controlar el acceso a los sistemas en la nube. Estos sistemas pueden incluir los componentes CSP de servicio de la consola de acceso y de la interfaz de línea de comandos (CLI). API En el nivel básico, TCCM deben bloquear las credenciales que se pueden utilizar para crear redes y otros recursos no autorizados. TCCMEs nombrado por el oficial autorizado (AO) encargado de supervisar los sistemas de TI. Las TCCM políticas establecen la necesidad de un modelo de acceso con privilegios mínimos. Estas políticas son responsables del suministro y el control de las credenciales de los usuarios privilegiados en la nube comercial. Esto es para mantener la coherencia con la Guía de requisitos de seguridad de la computación en la nube del DoD, que aborda la implementación de políticas, planes y procedimientos para administrar las credenciales de la cuenta del portal. Antes de conectarse a la Red de Sistemas de Información de Defensa (DISN), DISA valida la existencia del plan de gestión de credenciales en la nube (CCMP) como parte del proceso de aprobación de la conexión definido en la Guía del proceso de conexión.

La siguiente tabla contiene los requisitos mínimos para. TCCM Explica si cumplen LZA con cada requisito y cuáles Servicios de AWS puede utilizar para cumplir con estos requisitos.

ID TCCMrequisitos de seguridad AWS tecnologías Recursos adicionales Cubierto por LZA
2.1.4.1 TCCMDesarrollarán y mantendrán un plan de gestión de credenciales en la nube (CCMP) para abordar la implementación de las políticas, planes y procedimientos que se aplicarán a la administración de las credenciales de las cuentas del portal de clientes del propietario de la misión. N/A N/A No está cubierto
2.1.4.2 TCCMRecopilarán, auditarán y archivarán todos los registros de actividad y alertas del Portal del Cliente.

AWS CloudTrail

Amazon CloudWatch Logs

 N/A Cubierto
2.1.4.3 TCCMDeberán garantizar que las alertas del registro de actividades se compartan con los usuarios privilegiados del DoD que participan en las actividades, las reenvíen o las puedan recuperar. MCP BCP

AWS CloudTrail

CloudWatch Registros

Amazon Simple Notification Service (AmazonSNS)

CloudWatch Registra información

 N/A Cubierto
2.1.4.4 TCCMDeberán crear, según sea necesario para el intercambio de información, cuentas de acceso al repositorio de registros para que los usuarios privilegiados que realicen ambas MCP actividades puedan acceder a los datos del registro de actividades. BCP

AWS CloudTrail

CloudWatch Registros

Amazon SNS

CloudWatch Registra información

 N/A Cubierto
2.1.4.5 TCCMRecuperarán y controlarán de forma segura las credenciales de las cuentas del portal de clientes antes de que la aplicación de la misión se conecte al. DISN AWS IAM Identity Center N/A Cubierto
2.1.4.6 TCCMDeberán crear, emitir y revocar, según sea necesario, las credenciales del portal de clientes menos privilegiados de acceso basado en roles para los administradores de aplicaciones y sistemas del propietario de la misión (es decir, los usuarios con privilegios del DoD).

AWS Identity and Access Management (IAM)

AWS Directory Service for Microsoft Active Directory

 N/A Cubierto

 

Para poder TCCM cumplir con los requisitos, LZA utiliza el control programático de los recursos a través del IAM servicio. También puede IAM combinarlos AWS Managed Microsoft AD para implementar el inicio de sesión único en otro directorio. Esto vincula el AWS entorno a la infraestructura local mediante las confianzas de Active Directory.  En este casoLZA, la implementación se implementa con IAM funciones para un acceso temporal y las IAM funciones de acceso basadas en sesiones son credenciales efímeras que ayudan a la organización a cumplir los requisitos necesarios. TCCM

Si bien LZA implementa el acceso con privilegios mínimos y el acceso programático a corto plazo a AWS los recursos, revise las IAMmejores prácticas para asegurarse de seguir las pautas de seguridad recomendadas.

Para obtener más información sobre la implementación AWS Managed Microsoft AD, consulte la AWS Managed Microsoft ADsección del taller sobre Active Directory sobre el Día de la AWS Inmersión.

El modelo de responsabilidad AWS compartida se aplica a la TCCM y a laLZA. LZAConstruye los aspectos fundamentales del control de acceso, pero cada organización es responsable de la configuración de sus controles de seguridad.