Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Gestionnaire d'informations d'identification cloud fiable
Le Trusted Cloud Credential Manager (TCCM) est un composant duSCCA. Il est responsable de la gestion des accréditations. Lors de la mise en place duTCCM, il est important d'autoriser un accès avec le moindre privilège au. SCCA Cela peut être réalisé en utilisant des services de gestion des AWS identités et des accès. Un composant supplémentaire du TCCM est une connexion au Virtual Data Center Managed Services (VDMS). Vous pouvez utiliser cette connexion selon vos besoins pour accéder au AWS Management Console afin de gérer leTCCM.
TCCMIl s'agit d'une combinaison de technologies et de normes qui régissent l'accès à AWS. TCCMIl est considéré comme essentiel pour la plupart des implémentations car il contrôle les autorisations d'accès. La TCCM fonction n'est pas destinée à imposer des exigences uniques en matière de gestion des identités au fournisseur de services cloud commerciaux (CSP). Cela n'interdit pas TCCM non plus l'utilisation de solutions de CSP fédération du DoD ou de courtiers d'identité tiers pour fournir le contrôle d'identité prévu.
Les composants TCCM de la politique sont basés sur une compréhension générale qui CSPs propose un système de gestion des identités et des accès permettant de contrôler l'accès aux systèmes cloud. Ces systèmes peuvent inclure la console CSP d'accès et les composants API de service de l'interface de ligne de commande (CLI). Au niveau de base, les informations d'identification TCCM doivent être verrouillées qui peuvent être utilisées pour créer des réseaux et d'autres ressources non autorisés. TCCMIl est nommé par le responsable autorisé (AO) chargé de superviser les systèmes informatiques. Les TCCM politiques établissent la nécessité d'un modèle d'accès fondé sur le principe du moindre privilège. Ces politiques sont responsables de la fourniture et du contrôle des informations d'identification des utilisateurs privilégiés dans le cloud commercial. Ceci afin de rester en conformité avec le guide des exigences de sécurité du DoD en matière de cloud computing
Le tableau suivant contient les exigences minimales pour leTCCM. Il explique s'il LZA répond à chaque exigence et lequel Services AWS vous pouvez utiliser pour répondre à ces exigences.
| ID | TCCMexigences en matière de sécurité | AWS technologies | Ressources supplémentaires | Couvert par LZA |
|---|---|---|---|---|
| 2.1.4.1 | Ils TCCM élaboreront et tiendront à jour un plan de gestion des informations d'identification dans le cloud (CCMP) afin de mettre en œuvre les politiques, plans et procédures qui seront appliqués à la gestion des informations d'identification des comptes du portail client des propriétaires de missions. | N/A | N/A | Non couvert |
| 2.1.4.2 | Ils TCCM doivent collecter, auditer et archiver tous les journaux d'activité et alertes du portail client. | N/A | Couvert | |
| 2.1.4.3 | Ils TCCM doivent s'assurer que les alertes du journal d'activité sont partagées avec, transmises ou récupérables par les utilisateurs privilégiés du DoD engagés dans des activités. MCP BCP | N/A | Couvert | |
| 2.1.4.4 | Ils TCCM doivent, si nécessaire pour le partage d'informations, créer des comptes d'accès au référentiel de journaux permettant aux utilisateurs privilégiés effectuant les deux BCP activités d'accéder aux données du journal MCP d'activité. | N/A | Couvert | |
| 2.1.4.5 | Ils TCCM doivent récupérer et contrôler en toute sécurité les informations d'identification du compte du portail client avant la connectivité de l'application de mission auDISN. | AWS IAM Identity Center | N/A | Couvert |
| 2.1.4.6 | Ils TCCM doivent créer, délivrer et révoquer, si nécessaire, les informations d'identification du portail client les moins privilégiés basées sur les rôles aux administrateurs des applications et du système du propriétaire de la mission (c'est-à-dire les utilisateurs privilégiés du DoD). | N/A | Couvert |
Afin de répondre TCCM aux exigences, il LZA utilise le contrôle programmatique des ressources via le IAM service. Vous pouvez également combiner IAM avec AWS Managed Microsoft AD pour implémenter l'authentification unique dans un autre répertoire. Cela lie votre AWS environnement à votre infrastructure sur site avec des approbations Active Directory. Dans le cas LZA où l'implémentation est déployée avec IAM des rôles pour des accès temporaires basés sur des sessions, les IAM rôles sont des informations d'identification de courte durée qui aident votre organisation à répondre aux exigences requises. TCCM
Bien qu'il LZA mette en œuvre l'accès à moindre privilège et l'accès programmatique à court terme aux AWS ressources, passez en revue les IAMmeilleures pratiques pour vous assurer que vous suivez les consignes de sécurité recommandées.
Pour plus d'informations sur la mise en œuvre AWS Managed Microsoft AD, consultez la AWS Managed Microsoft AD
Le modèle de responsabilitéAWS partagée
