Manajer Kredensi Cloud Tepercaya - AWS Bimbingan Preskriptif

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Manajer Kredensi Cloud Tepercaya

Trusted Cloud Credential Manager (TCCM) adalah komponen dari. SCCA Ini bertanggung jawab untuk manajemen kredensi. Saat membuatTCCM, penting untuk mengizinkan akses hak istimewa paling sedikit ke. SCCA Hal ini dapat dicapai dengan menggunakan AWS identitas dan layanan manajemen akses. Komponen tambahan TCCM adalah koneksi ke Virtual Data Center Managed Services (VDMS). Anda dapat menggunakan koneksi ini sesuai kebutuhan untuk mengakses AWS Management Console untuk mengelola fileTCCM.

TCCMIni adalah kombinasi dari teknologi dan standar yang mengatur akses ke AWS. TCCMIni dianggap penting untuk sebagian besar implementasi karena mengontrol izin akses. TCCMFungsi ini tidak dimaksudkan untuk menempatkan persyaratan manajemen identitas unik pada penyedia layanan cloud komersial (CSP). TCCMJuga tidak melarang penggunaan federasi CSP DoD atau solusi broker identitas pihak ketiga untuk memberikan kontrol identitas yang dimaksud.

Komponen TCCM kebijakan didasarkan pada pemahaman umum yang CSPs menawarkan identitas dan sistem manajemen akses yang memungkinkan kontrol akses ke sistem cloud. Sistem tersebut dapat mencakup konsol akses,API, dan komponen layanan antarmuka baris perintah (CLI). CSP Pada tingkat dasar, TCCM harus mengunci kredensil yang dapat digunakan untuk membuat jaringan yang tidak sah dan sumber daya lainnya. TCCMIni ditunjuk oleh Pejabat Otorisasi (AO) yang bertanggung jawab atas pengawasan sistem TI. TCCMKebijakan menetapkan kebutuhan akan model akses hak istimewa paling sedikit. Kebijakan ini bertanggung jawab atas penyediaan dan kontrol kredensil pengguna istimewa di cloud komersial. Ini agar tetap selaras dengan Panduan Persyaratan Keamanan Komputasi Cloud DoD, yang membahas implementasi kebijakan, rencana, dan prosedur untuk mengelola kredensi akun portal Anda. Sebelum koneksi ke Jaringan Sistem Informasi Pertahanan (DISN), DISA memvalidasi keberadaan Cloud Credential Management Plan (CCMP) sebagai bagian dari proses persetujuan koneksi yang didefinisikan dalam Panduan Proses Koneksi.

Tabel berikut berisi persyaratan minimum untukTCCM. Ini menjelaskan apakah LZA alamat setiap persyaratan dan yang dapat Layanan AWS Anda gunakan untuk memenuhi persyaratan ini.

ID TCCMpersyaratan keamanan AWS teknologi Sumber daya tambahan Ditutupi oleh LZA
2.1.4.1 Perusahaan TCCM harus mengembangkan dan memelihara Cloud Credential Management Plan (CCMP) untuk menangani implementasi kebijakan, rencana, dan prosedur yang akan diterapkan pada manajemen kredensi akun portal pelanggan pemilik misi. N/A N/A Tidak tercakup
2.1.4.2 TCCMPihak wajib mengumpulkan, mengaudit, dan mengarsipkan semua log dan peringatan aktivitas Portal Pelanggan.

AWS CloudTrail

CloudWatch Log Amazon

 N/A Tercakup
2.1.4.3 TCCMHarus memastikan peringatan log aktivitas dibagikan dengan, diteruskan ke, atau diambil oleh pengguna istimewa DoD yang terlibat dalam dan aktivitas. MCP BCP

AWS CloudTrail

CloudWatch Log

Layanan Pemberitahuan Sederhana Amazon (AmazonSNS)

CloudWatch Wawasan Log

 N/A Tercakup
2.1.4.4 TCCMHarus, sebagaimana diperlukan untuk berbagi informasi, membuat akun akses repositori log untuk akses ke data log aktivitas oleh pengguna istimewa yang melakukan keduanya MCP dan aktivitas. BCP

AWS CloudTrail

CloudWatch Log

Amazon SNS

CloudWatch Wawasan Log

 N/A Tercakup
2.1.4.5 TCCMHarus memulihkan dan mengontrol kredensil akun portal pelanggan dengan aman sebelum konektivitas aplikasi misi ke. DISN AWS IAM Identity Center N/A Tercakup
2.1.4.6 TCCMHarus membuat, mengeluarkan, dan mencabut, jika perlu, akses berbasis peran kredenal portal pelanggan yang paling tidak memiliki hak istimewa kepada aplikasi pemilik misi dan administrator sistem (yaitu, pengguna istimewa DoD).

AWS Identity and Access Management (IAM)

AWS Directory Service for Microsoft Active Directory

 N/A Tercakup

 

Untuk memungkinkan memenuhi persyaratan, LZA menggunakan kontrol terprogram sumber daya melalui IAM layanan. TCCM Anda juga dapat menggabungkan IAM dengan AWS Managed Microsoft AD untuk menerapkan sistem masuk tunggal ke direktori lain. Ini mengikat AWS lingkungan Anda dengan infrastruktur lokal Anda dengan trust Active Directory.  DalamLZA, implementasi diterapkan dengan IAM peran untuk sementara, IAM peran akses berbasis sesi adalah kredensil berumur pendek yang membantu organisasi Anda memenuhi persyaratan yang diperlukan. TCCM

Meskipun LZA menerapkan akses hak istimewa paling sedikit dan akses jangka pendek terprogram ke AWS sumber daya, tinjau praktik IAM terbaik untuk memastikan bahwa Anda mengikuti panduan keamanan yang disarankan.

Untuk informasi selengkapnya tentang penerapan AWS Managed Microsoft AD, lihat AWS Managed Microsoft ADbagian lokakarya Active Directory on AWS Immersion Day.

Model tanggung jawab AWS bersama berlaku untuk TCCM danLZA. Ini LZA membangun aspek dasar kontrol akses, tetapi setiap organisasi bertanggung jawab atas konfigurasi kontrol keamanan mereka.