Trusted Cloud Credential Manager

Trusted Cloud Credential Manager (TCCM) は、 のコンポーネントですSCCA。認証情報の管理を担当します。を確立するときはTCCM、 への最小特権アクセスを許可することが重要ですSCCA。これは、 AWS ID とアクセス管理サービスを使用して実現できます。の追加コンポーネントは、Virtual Data Center Managed Services () への接続TCCMですVDMS。必要に応じてこの接続を使用して にアクセスし AWS Management Console 、 を管理できますTCCM。

TCCM は、 へのアクセスを管理するテクノロジーと標準の両方を組み合わせたものです AWS。TCCM は、アクセス許可を制御するため、ほとんどの実装で重要です。このTCCM関数は、商用クラウドサービスプロバイダー () に一意の ID 管理要件を設定することを目的としたものではありませんCSP。TCCM また、 は、DoD CSPフェデレーションまたはサードパーティーの ID ブローカーソリューションを使用して、意図した ID 制御を提供することを禁止していません。

TCCM ポリシーコンポーネントは、クラウドシステムへのアクセスの制御を可能にするアイデンティティおよびアクセス管理システムCSPsを提供する一般的な理解に基づいています。このようなシステムには、 CSPのアクセスコンソール、API、およびコマンドラインインターフェイス (CLI) サービスコンポーネントを含めることができます。基本レベルでは、 は不正なネットワークやその他のリソースの作成に使用できる認証情報をロックダウンTCCMする必要があります。TCCM は、IT システムの監視を担当する Authorizing Official (AO) によって指定されます。TCCM ポリシーは、最小特権アクセスモデルの必要性を確立します。これらのポリシーは、商用クラウドでの特権ユーザー認証情報のプロビジョニングと制御を担当します。これは、ポータルアカウントの認証情報を管理するためのポリシー、プラン、および手順の実装について説明する DoD Cloud Computing セキュリティ要件ガイドとの整合性を保つためです。国防情報システムネットワーク () に接続する前にDISN、 は、「 接続プロセスガイド」で定義されている接続承認プロセスの一環として、 クラウド認証情報管理プラン (CCMP) の存在DISAを検証します。

次の表に、 の最小要件を示しますTCCM。が各要件LZAに対応するかどうか、およびこれらの要件を満たすために AWS のサービス 使用できるものについて説明します。

ID	TCCM セキュリティ要件	AWS テクノロジー	追加リソース	対象 LZA
2.1.4.1	は、ミッション所有者のカスタマーポータルアカウントの認証情報管理に適用されるポリシー、計画、および手順の実装に対応するために、クラウド認証情報管理計画 (CCMP) を策定および維持TCCMするものとします。	該当なし	該当なし	対象外
2.1.4.2	は、すべての Customer Portal アクティビティログとアラートを収集、監査、アーカイブTCCMします。	AWS CloudTrail Amazon CloudWatch ログ	該当なし	対象
2.1.4.3	TCCM は、アクティビティログアラートが、 MCPおよび BCPアクティビティに従事する DoD 特権ユーザーと共有、転送、または取得できることを確認します。	AWS CloudTrail CloudWatch ログ Amazon Simple Notification Service (Amazon SNS） CloudWatch Logs Insights	該当なし	対象
2.1.4.4	は、情報共有の必要に応じて、 MCPおよび アクティビティの両方を実行する特権ユーザーによるアクティビティログデータにアクセスするためのログリポジトリアクセスアカウントを作成するTCCMものとしますBCP。	AWS CloudTrail CloudWatch ログ Amazon SNS CloudWatch Logs Insights	該当なし	対象
2.1.4.5	は、ミッションアプリケーションが に接続される前に、カスタマーポータルアカウントの認証情報を復旧し、安全に制御TCCMするものとしますDISN。	AWS IAM Identity Center	該当なし	対象
2.1.4.6	は、必要に応じて、ミッション所有者アプリケーションおよびシステム管理者 (DoD 特権ユーザー) への最小特権のカスタマーポータル認証情報へのロールベースのアクセスを作成、発行、および取り消すTCCMものとします。	AWS Identity and Access Management (IAM) AWS Directory Service for Microsoft Active Directory	該当なし	対象

 

が要件を満たすTCCMことができるように、 LZAは IAMサービスを通じてリソースをプログラムで制御します。さらに、 IAMと を組み合わせて AWS Managed Microsoft AD 、別のディレクトリへのシングルサインオンを実装することもできます。これにより、 AWS Active Directory の信頼により、環境がオンプレミスインフラストラクチャに結び付けられます。 ではLZA、実装は一時的なセッションベースのアクセスIAMIAMロールのロールでデプロイされます。これは、組織が必要な要件を満たすのに役立つ短期間の認証情報ですTCCM。

は、最小特権アクセスと AWS リソースへのプログラムによる短期アクセスLZAを実装していますが、推奨されるセキュリティガイダンスに従っていることを確認するためのIAMベストプラクティスを確認してください。

の実装の詳細については AWS Managed Microsoft AD、AWS「没入日アクティブディレクトリワークショップ」のAWS Managed Microsoft AD「」セクションを参照してください。

AWS 責任共有モデルは、 TCCMおよび に適用されますLZA。はアクセスコントロールの基本的側面LZAを構築しますが、各組織はセキュリティコントロールの設定を担当します。