기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
신뢰할 수 있는 클라우드 자격 증명 관리자
Trusted Cloud Credential Manager(TCCM)는의 구성 요소입니다SCCA. 자격 증명 관리를 담당합니다. 를 설정할 때에 대한 최소 권한 액세스를 허용하는 TCCM것이 중요합니다SCCA. 이는 AWS 자격 증명 및 액세스 관리 서비스를 사용하여 수행할 수 있습니다. 의 추가 구성 요소는 가상 데이터 센터 관리형 서비스()에 대한 연결TCCM입니다VDMS. 필요에 따라이 연결을 사용하여에 액세스 AWS Management Console 하여를 관리할 수 있습니다TCCM.
TCCM는에 대한 액세스를 제어하는 기술과 표준의 조합입니다 AWS. TCCM는 액세스 권한을 제어하기 때문에 대부분의 구현에 중요한 것으로 간주됩니다. 이 TCCM 함수는 상용 클라우드 서비스 공급자()에 고유한 자격 증명 관리 요구 사항을 적용하기 위한 것이 아닙니다CSP. TCCM 또한는 의도한 자격 증명 제어를 제공하기 위해 DoD CSP 연동 또는 타사 자격 증명 브로커 솔루션을 사용하는 것을 금지하지 않습니다.
TCCM 정책 구성 요소는 클라우드 시스템에 대한 액세스를 제어할 수 있는 자격 증명 및 액세스 관리 시스템을 CSPs 제공하는 일반적인 이해를 기반으로 합니다. 이러한 시스템에는 CSP의 액세스 콘솔, API및 명령줄 인터페이스(CLI) 서비스 구성 요소가 포함될 수 있습니다. 기본 수준에서는 승인되지 않은 네트워크 및 기타 리소스를 생성하는 데 사용할 수 있는 자격 증명을 잠가TCCM야 합니다. TCCM는 IT 시스템을 감독하는 Authorizing Official(AO)에서 지정합니다. TCCM 정책은 최소 권한 액세스 모델의 필요성을 설정합니다. 이러한 정책은 상용 클라우드에서 권한 있는 사용자 자격 증명을 제공하고 제어할 책임이 있습니다. 이는 포털 계정 자격 증명을 관리하기 위한 정책, 계획 및 절차의 구현을 다루는 DoD 클라우드 컴퓨팅 보안 요구 사항 가이드를
다음 표에는에 대한 최소 요구 사항이 포함되어 있습니다TCCM. 가 각 요구 사항을 LZA 해결하는지 여부와 이러한 요구 사항을 충족하는 데 사용할 수 있는 사항에 AWS 서비스 대해 설명합니다.
ID | TCCM 보안 요구 사항 | AWS 기술 | 추가 리소스 | 적용 대상 LZA |
---|---|---|---|---|
2.1.4.1 | TCCM는 미션 소유자 고객 포털 계정 자격 증명 관리에 적용될 정책, 계획 및 절차의 구현을 해결하기 위해 클라우드 자격 증명 관리 계획(CCMP)을 개발하고 유지해야 합니다. | N/A | N/A | 보장되지 않음 |
2.1.4.2 | TCCM는 모든 고객 포털 활동 로그 및 알림을 수집, 감사 및 보관해야 합니다. | N/A | 적용됨 | |
2.1.4.3 | TCCM는 MCP 및 BCP 활동에 참여하는 DoD 권한 있는 사용자와 활동 로그 알림을 공유하거나, 전달하거나, 검색할 수 있도록 해야 합니다. | N/A | 적용됨 | |
2.1.4.4 | TCCM는 정보 공유에 필요한 경우 MCP 및 BCP 활동을 모두 수행하는 권한이 있는 사용자가 활동 로그 데이터에 액세스할 수 있는 로그 리포지토리 액세스 계정을 생성해야 합니다. | N/A | 적용됨 | |
2.1.4.5 | TCCM는에 대한 미션 애플리케이션 연결 전에 고객 포털 계정 자격 증명을 복구하고 안전하게 제어해야 합니다DISN. | AWS IAM Identity Center | N/A | 적용됨 |
2.1.4.6 | TCCM는 필요에 따라 미션 소유자 애플리케이션 및 시스템 관리자(예: DoD 권한 사용자)에 대한 최소 권한 고객 포털 자격 증명에 대한 역할 기반 액세스를 생성, 발급 및 취소해야 합니다. | N/A | 적용됨 |
가 요구 사항을 충족할 TCCM 수 있도록 하기 위해 LZA는 IAM 서비스를 통해 프로그래밍 방식으로 리소스를 제어합니다. IAM와를 추가로 결합하여 다른 디렉터리 AWS Managed Microsoft AD 에 대한 Single Sign-On을 구현할 수 있습니다. 이렇게 하면 Active Directory 신뢰로 환경을 AWS 온프레미스 인프라에 연결할 수 있습니다. 에서 LZA구현은 임시 세션 기반 액세스 IAM IAM 역할을 위한 역할과 함께 배포되며, 이는 조직이 필요한 TCCM 요구 사항을 충족하는 데 도움이 되는 수명이 짧은 보안 인증 정보입니다.
는 리소스에 대한 최소 권한 액세스 및 프로그래밍 방식의 단기 액세스를 LZA 구현하지만 권장 보안 지침을 준수하는지 확인하기 위해 IAM 모범 사례를 AWS 검토합니다.
구현에 대한 자세한 내용은 AWS 몰입의 날 Active Directory 워크숍의 AWS Managed Microsoft AD
AWS 공동 책임 모델은