可信云凭证管理器

可信云凭证管理器 (TCCM) 是其中的一个组件。SCCA它负责凭证管理。在建立时TCCM，重要的是要允许最低权限的访问权限。SCCA这可以通过使用 AWS 身份和访问管理服务来实现。的另一个组成部分TCCM是与虚拟数据中心托管服务（VDMS）的连接。您可以根据需要使用此连接来访问 AWS Management Console 以管理TCCM。

TCCM是管理访问权限的技术和标准的组合 AWS。对于大多数实现而言，被认为TCCM是至关重要的，因为它可以控制访问权限。该TCCM功能无意对商业云服务提供商 (CSP) 提出独特的身份管理要求。TCCM也不禁止使用国防部CSP联盟或第三方身份代理解决方案来提供预期的身份控制。

TCCM策略组件基于一种普遍的理解，它CSPs提供了一个允许控制对云系统的访问的身份和访问管理系统。此类系统可以包括CSP的访问控制台API、和命令行接口 (CLI) 服务组件。在基本级别，TCCM必须锁定可用于创建未经授权的网络和其他资源的凭证。TCCM由负责监督 IT 系统的授权官员 (AO) 任命。这些TCCM策略确定了对最低权限访问模式的需求。这些政策负责在商用云中提供和控制特权用户凭证。这是为了与国防部云计算安全要求指南保持一致，该指南涉及管理门户账户凭证的政策、计划和程序的实施。在连接到国防信息系统网络 (DISN) 之前，DISA验证云凭证管理计划 (CCMP) 是否存在，这是《连接流程指南》中定义的连接批准流程的一部分。

下表包含的最低要求TCCM。它解释了是否LZA满足了每项要求以及 AWS 服务 您可以使用哪些来满足这些要求。

ID	TCCM安全要求	AWS 技术	其他资源	由 LZA
2.1.4.1	他们TCCM应制定和维护云凭证管理计划 (CCMP)，以解决适用于任务所有者客户门户账户凭证管理的政策、计划和程序的实施问题。	不适用	不适用	未覆盖
2.1.4.2	他们TCCM应收集、审核和存档所有客户门户活动日志和警报。	AWS CloudTrail Amazon CloudWatch 日志	不适用	已覆盖
2.1.4.3	TCCM应确保与参与和活动的国防部特权用户共享、转发给或检索活动日志警报。MCP BCP	AWS CloudTrail CloudWatch 日志 亚马逊简单通知服务（亚马逊SNS） CloudWatch 日志见解	不适用	已覆盖
2.1.4.4	根据信息共享的需要，他们TCCM应创建日志存储库访问帐户，以便执行MCP和活动的特权用户访问BCP活动日志数据。	AWS CloudTrail CloudWatch 日志 Amazon SNS CloudWatch 日志见解	不适用	已覆盖
2.1.4.5	在任务应用程序连接到客户门户网站之前，他们TCCM应恢复并安全地控制客户门户网站的账户凭证DISN。	AWS IAM Identity Center	不适用	已覆盖
2.1.4.6	他们TCCM应根据需要为任务所有者应用程序和系统管理员（即国防部特权用户）创建、颁发和撤销基于角色的访问权限最低的客户门户凭证。	AWS Identity and Access Management (IAM) AWS Directory Service for Microsoft Active Directory	不适用	已覆盖

 

为了使TCCM能够满足需求，通过该LZAIAM服务对资源进行编程控制。此外，您还可以IAM结合使用 AWS Managed Microsoft AD 来实现对另一个目录的单点登录。这会通过 Active Directory 信任将您的 AWS 环境与本地基础设施联系起来。 在实施中LZA，部署的IAM角色是临时的、基于会话的访问IAM角色，这些角色是短期证书，可以帮助您的组织满足必要的要求。TCCM

尽管LZA实现了最低权限访问权限和以编程方式短期访问 AWS 资源，但请查看IAM最佳实践，确保遵循推荐的安全指南。

有关实施的更多信息 AWS Managed Microsoft AD，请参阅 A ctive Directory AWS 沉浸日研讨会的AWS Managed Microsoft AD部分。

分AWS 担责任模型适用于TCCM和LZA。LZA构建了访问控制的基础方面，但每个组织都要负责配置其安全控制。