本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
信任的雲端登入資料管理員
Trusted Cloud Credential Manager (TCCM) 是 的元件SCCA。它負責憑證管理。建立 時TCCM,請務必允許最低權限存取 SCCA。這可以透過使用 AWS 身分和存取管理服務來完成。的另一個元件TCCM是虛擬資料中心受管服務的連線 (VDMS)。您可以視需要使用此連線來存取 AWS Management Console 以管理 TCCM。
TCCM 是同時管理 存取的技術和標準的組合 AWS。對於大多數實作而言TCCM, 被視為至關重要,因為它控制存取許可。該TCCM函數不適用於將唯一的身分管理要求放置在商業雲端服務提供者 () 上CSP。TCCM 也不會禁止使用 DoD CSP 聯合或第三方身分代理程式解決方案來提供預期的身分控制。
TCCM 政策元件是以一般的了解為基礎,CSPs提供允許控制雲端系統存取的身分和存取管理系統。這類系統可以包含 CSP的存取主控台、 API和命令列界面 (CLI) 服務元件。在基本層級, TCCM 必須鎖定可用於建立未經授權網路和其他資源的登入資料。是由負責監督 IT 系統的授權官員 (AO) TCCM指定。這些TCCM政策需要最低權限的存取模型。這些政策負責在商業雲端中佈建和控制特殊權限使用者登入資料。這是為了與 DoD Cloud Computing Security Requirements Guide 保持一致,該指南
下表包含 的最低需求TCCM。它說明 是否LZA滿足每個需求,以及 AWS 服務 您可以用來滿足這些需求。
| ID | TCCM 安全需求 | AWS 技術 | 其他資源 | 涵蓋於 LZA |
|---|---|---|---|---|
| 2.1.4.1 | TCCM 應開發和維護雲端登入資料管理計劃 (CCMP),以解決將套用至任務擁有者客戶入口網站帳戶登入資料管理的政策、計劃和程序實作。 | N/A | N/A | 未涵蓋 |
| 2.1.4.2 | TCCM 應收集、稽核和封存所有客戶入口網站活動日誌和提醒。 | N/A | 涵蓋 | |
| 2.1.4.3 | TCCM 應確保與參與 MCP和 活動的 DoD 特殊權限使用者共用、轉送或擷取BCP活動日誌提醒。 | N/A | 涵蓋 | |
| 2.1.4.4 | TCCM 應視需要為資訊共用建立日誌儲存庫存取帳戶,以讓執行 MCP和 活動的有權限使用者存取BCP活動日誌資料。 | N/A | 涵蓋 | |
| 2.1.4.5 | 在任務應用程式連線至 之前, TCCM應復原並安全地控制客戶入口網站帳戶登入資料DISN。 | AWS IAM Identity Center | N/A | 涵蓋 |
| 2.1.4.6 | TCCM 應視需要建立、發行和撤銷任務擁有者應用程式和系統管理員 (即 DoD 特殊權限使用者) 的角色型存取最低特殊權限客戶入口網站憑證。 | N/A | 涵蓋 |
為了讓 TCCM 符合需求, LZA使用透過 IAM服務對 資源進行程式設計控制。您也可以將 IAM與 結合 AWS Managed Microsoft AD ,以實作對另一個目錄的單一登入。這會使用 AWS Active Directory 信任將您的環境與內部部署基礎設施建立關聯。 在 中LZA,實作是使用臨時、工作階段型存取IAMIAM角色的角色來部署,這些角色是短期登入資料,可協助您的組織滿足必要的TCCM需求。
雖然 LZA實作最低權限存取和程式設計、短期存取 AWS 資源,但請檢閱IAM最佳實務,以確保您遵循建議的安全指引。
如需實作的詳細資訊 AWS Managed Microsoft AD,請參閱AWS浸入日 Active Directory 研討會的 AWS Managed Microsoft AD
AWS 共同的責任模型
