Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Vertrauenswürdiger Cloud-Anmeldeinformationsmanager
Der Trusted Cloud Credential Manager (TCCM) ist eine Komponente des SCCA. Er ist für die Verwaltung der Anmeldeinformationen verantwortlich. Bei der Einrichtung des TCCM ist es wichtig, den Zugriff auf das SCCA mit den geringsten Rechten zu ermöglichen. Dies kann durch den Einsatz von AWS Identitäts- und Zugriffsverwaltungsdiensten erreicht werden. Ein weiterer Bestandteil des TCCM ist eine Verbindung zu den Virtual Data Center Managed Services (VDMS). Sie können diese Verbindung nach Bedarf verwenden, um auf das TCCM zuzugreifen und das AWS-Managementkonsole TCCM zu verwalten.
Das TCCM ist eine Kombination aus Technologien und Standards, die den Zugriff auf regeln. AWS Das TCCM wird für die meisten Implementierungen als entscheidend angesehen, da es die Zugriffsberechtigungen kontrolliert. Die TCCM-Funktion ist nicht dazu gedacht, dem kommerziellen Cloud-Dienstanbieter (CSP) besondere Anforderungen an das Identitätsmanagement aufzuerlegen. Das TCCM verbietet auch nicht die Verwendung von DoD CSP-Verbundlösungen oder Identitätsbroker-Lösungen von Drittanbietern zur Bereitstellung der beabsichtigten Identitätskontrolle.
Die TCCM-Richtlinienkomponenten basieren auf einem allgemeinen Verständnis, das ein Identitäts- und Zugriffsverwaltungssystem CSPs bietet, das die Kontrolle des Zugriffs auf Cloud-Systeme ermöglicht. Solche Systeme können die Zugriffskonsole, die API und die Befehlszeilenschnittstelle (CLI) des CSP umfassen. Auf der Basisebene muss das TCCM Anmeldeinformationen sperren, die zum Erstellen nicht autorisierter Netzwerke und anderer Ressourcen verwendet werden können. Das TCCM wird von dem autorisierenden Beamten (AO) ernannt, der mit der Überwachung der IT-Systeme beauftragt ist. Die TCCM-Richtlinien legen fest, dass ein Modell für den Zugriff mit den geringsten Rechten erforderlich ist. Diese Richtlinien sind für die Bereitstellung und Kontrolle privilegierter Benutzeranmeldedaten in der kommerziellen Cloud verantwortlich. Dies entspricht dem DoD Cloud Computing Security Requirements Guide
Die folgende Tabelle enthält die Mindestanforderungen für das TCCM. Es wird erklärt, ob die LZA jede Anforderung erfüllt und welche AWS-Services Sie verwenden können, um diese Anforderungen zu erfüllen.
| ID (ID) | TCCM-Sicherheitsanforderungen | AWS Technologien | Weitere Ressourcen | Von LZA abgedeckt |
|---|---|---|---|---|
| 2.1.4.1 | Das TCCM entwickelt und pflegt einen Cloud Credential Management Plan (CCMP), der sich mit der Umsetzung von Richtlinien, Plänen und Verfahren befasst, die für die Verwaltung der Anmeldeinformationen von Kundenportalkonten des Auftragsinhabers gelten. | – | – | Nicht abgedeckt |
| 2.1.4.2 | Das TCCM sammelt, prüft und archiviert alle Aktivitätsprotokolle und Benachrichtigungen des Kundenportals. | – | Abgedeckt | |
| 2.1.4.3 | Das TCCM stellt sicher, dass Benachrichtigungen aus dem Aktivitätsprotokoll mit DoD-privilegierten Benutzern, die an MCP- und BCP-Aktivitäten beteiligt sind, geteilt, an diese weitergeleitet oder von diesen abgerufen werden können. | – | Abgedeckt | |
| 2.1.4.4 | Das TCCM richtet, soweit dies für den Informationsaustausch erforderlich ist, Benutzerkonten für den Zugang zu Protokolldaten für privilegierte Nutzer ein, die sowohl MCP- als auch BCP-Aktivitäten ausführen. | – | Abgedeckt | |
| 2.1.4.5 | Das TCCM muss die Zugangsdaten für das Kundenportal wiederherstellen und sicher kontrollieren, bevor die Missionsanwendung mit dem DISN verbunden wird. | AWS IAM Identity Center | – | Abgedeckt |
| 2.1.4.6 | Das TCCM erstellt, erteilt und entzieht, falls erforderlich, den Anwendungs- und Systemadministratoren des Missionseigentümers (d. h. DoD-privilegierte Benutzer) die Zugangsdaten für das Kundenportal mit den geringsten Rechten, und entzieht sie, falls erforderlich. | – | Abgedeckt |
Damit das TCCM die Anforderungen erfüllen kann, verwendet das LZA die programmgesteuerte Steuerung der Ressourcen über den IAM-Dienst. Sie können IAM zusätzlich mit kombinieren, um Single Sign-On AWS Managed Microsoft AD für ein anderes Verzeichnis zu implementieren. Dadurch wird Ihre AWS Umgebung mit Ihrer lokalen Infrastruktur mit Active Directory-Vertrauensstellungen verknüpft. In der LZA wird die Implementierung mit IAM-Rollen für temporären, sitzungsbasierten Zugriff bereitgestellt. IAM-Rollen sind kurzlebige Anmeldeinformationen, die Ihrem Unternehmen helfen, die erforderlichen TCCM-Anforderungen zu erfüllen.
Die LZA implementiert zwar den Zugriff mit den geringsten Rechten und den programmatischen, kurzfristigen Zugriff auf AWS Ressourcen. Lesen Sie jedoch die bewährten Methoden für IAM, um sicherzustellen, dass Sie die empfohlenen Sicherheitsrichtlinien befolgen.
Weitere Informationen zur Implementierung AWS Managed Microsoft AD finden Sie im AWS Managed Microsoft AD
Das Modell der AWS gemeinsamen Verantwortung
