Manajer Kredensi Cloud Tepercaya - AWS Bimbingan Preskriptif

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Manajer Kredensi Cloud Tepercaya

Trusted Cloud Credential Manager (TCCM) adalah komponen dari SCCA. Ini bertanggung jawab untuk manajemen kredensi. Saat membuat TCCM, penting untuk mengizinkan akses hak istimewa paling sedikit ke SCCA. Hal ini dapat dicapai dengan menggunakan AWS identitas dan layanan manajemen akses. Komponen tambahan dari TCCM adalah koneksi ke Virtual Data Center Managed Services (VDMS). Anda dapat menggunakan koneksi ini sesuai kebutuhan untuk mengakses Konsol Manajemen AWS untuk mengelola TCCM.

TCCM adalah kombinasi dari teknologi dan standar yang mengatur akses ke. AWS TCCM dianggap penting untuk sebagian besar implementasi karena mengontrol izin akses. Fungsi TCCM tidak dimaksudkan untuk menempatkan persyaratan manajemen identitas unik pada penyedia layanan cloud komersial (CSP). TCCM juga tidak melarang penggunaan federasi DoD CSP atau solusi broker identitas pihak ketiga untuk memberikan kontrol identitas yang dimaksud.

Komponen kebijakan TCCM didasarkan pada pemahaman umum yang CSPs menawarkan identitas dan sistem manajemen akses yang memungkinkan kontrol akses ke sistem cloud. Sistem tersebut dapat mencakup komponen layanan konsol akses CSP, API, dan antarmuka baris perintah (CLI). Pada tingkat dasar, TCCM harus mengunci kredensil yang dapat digunakan untuk membuat jaringan yang tidak sah dan sumber daya lainnya. TCCM ditunjuk oleh Authorizing Official (AO) yang bertanggung jawab atas pengawasan sistem TI. Kebijakan TCCM menetapkan kebutuhan akan model akses hak istimewa paling sedikit. Kebijakan ini bertanggung jawab atas penyediaan dan kontrol kredensyal pengguna istimewa di cloud komersial. Ini agar tetap selaras dengan Panduan Persyaratan Keamanan Komputasi Cloud DoD, yang membahas implementasi kebijakan, rencana, dan prosedur untuk mengelola kredensi akun portal Anda. Sebelum koneksi ke Jaringan Sistem Informasi Pertahanan (DISN), DISA memvalidasi keberadaan Cloud Credential Management Plan (CCMP) sebagai bagian dari proses persetujuan koneksi yang didefinisikan dalam Panduan Proses Koneksi.

Tabel berikut berisi persyaratan minimum untuk TCCM. Ini menjelaskan apakah LZA memenuhi setiap persyaratan dan yang dapat Layanan AWS Anda gunakan untuk memenuhi persyaratan ini.

ID Persyaratan keamanan TCCM AWS teknologi Sumber daya tambahan Dilindungi oleh LZA
2.1.4.1 TCCM akan mengembangkan dan memelihara Cloud Credential Management Plan (CCMP) untuk menangani implementasi kebijakan, rencana, dan prosedur yang akan diterapkan pada manajemen kredensi akun portal pelanggan pemilik misi. N/A N/A Tidak tercakup
2.1.4.2 TCCM akan mengumpulkan, mengaudit, dan mengarsipkan semua log aktivitas Portal Pelanggan dan peringatan.

AWS CloudTrail

CloudWatch Log Amazon

 N/A Tercakup
2.1.4.3 TCCM harus memastikan peringatan log aktivitas dibagikan dengan, diteruskan ke, atau diambil oleh pengguna istimewa DoD yang terlibat dalam aktivitas MCP dan BCP.

AWS CloudTrail

CloudWatch Log

Layanan Pemberitahuan Sederhana Amazon (Amazon SNS)

CloudWatch Wawasan Log

 N/A Tercakup
2.1.4.4 TCCM harus, sebagaimana diperlukan untuk berbagi informasi, membuat akun akses repositori log untuk akses ke data log aktivitas oleh pengguna istimewa yang melakukan aktivitas MCP dan BCP.

AWS CloudTrail

CloudWatch Log

Amazon SNS

CloudWatch Wawasan Log

 N/A Tercakup
2.1.4.5 TCCM harus memulihkan dan mengontrol kredenal akun portal pelanggan dengan aman sebelum konektivitas aplikasi misi ke DISN. AWS IAM Identity Center N/A Tercakup
2.1.4.6 TCCM harus membuat, mengeluarkan, dan mencabut, jika perlu, akses berbasis peran kredenal portal pelanggan yang paling tidak memiliki hak istimewa kepada aplikasi pemilik misi dan administrator sistem (yaitu, pengguna istimewa DoD).

AWS Identity and Access Management (IAM)

AWS Directory Service for Microsoft Active Directory

 N/A Tercakup

 

Untuk memungkinkan TCCM memenuhi persyaratan, LZA menggunakan kontrol sumber daya terprogram melalui layanan IAM. Anda juga dapat menggabungkan IAM dengan AWS Managed Microsoft AD untuk menerapkan sistem masuk tunggal ke direktori lain. Ini mengikat AWS lingkungan Anda dengan infrastruktur lokal Anda dengan trust Active Directory.  Di LZA, implementasi diterapkan dengan peran IAM untuk peran IAM akses sementara berbasis sesi adalah kredensil berumur pendek yang membantu organisasi Anda memenuhi persyaratan TCCM yang diperlukan.

Meskipun LZA menerapkan akses hak istimewa paling sedikit dan akses jangka pendek terprogram ke AWS sumber daya, tinjau praktik terbaik IAM untuk memastikan bahwa Anda mengikuti panduan keamanan yang direkomendasikan.

Untuk informasi selengkapnya tentang penerapan AWS Managed Microsoft AD, lihat AWS Managed Microsoft ADbagian lokakarya Active Directory on AWS Immersion Day.

Model tanggung jawab AWS bersama berlaku untuk TCCM dan LZA. LZA membangun aspek dasar kontrol akses, tetapi setiap organisasi bertanggung jawab atas konfigurasi kontrol keamanan mereka.