Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Cloud Credential Manager affidabile
Il Trusted Cloud Credential Manager (TCCM) è un componente dello SCCA. È responsabile della gestione delle credenziali. Quando si stabilisce il TCCM, è importante consentire l'accesso con privilegi minimi all'SCCA. Ciò può essere ottenuto utilizzando servizi di gestione delle identità e degli accessi. AWS Un componente aggiuntivo del TCCM è una connessione al Virtual Data Center Managed Services (VDMS). È possibile utilizzare questa connessione in base alle esigenze per accedere a e gestire il Console di gestione AWS TCCM.
Il TCCM è una combinazione di tecnologie e standard che regolano l'accesso a. AWS Il TCCM è considerato fondamentale per la maggior parte delle implementazioni perché controlla le autorizzazioni di accesso. La funzione TCCM non ha lo scopo di imporre requisiti unici di gestione delle identità al fornitore di servizi cloud commerciale (CSP). Il TCCM, inoltre, non vieta l'uso della federazione DoD CSP o di soluzioni di identity broker di terze parti per fornire il controllo dell'identità previsto.
I componenti della politica TCCM si basano su una comprensione generale che CSPs offre un sistema di gestione delle identità e degli accessi che consente il controllo dell'accesso ai sistemi cloud. Tali sistemi possono includere la console di accesso, l'API e i componenti del servizio CLI (Command-Line Interface) del CSP. A livello base, il TCCM deve bloccare le credenziali che possono essere utilizzate per creare reti e altre risorse non autorizzate. Il TCCM è nominato dall'Autorizzatore (AO) incaricato della supervisione dei sistemi IT. Le politiche del TCCM stabiliscono la necessità di un modello di accesso con privilegi minimi. Queste policy sono responsabili della fornitura e del controllo delle credenziali degli utenti privilegiati nel cloud commerciale. Questo per rimanere in linea con la DoD Cloud Computing Security Requirements Guide
La tabella seguente contiene i requisiti minimi per il TCCM. Spiega se la LZA soddisfa ogni requisito e quale Servizi AWS è possibile utilizzare per soddisfarli.
| ID | Requisiti di sicurezza TCCM | AWS tecnologie | Risorse aggiuntive | Coperto da LZA |
|---|---|---|---|---|
| 2.1.4.1 | Il TCCM deve sviluppare e mantenere un Cloud Credential Management Plan (CCMP) per affrontare l'implementazione di politiche, piani e procedure che verranno applicati alla gestione delle credenziali degli account del titolare della missione nel portale clienti. | N/D | N/D | Non coperto |
| 2.1.4.2 | Il TCCM raccoglierà, controllerà e archivierà tutti i registri e gli avvisi delle attività del Customer Portal. | N/D | Coperto | |
| 2.1.4.3 | Il TCCM deve garantire che gli avvisi del registro delle attività siano condivisi, inoltrati o recuperabili dagli utenti privilegiati del DoD impegnati in attività MCP e BCP. | N/D | Coperto | |
| 2.1.4.4 | Il TCCM, se necessario per la condivisione delle informazioni, crea account di accesso all'archivio dei registri per l'accesso ai dati del registro delle attività da parte di utenti privilegiati che svolgono attività sia MCP che BCP. | N/D | Coperto | |
| 2.1.4.5 | Il TCCM recupererà e controllerà in modo sicuro le credenziali degli account del portale clienti prima della connettività dell'applicazione di missione al DISN. | AWS IAM Identity Center | N/D | Coperto |
| 2.1.4.6 | Il TCCM deve creare, emettere e revocare, se necessario, le credenziali del portale clienti con accesso meno privilegiato basato sui ruoli agli amministratori dell'applicazione e del sistema del proprietario della missione (ad esempio, utenti con privilegi DoD). | N/D | Coperto |
Per consentire al TCCM di soddisfare i requisiti, la LZA utilizza il controllo programmatico delle risorse tramite il servizio IAM. È inoltre possibile combinare IAM con AWS Managed Microsoft AD per implementare il Single Sign-On in un'altra directory. Questo collega AWS l'ambiente all'infrastruttura locale con trust di Active Directory. Nella LZA, l'implementazione viene implementata con ruoli IAM per l'accesso temporaneo e basato sulla sessione. I ruoli IAM sono credenziali di breve durata che aiutano l'organizzazione a soddisfare i requisiti TCCM necessari.
Sebbene la LZA implementi l'accesso con privilegi minimi e l'accesso programmatico a breve termine alle AWS risorse, consulta le best practice IAM per assicurarti di seguire le linee guida di sicurezza consigliate.
Per ulteriori informazioni sull'implementazione AWS Managed Microsoft AD, consulta la AWS Managed Microsoft AD
Il modello di responsabilitàAWS condivisa
