Trusted Cloud 認証情報マネージャー

Trusted Cloud Credential Manager (TCCM) は、SCCA のコンポーネントです。認証情報の管理を担当します。TCCM を確立するときは、SCCA への最小特権アクセスを許可することが重要です。これは、 AWS ID およびアクセス管理サービスを使用して実現できます。TCCM の追加コンポーネントは、Virtual Data Center Managed Services (VDMS) への接続です。必要に応じてこの接続を使用して にアクセスし、TCCM AWS マネジメントコンソール を管理できます。

TCCM は、 へのアクセスを管理するテクノロジーと標準の両方を組み合わせたものです AWS。TCCM はアクセス許可を制御するため、ほとんどの実装では重要です。TCCM 関数は、商用クラウドサービスプロバイダー (CSP) に一意の ID 管理要件を設定することを目的としたものではありません。TCCM は、DoD CSP フェデレーションまたはサードパーティーの ID ブローカーソリューションを使用して、意図した ID コントロールを提供することも禁止していません。

TCCM ポリシーコンポーネントは、CSPs がクラウドシステムへのアクセスの制御を可能にする ID およびアクセス管理システムを提供しているという一般的な理解に基づいています。このようなシステムには、CSP のアクセスコンソール、API、コマンドラインインターフェイス (CLI) サービスコンポーネントを含めることができます。基本レベルでは、TCCM は不正なネットワークやその他のリソースを作成するために使用できる認証情報をロックダウンする必要があります。TCCM は、IT システムの監視を担当する認可役人 (AO) によって指定されます。TCCM ポリシーは、最小特権アクセスモデルの必要性を確立します。これらのポリシーは、商用クラウドでの特権ユーザー認証情報のプロビジョニングと管理 を担当します。これは、ポータルアカウントの認証情報を管理するためのポリシー、計画、および手順の実装について説明する DoD クラウドコンピューティングセキュリティ要件ガイドに沿っているためです。防衛情報システムネットワーク (DISN) に接続する前に、DISA は接続プロセスガイドで定義されている接続承認プロセスの一環として、クラウド認証情報管理計画 (CCMP) の存在を検証します。

次の表に、TCCM の最小要件を示します。LZA が各要件を満たすかどうか、およびこれらの要件を満たすために AWS のサービス 使用できるものについて説明します。

TCCM が要件を満たすために、LZA は IAM サービスを通じてリソースをプログラムで制御します。さらに、IAM を と組み合わせて AWS Managed Microsoft AD 、別のディレクトリへのシングルサインオンを実装することもできます。これにより、 AWS Active Directory の信頼により、環境がオンプレミスインフラストラクチャに結び付けられます。 LZA では、一時的なセッションベースのアクセス用の IAM ロールを使用して実装がデプロイされます。 IAM ロールは、組織が必要な TCCM 要件を満たすのに役立つ短期間の認証情報です。

LZA は最小特権アクセスと AWS リソースへのプログラムによる短期アクセスを実装していますが、IAM のベストプラクティスを確認して、推奨されるセキュリティガイダンスに従っていることを確認してください。

の実装の詳細については AWS Managed Microsoft AD、AWS Immersion Day ワークショップの「Active DirectoryAWS Managed Microsoft AD」セクションを参照してください。

責任AWS 共有モデルは、TCCM と LZA に適用されます。LZA はアクセスコントロールの基本的側面を構築しますが、各組織はセキュリティコントロールの設定を担当します。