신뢰할 수 있는 클라우드 자격 증명 관리자

Trusted Cloud Credential Manager(TCCM)는 SCCA의 구성 요소입니다. 자격 증명 관리를 담당합니다. TCCM을 설정할 때 SCCA에 대한 최소 권한 액세스를 허용하는 것이 중요합니다. 이는 AWS 자격 증명 및 액세스 관리 서비스를 사용하여 수행할 수 있습니다. TCCM의 추가 구성 요소는 가상 데이터 센터 관리형 서비스(VDMS)에 대한 연결입니다. 필요에 따라이 연결을 사용하여에 액세스 AWS Management Console 하여 TCCM을 관리할 수 있습니다.

TCCM은에 대한 액세스를 관리하는 기술과 표준의 조합입니다 AWS. TCCM은 액세스 권한을 제어하기 때문에 대부분의 구현에 중요한 것으로 간주됩니다. TCCM 함수는 상용 클라우드 서비스 제공업체(CSP)에 고유한 자격 증명 관리 요구 사항을 적용하기 위한 것이 아닙니다. 또한 TCCM은 DoD CSP 페더레이션 또는 타사 ID 브로커 솔루션을 사용하여 의도한 ID 제어를 제공하는 것을 금지하지 않습니다.

TCCM 정책 구성 요소는 CSPs가 클라우드 시스템에 대한 액세스를 제어할 수 있는 ID 및 액세스 관리 시스템을 제공한다는 일반적인 이해를 기반으로 합니다. 이러한 시스템에는 CSP의 액세스 콘솔, API 및 CLI(명령줄 인터페이스) 서비스 구성 요소가 포함될 수 있습니다. 기본 수준에서 TCCM은 승인되지 않은 네트워크 및 기타 리소스를 생성하는 데 사용할 수 있는 자격 증명을 잠가야 합니다. TCCM은 IT 시스템 감독을 담당하는 권한 부여 담당자(AO)가 지정합니다. TCCM 정책은 최소 권한 액세스 모델의 필요성을 설정합니다. 이러한 정책은 상용 클라우드에서 권한이 있는 사용자 자격 증명을 제공하고 제어할 책임이 있습니다. 이는 포털 계정 자격 증명을 관리하기 위한 정책, 계획 및 절차의 구현을 다루는 DoD 클라우드 컴퓨팅 보안 요구 사항 안내서를 준수하기 위한 것입니다. 방어 정보 시스템 네트워크(DISN)에 연결하기 전에 DISA는 연결 프로세스 가이드에 정의된 연결 승인 프로세스의 일부로 클라우드 자격 증명 관리 계획(CCMP)이 있는지 확인합니다.

다음 표에는 TCCM에 대한 최소 요구 사항이 나와 있습니다. LZA가 각 요구 사항을 해결하는지 여부와 이러한 요구 사항을 충족하는 데 사용할 수 있는 항목에 AWS 서비스 대해 설명합니다.

TCCM이 요구 사항을 충족할 수 있도록 LZA는 IAM 서비스를 통해 프로그래밍 방식으로 리소스를 제어합니다. IAM을와 추가로 결합하여 다른 디렉터리 AWS Managed Microsoft AD 에 Single Sign-On을 구현할 수 있습니다. 이렇게 하면 Active Directory 신뢰 관계를 통해 환경을 AWS 온프레미스 인프라에 연결할 수 있습니다.  LZA에서 구현은 임시 세션 기반 액세스 IAM 역할을 위한  IAM 역할과 함께 배포되며, 이는 조직이 필요한 TCCM 요구 사항을 충족하는 데 도움이 되는 단기 보안 인증입니다.

LZA는 최소 권한 액세스 및 AWS 리소스에 대한 프로그래밍 방식의 단기 액세스를 구현하지만 IAM 모범 사례를 검토하여 권장 보안 지침을 준수하는지 확인합니다.

구현에 대한 자세한 내용은 AWS Immersion Day 워크숍의 Active Directory AWS Managed Microsoft AD 섹션을 AWS Managed Microsoft AD참조하세요.

AWS 공동 책임 모델은 TCCM 및 LZA에 적용됩니다. LZA는 액세스 제어의 기본 측면을 구축하지만 각 조직은 보안 제어 구성을 담당합니다.