As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Gerenciador de credenciais de nuvem confiável
O Trusted Cloud Credential Manager (TCCM) é um componente do SCCA. É responsável pelo gerenciamento de credenciais. Ao estabelecer o TCCM, é importante permitir o acesso com privilégios mínimos ao SCCA. Isso pode ser feito usando serviços de gerenciamento de AWS identidade e acesso. Um componente adicional do TCCM é uma conexão com o Virtual Data Center Managed Services (VDMS). Você pode usar essa conexão conforme necessário para acessar o Console de gerenciamento da AWS para gerenciar o TCCM.
O TCCM é uma combinação de tecnologias e padrões que regem o acesso a. AWS O TCCM é considerado essencial para a maioria das implementações porque controla as permissões de acesso. A função TCCM não se destina a impor requisitos exclusivos de gerenciamento de identidade ao provedor comercial de serviços em nuvem (CSP). O TCCM também não proíbe o uso da federação de CSP do DoD ou de soluções de intermediação de identidade de terceiros para fornecer o controle de identidade pretendido.
Os componentes da política do TCCM são baseados em um entendimento geral que CSPs oferece um sistema de gerenciamento de identidade e acesso que permite o controle do acesso aos sistemas em nuvem. Esses sistemas podem incluir o console de acesso, a API e os componentes de serviço da interface de linha de comando (CLI) do CSP. No nível básico, o TCCM deve bloquear as credenciais que podem ser usadas para criar redes não autorizadas e outros recursos. O TCCM é nomeado pelo Oficial Autorizador (AO) encarregado de supervisionar os sistemas de TI. As políticas do TCCM estabelecem a necessidade de um modelo de acesso com privilégios mínimos. Essas políticas são responsáveis pelo fornecimento e controle de credenciais de usuários privilegiados na nuvem comercial. Isso é para se manter alinhado com o Guia de Requisitos de Segurança de Computação em Nuvem do DoD
A tabela a seguir contém os requisitos mínimos para o TCCM. Ele explica se o LZA atende a cada requisito e qual Serviços da AWS você pode usar para atender a esses requisitos.
| ID | Requisitos de segurança do TCCM | AWS tecnologias | Recursos adicionais do | Coberto pela LZA |
|---|---|---|---|---|
| 2.1.4.1 | O TCCM desenvolverá e manterá um Plano de Gerenciamento de Credenciais em Nuvem (CCMP) para abordar a implementação de políticas, planos e procedimentos que serão aplicados ao gerenciamento de credenciais da conta do portal do cliente do proprietário da missão. | N/D | N/D | Não coberto |
| 2.1.4.2 | O TCCM deve coletar, auditar e arquivar todos os registros e alertas de atividades do Portal do Cliente. | N/D | Coberto | |
| 2.1.4.3 | O TCCM deve garantir que os alertas do registro de atividades sejam compartilhados, encaminhados ou recuperáveis por usuários privilegiados do DoD envolvidos em atividades de MCP e BCP. | N/D | Coberto | |
| 2.1.4.4 | O TCCM deve, conforme necessário para o compartilhamento de informações, criar contas de acesso ao repositório de registros para acesso aos dados do registro de atividades por usuários privilegiados que realizam atividades de MCP e BCP. | N/D | Coberto | |
| 2.1.4.5 | O TCCM deve recuperar e controlar com segurança as credenciais da conta do portal do cliente antes da conectividade do aplicativo da missão com o DISN. | AWS IAM Identity Center | N/D | Coberto |
| 2.1.4.6 | O TCCM deve criar, emitir e revogar, conforme necessário, credenciais de acesso menos privilegiado do portal do cliente baseado em funções para administradores de aplicativos e sistemas do proprietário da missão (ou seja, usuários privilegiados do DoD). | N/D | Coberto |
Para permitir que o TCCM atenda aos requisitos, o LZA usa o controle programático dos recursos por meio do serviço IAM. Além disso, você pode combinar o IAM com AWS Managed Microsoft AD para implementar o login único em outro diretório. Isso vincula seu AWS ambiente à sua infraestrutura local com relações de confiança do Active Directory. No LZA, a implementação é implantada com funções do IAM para acesso temporário baseado em sessão. As funções do IAM são credenciais de curta duração que ajudam sua organização a atender aos requisitos necessários do TCCM.
Embora o LZA implemente o acesso com privilégios mínimos e o acesso programático de curto prazo aos AWS recursos, analise as melhores práticas do IAM para garantir que você siga as diretrizes de segurança recomendadas.
Para obter mais informações sobre a implementação AWS Managed Microsoft AD, consulte a AWS Managed Microsoft AD
O modelo de responsabilidade AWS compartilhada
