As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Gerenciador de credenciais de nuvem confiável
<a name="tccm"></a>

O Trusted Cloud Credential Manager (TCCM) é um componente do SCCA. É responsável pelo gerenciamento de credenciais. Ao estabelecer o TCCM, é importante permitir o acesso com [privilégios mínimos ao SCCA](apg-gloss.md#glossary-least-privilege). Isso pode ser feito usando serviços de gerenciamento de AWS identidade e acesso. Um componente adicional do TCCM é uma conexão com o Virtual Data Center Managed Services (VDMS). Você pode usar essa conexão conforme necessário para acessar o Console de gerenciamento da AWS para gerenciar o TCCM.

O TCCM é uma combinação de tecnologias e padrões que regem o acesso a. AWS O TCCM é considerado essencial para a maioria das implementações porque controla as permissões de acesso. A função TCCM não se destina a impor requisitos exclusivos de gerenciamento de identidade ao provedor comercial de serviços em nuvem (CSP). O TCCM também não proíbe o uso da federação de CSP do DoD ou de soluções de intermediação de identidade de terceiros para fornecer o controle de identidade pretendido.

Os componentes da política do TCCM são baseados em um entendimento geral que CSPs oferece um sistema de gerenciamento de identidade e acesso que permite o controle do acesso aos sistemas em nuvem. Esses sistemas podem incluir o console de acesso, a API e os componentes de serviço da interface de linha de comando (CLI) do CSP. No nível básico, o TCCM deve bloquear as credenciais que podem ser usadas para criar redes não autorizadas e outros recursos. O TCCM é nomeado pelo Oficial Autorizador (AO) encarregado de supervisionar os sistemas de TI. As políticas do TCCM estabelecem a necessidade de um modelo de acesso com privilégios mínimos. Essas políticas são responsáveis pelo fornecimento e controle de credenciais de usuários privilegiados na nuvem comercial. Isso é para se manter alinhado com o Guia de [Requisitos de Segurança de Computação em Nuvem do DoD](https://public.cyber.mil/dccs/dccs-documents/), que aborda a implementação de políticas, planos e procedimentos para gerenciar suas credenciais de conta do portal. [Antes da conexão com a Rede de Sistemas de Informação de Defesa (DISN), a DISA valida a existência do Plano de Gerenciamento de Credenciais de Nuvem (CCMP) como parte do processo de aprovação de conexão definido no Guia do Processo de Conexão.](https://dl.dod.cyber.mil/wp-content/uploads/connect/CPG/ConnProcGuide.html)

A tabela a seguir contém os requisitos mínimos para o TCCM. Ele explica se o LZA atende a cada requisito e qual Serviços da AWS você pode usar para atender a esses requisitos.


****  

| ID | Requisitos de segurança do TCCM | AWS tecnologias | Recursos adicionais do  | Coberto pela LZA | 
| --- | --- | --- | --- | --- | 
| 2.1.4.1 | O TCCM desenvolverá e manterá um Plano de Gerenciamento de Credenciais em Nuvem (CCMP) para abordar a implementação de políticas, planos e procedimentos que serão aplicados ao gerenciamento de credenciais da conta do portal do cliente do proprietário da missão. | N/D | N/D | Não coberto | 
| 2.1.4.2 | O TCCM deve coletar, auditar e arquivar todos os registros e alertas de atividades do Portal do Cliente. | [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)<br />[ CloudWatch Registros da Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) | N/D | Coberto | 
| 2.1.4.3 | O TCCM deve garantir que os alertas do registro de atividades sejam compartilhados, encaminhados ou recuperáveis por usuários privilegiados do DoD envolvidos em atividades de MCP e BCP. | [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)<br />[CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html)<br />[Amazon Simple Notification Service (Amazon SNS)](https://docs.aws.amazon.com/sns/latest/dg/welcome.html)<br />[CloudWatch Informações sobre registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) | N/D | Coberto | 
| 2.1.4.4 | O TCCM deve, conforme necessário para o compartilhamento de informações, criar contas de acesso ao repositório de registros para acesso aos dados do registro de atividades por usuários privilegiados que realizam atividades de MCP e BCP. | [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)<br />[CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html)<br />[Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/welcome.html)<br />[CloudWatch Informações sobre registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) | N/D | Coberto | 
| 2.1.4.5 | O TCCM deve recuperar e controlar com segurança as credenciais da conta do portal do cliente antes da conectividade do aplicativo da missão com o DISN. | [Centro de Identidade do AWS IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) | N/D | Coberto | 
| 2.1.4.6 | O TCCM deve criar, emitir e revogar, conforme necessário, credenciais de acesso menos privilegiado do portal do cliente baseado em funções para administradores de aplicativos e sistemas do proprietário da missão (ou seja, usuários privilegiados do DoD). | [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html)<br />[AWS Directory Service for Microsoft Active Directory](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html) | N/D | Coberto | 

 

Para permitir que o TCCM atenda aos requisitos, o LZA usa o controle programático dos recursos por meio do serviço IAM. Além disso, você pode combinar o IAM com AWS Managed Microsoft AD para implementar o login único em outro diretório. Isso vincula seu AWS ambiente à sua infraestrutura local com relações de confiança do Active Directory.  No LZA, a implementação é implantada com funções do IAM para acesso temporário baseado em sessão. As funções do IAM são credenciais de curta duração que ajudam sua organização a atender aos requisitos necessários do TCCM.

Embora o LZA implemente o acesso com privilégios mínimos e o acesso programático de curto prazo aos AWS recursos, analise as [melhores práticas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) para garantir que você siga as diretrizes de segurança recomendadas.

Para obter mais informações sobre a implementação AWS Managed Microsoft AD, consulte a [AWS Managed Microsoft AD](https://catalog.workshops.aws/ad-id/en-US/1-aws-managed-microsoft-ad/deploymgmt)seção do workshop do *Active Directory no AWS Immersion Day*.

O [modelo de responsabilidade AWS compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) se aplica ao TCCM e ao LZA. O LZA cria os aspectos fundamentais do controle de acesso, mas cada organização é responsável pela configuração de seus controles de segurança.