本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
可信云凭证管理器
可信云凭证管理器 (TCCM) 是 SCCA 的组成部分。它负责凭证管理。在建立 TCCM 时,重要的是要允许最低权限访问 SCCA。这可以通过使用 AWS 身份和访问管理服务来实现。TCCM 的另一个组成部分是与虚拟数据中心托管服务 (VDMS) 的连接。您可以根据需要使用此连接来访问 AWS 管理控制台 以管理 TCCM。
TCCM 是管理访问权限的技术和标准的组合。 AWS TCCM 被认为对大多数实现至关重要,因为它可以控制访问权限。TCCM 功能并不是为了向商业云服务提供商 (CSP) 提出独特的身份管理要求。TCCM 也不禁止使用国防部 CSP 联盟或第三方身份代理解决方案来提供预期的身份控制。
TCCM 策略组件基于一般理解,该理解 CSPs 提供了一个允许控制对云系统的访问的身份和访问管理系统。此类系统可以包括 CSP 的访问控制台、API 和命令行接口 (CLI) 服务组件。在基本级别,TCCM 必须锁定可用于创建未经授权的网络和其他资源的凭证。TCCM 由负责监督信息技术系统的授权官员 (AO) 任命。TCCM 策略规定了对最低权限访问模式的需求。这些政策负责在商用云中提供和控制特权用户凭证。这是为了与国防部云计算安全要求指南保持一致,该指南
下表包含 TCCM 的最低要求。它解释了 LZA 是否满足了每项要求,以及 AWS 服务 您可以使用哪些要求来满足这些要求。
| ID | TCCM 安全要求 | AWS 技术 | 其他资源 | 由 LZA 承保 |
|---|---|---|---|---|
| 2.1.4.1 | TCCM 应制定和维护云凭证管理计划 (CCMP),以解决适用于任务所有者客户门户网站账户凭证管理的政策、计划和程序的实施问题。 | 不适用 | 不适用 | 未覆盖 |
| 2.1.4.2 | TCCM 应收集、审计和存档所有客户门户活动日志和警报。 | 不适用 | 已覆盖 | |
| 2.1.4.3 | TCCM 应确保与参与 MCP 和 BCP 活动的国防部特权用户共享、转发给或检索活动日志警报。 | 不适用 | 已覆盖 | |
| 2.1.4.4 | 根据信息共享的需要,TCCM 应创建日志存储库访问帐户,以便同时执行 MCP 和 BCP 活动的特权用户访问活动日志数据。 | 不适用 | 已覆盖 | |
| 2.1.4.5 | 在任务应用程序连接到DISN之前,TCCM应恢复并安全地控制客户门户网站的账户凭证。 | AWS IAM Identity Center | 不适用 | 已覆盖 |
| 2.1.4.6 | TCCM 应根据需要为任务所有者应用程序和系统管理员(即国防部特权用户)创建、颁发和撤销基于角色的访问权限最低的客户门户凭证。 | 不适用 | 已覆盖 |
为了使 TCCM 能够满足要求,LZA 通过 IAM 服务对资源进行编程控制。此外,您还可以将 IAM 与结合使用 AWS Managed Microsoft AD 以实现对另一个目录的单点登录。这会通过 Active Directory 信任将您的 AWS 环境与本地基础设施联系起来。 在 LZA 中,实施是使用 IAM 角色部署的,用于基于会话的临时访问 IAM 角色是短期证书,可帮助您的组织满足必要的 TCCM 要求。
尽管 LZA 实施了最低权限访问权限和编程短期 AWS 资源访问权限,但请查看 IAM 最佳实践,确保您遵循推荐的安全指南。
有关实施的更多信息 AWS Managed Microsoft AD,请参阅 AWS Immersion Day 活动目录研讨会的AWS Managed Microsoft AD
分AWS 担责任模式
