本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
信任的雲端登入資料管理員
Trusted Cloud Credential Manager (TCCM) 是 SCCA 的元件。它負責憑證管理。建立 TCCM 時,請務必允許最低權限存取 SCCA。這可以透過使用 AWS 身分和存取管理服務來完成。TCCM 的另一個元件是虛擬資料中心受管服務 (VDMS) 的連線。您可以視需要使用此連線來存取 AWS 管理主控台 來管理 TCCM。
TCCM 是同時管理 存取的技術和標準的組合 AWS。TCCM 被視為對大多數實作至關重要,因為它控制存取許可。TCCM 函數不適用於對商業雲端服務提供者 (CSP) 提出唯一的身分管理要求。TCCM 也不會禁止使用 DoD CSP 聯合或第三方身分代理程式解決方案來提供預期的身分控制。
TCCM 政策元件是以 CSPs 提供身分和存取管理系統的一般理解為基礎,允許控制對雲端系統的存取。這類系統可以包含 CSP 的存取主控台、API 和命令列界面 (CLI) 服務元件。在基本層級,TCCM 必須鎖定可用於建立未經授權網路和其他資源的登入資料。TCCM 由負責監督 IT 系統的授權主管 (AO) 指定。TCCM 政策需要最低權限的存取模型。這些政策 負責在商業雲端中佈建和控制特殊權限使用者登入資料。這是為了與 DoD 雲端運算安全需求指南
下表包含 TCCM 的最低需求。它說明 LZA 是否滿足每個要求,以及 AWS 服務 您可以用來滿足這些要求。
| ID | TCCM 安全需求 | AWS 技術 | 其他資源 | LZA 涵蓋 |
|---|---|---|---|---|
| 2.1.4.1 | TCCM 應開發和維護雲端登入資料管理計劃 (CCMP),以解決將套用至任務擁有者客戶入口網站帳戶登入資料管理的政策、計劃和程序實作。 | N/A | N/A | 未涵蓋 |
| 2.1.4.2 | TCCM 應收集、稽核和封存所有客戶入口網站活動日誌和提醒。 | N/A | 涵蓋 | |
| 2.1.4.3 | TCCM 應確保與參與 MCP 和 BCP 活動的 DoD 特殊權限使用者共用、轉送或擷取活動日誌提醒。 | N/A | 涵蓋 | |
| 2.1.4.4 | TCCM 應視需要建立日誌儲存庫存取帳戶,以便執行 MCP 和 BCP 活動的特權使用者存取活動日誌資料。 | N/A | 涵蓋 | |
| 2.1.4.5 | 在任務應用程式連線至 DISN 之前,TCCM 應復原並安全地控制客戶入口網站帳戶憑證。 | AWS IAM Identity Center | N/A | 涵蓋 |
| 2.1.4.6 | TCCM 應視需要建立、發行和撤銷任務擁有者應用程式和系統管理員 (即 DoD 特殊權限使用者) 的角色型存取最低特殊權限客戶入口網站憑證。 | N/A | 涵蓋 |
為了讓 TCCM 符合需求,LZA 透過 IAM 服務使用資源的程式設計控制。您也可以將 IAM 與 結合 AWS Managed Microsoft AD ,以實作對另一個目錄的單一登入。這使用 AWS Active Directory 信任將您的環境連結至您的內部部署基礎設施。 在 LZA 中,實作是使用 IAM 角色部署的臨時工作階段型存取 IAM 角色是短期憑證,可協助您的組織滿足必要的 TCCM 需求。
雖然 LZA 實作最低權限存取和程式設計的短期 AWS 資源存取,但請檢閱 IAM 最佳實務,以確保您遵循建議的安全指引。
如需實作的詳細資訊 AWS Managed Microsoft AD,請參閱 AWS Immersion Day 上的 Active Directory 研討會AWS Managed Microsoft AD
AWS 共同責任模型
