AWS Cloud Control API中的安全性

云安全 AWS 是重中之重。作为 AWS 客户，您可以从专为满足大多数安全敏感型组织的要求而构建的数据中心和网络架构中受益。

安全是双方共同承担 AWS 的责任。责任共担模式将此描述为云的安全性和云中的安全性：

• 云安全 — AWS 负责保护在云中运行 AWS 服务的基础架构 AWS Cloud。 AWS 还为您提供可以安全使用的服务。作为AWS 合规计划合规计划合规计划合的一部分，第三方审计师定期测试和验证我们安全的有效性。要了解适用于 Cloud Control 的合规性计划API，请参阅AWS 按合规计划划分的范围内AWS 服务按合规计划。

• 云端安全-您的责任由您使用的 AWS 服务决定。您还需要对其他因素负责，包括您的数据的敏感性、您公司的要求以及适用的法律法规。

AWS CloudFormation 为 Cloud Control 提供了安全架构API；因此，在使用 Cloud Control 时，您需要进行配置 CloudFormation 以满足您的安全和合规性目标API。请参阅《AWS CloudFormation 用户指南》中的 “安全” 部分，以帮助您了解在使用时如何应用分担责任模型 AWS CloudFormation。您还可以学习如何使用其他 AWS 服务来帮助您监控和保护您的资源 AWS CloudFormation 和 Cloud Control API 资源。

在解决安全性和合规性问题 CloudFormation 时，请注意以下方面 Cloud Control 的API不同之处：

• 对于 AWS Identity and Access Management (IAM) 集成：

  • 在IAM策略中，云控制API操作以"cloudformation"前缀指定。

    例如，以下策略允许执行创建、读取、更新和列出（但不包括删除）资源操作。

    {
        "Version":"2012-10-17",
        "Statement":[{
            "Effect":"Allow",
            "Action":[
                "cloudformation:CreateResource",
                "cloudformation:GetResource",
                "cloudformation:UpdateResource",
                "cloudformation:ListResources"
            ],
            "Resource":"*"
        }]
    }

  • Cloud Control 目前API不支持CloudFormation 资源级权限。

  • Cloud Control 目前API不支持使用CloudFormation 条件。

  有关更多信息，请参阅《AWS CloudFormation 用户指南》中的使用 AWS Identity and Access Management控制访问。

• Cloud Control 目前API不支持自定义资源。

• 当活动在 Cloud Control 中发生API并记录在中时 AWS CloudTrail，事件源将列为cloudcontrolapi.amazonaws.com。

  有关更多信息，请参阅《AWS CloudFormation 用户指南》 AWS CloudTrail中的使用记录 AWS CloudFormation API通话。