本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 中的安全性 AWS 雲端控制 API
<a name="security"></a>

的雲端安全性 AWS 是最高優先順序。身為 AWS 客戶，您可以受益於資料中心和網路架構，這些架構專為符合最安全敏感組織的需求而建置。

安全性是 AWS 與您之間的共同責任。[共同責任模式](https://aws.amazon.com/compliance/shared-responsibility-model/)將其描述為雲端*的*安全性，和雲端*中*的安全性：
+ **雲端的安全性** – AWS 負責保護在 中執行 AWS 服務的基礎設施 AWS 雲端。 AWS 也為您提供可安全使用的服務。在[AWS 合規計畫](https://aws.amazon.com/compliance/programs/)中，第三方稽核人員會定期測試和驗證我們的安全有效性。若要了解適用於雲端控制 API 的合規計劃，請參閱[AWS 合規計劃的 服務範圍](https://aws.amazon.com/compliance/services-in-scope/)。
+ **雲端的安全性** – 您的責任取決於您使用 AWS 的服務。您也必須對其他因素負責，包括資料的機密性、您公司的要求和適用法律和法規。

Cloud Control API 繼承其安全架構， CloudFormation 並在 AWS 共同責任模型中運作。若要在使用 Cloud Control API 時達成您的安全與合規目標，您必須設定 CloudFormation 安全控制。如需使用 CloudFormation 套用共同責任模型的指引，請參閱*AWS CloudFormation 《 使用者指南*》中的[安全性](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/security.html)一節。您也可以了解如何使用其他 AWS 服務來協助您監控和保護 CloudFormation 和 Cloud Control API 資源。

## Cloud Control API 的 IAM 政策動作
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

您必須建立並指派 AWS Identity and Access Management (IAM) 政策，授予 IAM 身分 （例如使用者或角色） 呼叫其所需 Cloud Control API 動作的許可。

在 IAM 政策陳述式的 `Action`元素中，您可以指定 Cloud Control API 提供的任何 API 動作。您必須以小寫字串 `cloudformation:` 做為動作名稱的字首，如下列範例所示。

```
"Action": "cloudformation:CreateResource"
```

若要查看 Cloud Control API 動作的清單，請參閱*《服務授權參考*》中的 [的動作、資源和條件索引鍵 AWS 雲端控制 API](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudcontrolapi.html)。

**管理 Cloud Control API 資源的範例政策**  
以下顯示授予建立、讀取、更新和列出 （但不刪除） 資源動作的政策範例。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement":[{
        "Effect":"Allow",
        "Action":[
            "cloudformation:CreateResource",
            "cloudformation:GetResource",
            "cloudformation:UpdateResource",
            "cloudformation:ListResources"
        ],
        "Resource":"*"
    }]
}
```

------

## 雲端控制 API 差異
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

Cloud Control API 和 CloudFormation 有幾個重要的差異：

對於 IAM：
+ Cloud Control API 目前不支援資源層級許可，即能夠使用 ARNs 在 IAM 政策中指定個別資源。
+ Cloud Control API 目前不支援在控制 Cloud Control API 資源存取的 IAM 政策中使用服務特定條件金鑰。

如需詳細資訊，請參閱*服務授權參考*中的 [AWS 雲端控制 API的動作、資源和條件索引鍵](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudcontrolapi.html)。

其他差異：
+ 雲端控制 API 目前不支援自訂資源。如需有關 CloudFormation 自訂資源的資訊，請參閱*AWS CloudFormation *[《 使用者指南》中的使用自訂資源建立自訂佈建邏輯](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/template-custom-resources.html)。
+ 當活動在 Cloud Control API 中發生且記錄在 中時 AWS CloudTrail，事件來源會列為 `cloudcontrolapi.amazonaws.com`。如需 Cloud Control API 操作的 CloudTrail 記錄資訊，請參閱*AWS CloudFormation 《 使用者指南*》中的[使用 記錄 AWS CloudFormation API 呼叫 AWS CloudTrail](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-api-logging-cloudtrail.html)。

## 帳戶範圍限制
<a name="account-scope-limitation"></a>

Cloud Control API 提供一組 APIs用於對 AWS 資源執行 CRUDL （建立、讀取、更新、刪除、列出） 操作。使用 Cloud Control API 時，您只能對自己的 AWS 資源執行 CRUDL 操作 AWS 帳戶。您無法對 AWS 屬於其他 的資源執行這些操作 AWS 帳戶。