Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Sicherheit in AWS -Cloud-Control- API
<a name="security"></a>

Cloud-Sicherheit AWS hat höchste Priorität. Als AWS Kunde profitieren Sie von einer Rechenzentrums- und Netzwerkarchitektur, die darauf ausgelegt sind, die Anforderungen der sicherheitssensibelsten Unternehmen zu erfüllen.

Sicherheit ist eine gemeinsame Verantwortung von Ihnen AWS und Ihnen. Das [Modell der geteilten Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) beschreibt dies als Sicherheit *der* Cloud und Sicherheit *in* der Cloud:
+ **Sicherheit der Cloud** — AWS ist verantwortlich für den Schutz der Infrastruktur, auf der AWS Dienste in der ausgeführt AWS Cloud werden. AWS bietet Ihnen auch Dienste, die Sie sicher nutzen können. Externe Prüfer testen und verifizieren regelmäßig die Wirksamkeit unserer Sicherheitsmaßnahmen im Rahmen der [AWS](https://aws.amazon.com/compliance/programs/) . Weitere Informationen zu den Compliance-Programmen, die für die Cloud Control API gelten, finden Sie unter [AWS Services im Umfang nach Compliance-Programm AWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Sicherheit in der Cloud** — Ihre Verantwortung richtet sich nach dem AWS Dienst, den Sie nutzen. Sie sind auch für andere Faktoren verantwortlich, etwa für die Vertraulichkeit Ihrer Daten, für die Anforderungen Ihres Unternehmens und für die geltenden Gesetze und Vorschriften.

Die Cloud Control API erbt ihre Sicherheitsarchitektur vom Modell der AWS gemeinsamen Verantwortung CloudFormation und arbeitet innerhalb dieses Modells. Um Ihre Sicherheits- und Compliance-Ziele bei der Verwendung der Cloud Control API zu erreichen, müssen Sie CloudFormation Sicherheitskontrollen konfigurieren. Anleitungen zur Anwendung des Modells der gemeinsamen Verantwortung mit CloudFormation finden Sie im Abschnitt [Sicherheit](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/security.html) im *AWS CloudFormation Benutzerhandbuch*. Sie können auch lernen, wie Sie andere AWS Dienste nutzen können, die Ihnen helfen, Ihre API-Ressourcen und die Cloud Control API-Ressourcen zu überwachen CloudFormation und zu sichern.

## IAM-Richtlinienaktionen für die Cloud Control API
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

Sie müssen AWS Identity and Access Management (IAM-) Richtlinien erstellen und zuweisen, die einer IAM-Identität (z. B. einem Benutzer oder einer Rolle) die Erlaubnis geben, die benötigten Cloud Control API-Aktionen aufzurufen.

Im `Action` Element Ihrer IAM-Richtlinienerklärung können Sie jede API-Aktion angeben, die die Cloud Control API anbietet. Dem Namen der Aktion muss wie im folgenden Beispiel die Zeichenfolge `cloudformation:` in Kleinbuchstaben vorangestellt werden.

```
"Action": "cloudformation:CreateResource"
```

Eine Liste der Cloud Control-API-Aktionen finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für AWS -Cloud-Control- API](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudcontrolapi.html) in der *Serviceautorisierungsreferenz.*

**Beispielrichtlinie zur Verwaltung von Cloud Control API-Ressourcen**  
Im Folgenden finden Sie ein Beispiel für eine Richtlinie, die Ressourcenaktionen zum Erstellen, Lesen, Aktualisieren und Auflisten (aber nicht zum Löschen) gewährt.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement":[{
        "Effect":"Allow",
        "Action":[
            "cloudformation:CreateResource",
            "cloudformation:GetResource",
            "cloudformation:UpdateResource",
            "cloudformation:ListResources"
        ],
        "Resource":"*"
    }]
}
```

------

## Unterschiede zwischen der Cloud Control-API
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

Cloud Control API und CloudFormation weisen mehrere wichtige Unterschiede auf: 

Für IAM:
+ Die Cloud Control API unterstützt derzeit keine Berechtigungen auf Ressourcenebene, d. h. die Möglichkeit, einzelne Ressourcen in ARNs IAM-Richtlinien anzugeben.
+ Die Cloud Control API unterstützt derzeit nicht die Verwendung von dienstspezifischen Bedingungsschlüsseln in den IAM-Richtlinien, die den Zugriff auf Cloud Control API-Ressourcen steuern.

Weitere Informationen finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für AWS -Cloud-Control- API](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudcontrolapi.html) in der *Service-Autorisierungs-Referenz*.

Zusätzliche Unterschiede:
+ Die Cloud Control API unterstützt derzeit keine benutzerdefinierten Ressourcen. Informationen zu CloudFormation benutzerdefinierten Ressourcen finden Sie im *Benutzerhandbuch* unter [Erstellen einer benutzerdefinierten Bereitstellungslogik mit benutzerdefinierten Ressourcen](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/template-custom-resources.html).AWS CloudFormation 
+ Wenn Aktivitäten in der Cloud Control API auftreten und dort aufgezeichnet werden AWS CloudTrail, wird die Ereignisquelle als `cloudcontrolapi.amazonaws.com` aufgeführt. Informationen zur CloudTrail Protokollierung von Cloud Control [API-Vorgängen finden Sie unter Protokollieren von AWS CloudFormation API-Aufrufen mit AWS CloudTrail](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-api-logging-cloudtrail.html) im *AWS CloudFormation Benutzerhandbuch*.

## Beschränkung des Kontoumfangs
<a name="account-scope-limitation"></a>

Die Cloud Control API bietet eine Reihe von CRUDL-Vorgängen (Create, Read, Update, Delete, List) APIs für AWS Ressourcen. Wenn Sie die Cloud Control API verwenden, können Sie CRUDL-Operationen nur für AWS Ressourcen innerhalb Ihrer eigenen Ressourcen ausführen. AWS-Konto Sie können diese Operationen nicht für AWS Ressourcen ausführen, die anderen AWS-Konten gehören.

# Cloud Control-API und VPC-Schnittstellen-Endpunkte ()AWS PrivateLink
<a name="vpc-interface-endpoints"></a>

Sie können verwenden AWS PrivateLink , um eine private Verbindung zwischen Ihrer VPC und AWS -Cloud-Control- API herzustellen. Sie können auf die Cloud Control API zugreifen, als wäre sie in Ihrer VPC, ohne ein Internet-Gateway, ein NAT-Gerät, eine VPN-Verbindung oder Direct Connect eine Verbindung zu verwenden. Instances in Ihrer VPC benötigen keine öffentlichen IP-Adressen, um auf die Cloud Control API zuzugreifen.

Sie stellen diese private Verbindung her, indem Sie einen *Schnittstellen-Endpunkt* erstellen, der von AWS PrivateLink unterstützt wird. Wir erstellen eine Endpunkt-Netzwerkschnittstelle in jedem Subnetz, das Sie für den Schnittstellen-Endpunkt aktivieren. Dabei handelt es sich um vom Anforderer verwaltete Netzwerkschnittstellen, die als Einstiegspunkt für den Datenverkehr dienen, der für die Cloud Control API bestimmt ist. 

Die Cloud Control API unterstützt Aufrufe all ihrer API-Aktionen über den Schnittstellenendpunkt.

## Überlegungen zu Cloud Control API-VPC-Endpunkten
<a name="vpc-endpoint-considerations"></a>

*Bevor Sie einen VPC-Schnittstellen-Endpunkt für die Cloud Control API einrichten, stellen Sie zunächst sicher, dass Sie die Voraussetzungen im Thema [Zugriff auf einen AWS Dienst mithilfe eines VPC-Schnittstellen-Endpunkts](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) im AWS PrivateLink Handbuch erfüllt haben.*

## Erstellen eines VPC-Schnittstellen-Endpunkts für die Cloud Control API
<a name="vpc-endpoint-create"></a>

Sie können einen VPC-Endpunkt für die Cloud Control API entweder mit der Amazon VPC-Konsole oder mit AWS Command Line Interface ()AWS CLI erstellen. Weitere Informationen finden Sie unter [Erstellen eines VPC-Endpunkts](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) im *AWS PrivateLink -Leitfaden*.

Erstellen Sie einen Schnittstellenendpunkt für die Cloud Control API mit dem folgenden Servicenamen:
+ com.amazonaws. *region*.cloudcontrol-API

Wenn Sie privates DNS für den Endpunkt aktivieren, können Sie API-Anfragen an die Cloud Control API stellen, indem Sie deren Standard-DNS-Namen für die Region verwenden, zum Beispiel. `cloudcontrolapi.us-east-1.amazonaws.com`

Weitere Informationen finden Sie unter [Zugriff auf einen AWS -Service über einen Schnittstellen-VPC-Endpunkt](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#access-service-though-endpoint) im *Benutzerhandbuch von Amazon VPC*.

## Erstellen einer VPC-Endpunktrichtlinie für die Cloud Control API
<a name="vpc-endpoint-policy"></a>

Sie können Ihrem VPC-Endpunkt eine Endpunktrichtlinie hinzufügen, die den Zugriff auf die Cloud Control API steuert. Die Richtlinie gibt die folgenden Informationen an:
+ Prinzipal, der die Aktionen ausführen kann.
+ Aktionen, die ausgeführt werden können
+ Die Ressourcen, für die Aktionen ausgeführt werden können.

Weitere Informationen finden Sie unter [Kontrolle des Zugriffs auf VPC-Endpunkte mit Endpunktrichtlinien](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) im *AWS PrivateLink Leitfaden*.

**Wichtig**  
Die Details der VPCE-Endpunktrichtlinie werden nicht an nachgelagerte Dienste weitergegeben, die von der Cloud Control API zur Evaluierung aufgerufen werden. Aus diesem Grund werden Richtlinien, die Aktionen oder Ressourcen spezifizieren, die zu nachgelagerten Diensten gehören, nicht durchgesetzt.  
Nehmen wir beispielsweise an, Sie haben eine Amazon EC2 EC2-Instance in einer VPC-Instance mit einem VPC-Endpunkt für die Cloud Control API in einem Subnetz ohne Internetzugang erstellt. Als Nächstes fügen Sie dem VPCE die folgende VPC-Endpunktrichtlinie hinzu:  

```
{
  "Statement": [
    {
      "Action": [
        "cloudformation:*",
        "ec2:*",
        "lambda:*"
      ]
      "Effect": "Allow",
      "Principal": "*",
      "Resource": "*"
    }
  ]
}
```
Wenn ein Benutzer mit Administratorzugriff dann eine Anfrage für den Zugriff auf einen Amazon S3 S3-Bucket in der Instance sendet, wird kein Servicefehler zurückgegeben, obwohl Amazon S3 S3-Zugriff in der VPCE-Richtlinie nicht gewährt wird.

**Beispiel: VPC-Endpunktrichtlinie für Cloud Control API-Aktionen**  
Im Folgenden finden Sie ein Beispiel für eine Endpunktrichtlinie für die Cloud Control API. Wenn diese Richtlinie an einen Endpunkt angehängt ist, gewährt sie allen Prinzipalen auf allen Ressourcen Zugriff auf die aufgelisteten Cloud Control API-Aktionen. Das folgende Beispiel verweigert allen Benutzern die Berechtigung, Ressourcen über den VPC-Endpunkt zu erstellen, und gewährt vollen Zugriff auf alle anderen Aktionen im Cloud Control API-Dienst.

```
{
  "Statement": [
    {
      "Action": "cloudformation:*",
      "Effect": "Allow",
      "Principal": "*",
      "Resource": "*"
    },
    {
      "Action": "cloudformation:CreateResource",
      "Effect": "Deny",
      "Principal": "*",
      "Resource": "*"
    }
  ]
}
```

## Weitere Informationen finden Sie auch unter
<a name="see-also"></a>
+ [AWS Dienste, die sich integrieren in AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/aws-services-privatelink-support.html)

# CloudFormation Haken
<a name="security-hooks"></a>

AWS CloudFormation Hooks ist eine Funktion, mit der Sie sicherstellen können, dass Ihre AWS -Cloud-Control- API Ressourcen den bewährten Methoden Ihrer Organisation in Bezug auf Sicherheit, Betrieb und Kostenoptimierung entsprechen. Mit Hooks können Sie Code bereitstellen, der die Konfiguration Ihrer Ressourcen vor der Bereitstellung proaktiv überprüft. Wenn nicht konforme Ressourcen gefunden werden, schlägt die Cloud Control API entweder den Vorgang fehl und verhindert, dass die Ressourcen bereitgestellt werden, oder gibt eine Warnung aus und ermöglicht die Fortsetzung des Bereitstellungsvorgangs. Sie können Hooks verwenden, um Ihre Cloud Control API-Ressourcenkonfigurationen vor dem Erstellen und Aktualisieren von Vorgängen zu bewerten.

## Einen Hook zur Validierung von Cloud Control API-Ressourcenkonfigurationen erstellen
<a name="security-hooks-creating"></a>

Sie können einen Hook erstellen, um Ihre Cloud Control API-Ressourcenkonfiguration entweder mit der CloudFormation Konsole, der AWS Command Line Interface (AWS CLI) oder zu validieren CloudFormation. Weitere Informationen finden Sie unter [AWS CloudFormation Hooks erstellen und verwalten](https://docs.aws.amazon.com/cloudformation-cli/latest/hooks-userguide/creating-and-managing-hooks.html).

## Die Cloud Control-API soll validiert werden
<a name="security-hooks-targeting"></a>

Sie können Ihre CloudFormation Hooks in der Konfiguration Ihres Hooks so konfigurieren, dass `TargetOperations` sie auf `CLOUD_CONTROL` Operationen abzielen.

Weitere Informationen zur Verwendung `TargetOperations` mit Guard Hooks finden [Sie unter Write Guard-Regeln zur Auswertung von Ressourcen für Guard Hooks](https://docs.aws.amazon.com/cloudformation-cli/latest/hooks-userguide/guard-hooks-write-rules.html).

Weitere Informationen zur Verwendung `TargetOperations` mit Lambda-Hooks finden Sie unter [Lambda-Funktionen erstellen, um Ressourcen für Lambda-Hooks auszuwerten](https://docs.aws.amazon.com/cloudformation-cli/latest/hooks-userguide/lambda-hooks-create-lambda-function.html).

## Überprüfen der Ergebnisse von Hook-Aufrufen
<a name="security-hooks-reviewing"></a>

Sie können die Ergebnisse Ihres Aufrufs anzeigen, indem Sie `GetResourceRequestStatus` mit dem aufrufen. `RequestToken`