Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Seguridad en API de control de nube de AWS
<a name="security"></a>

La seguridad en la nube AWS es la máxima prioridad. Como AWS cliente, usted se beneficia de una arquitectura de centro de datos y red diseñada para cumplir con los requisitos de las organizaciones más sensibles a la seguridad.

La seguridad es una responsabilidad compartida entre usted AWS y usted. El [modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/) la describe como seguridad *de* la nube y seguridad *en* la nube:
+ **Seguridad de la nube**: AWS es responsable de proteger la infraestructura que ejecuta AWS los servicios en la Nube de AWS. AWS también le proporciona servicios que puede utilizar de forma segura. Los auditores externos prueban y verifican periódicamente la eficacia de nuestra seguridad como parte de los [AWS programas](https://aws.amazon.com/compliance/programs/) de de . Para obtener más información sobre los programas de conformidad que se aplican a la API de Cloud Control, consulte [AWS Servicios incluidos](https://aws.amazon.com/compliance/services-in-scope/) .AWS 
+ **Seguridad en la nube**: tu responsabilidad viene determinada por el AWS servicio que utilices. También es responsable de otros factores, incluida la confidencialidad de los datos, los requisitos de la empresa y la legislación y la normativa aplicables.

La API Cloud Control hereda su arquitectura de seguridad CloudFormation y funciona dentro del modelo de responsabilidad AWS compartida. Para cumplir tus objetivos de seguridad y conformidad al usar la API de Cloud Control, debes configurar los controles CloudFormation de seguridad. Para obtener orientación sobre cómo aplicar el modelo de responsabilidad compartida con CloudFormation, consulta la sección [Seguridad](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/security.html) de la *Guía del AWS CloudFormation usuario*. También puedes aprender a usar otros AWS servicios que te ayudan a monitorear y proteger tus CloudFormation recursos y los de la API de Cloud Control.

## Acciones políticas de IAM para la API de Cloud Control
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

Debes crear y asignar políticas AWS Identity and Access Management (de IAM) que den permiso a una identidad de IAM (como un usuario o un rol) para llamar a la API de Cloud Control a las acciones que necesite.

En el `Action` elemento de tu declaración de política de IAM, puedes especificar cualquier acción de API que ofrezca la API de Cloud Control. El nombre de la acción debe llevar como prefijo la cadena en minúsculas `cloudformation:`, tal y como se muestra en el ejemplo siguiente.

```
"Action": "cloudformation:CreateResource"
```

Para ver una lista de las acciones de la API de Cloud Control, consulta [las acciones, los recursos y las claves de condición de API de control de nube de AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudcontrolapi.html) la *referencia de autorización de servicios*.

**Ejemplo de política para administrar los recursos de la API de Cloud Control**  
A continuación, se muestra un ejemplo de una política que permite crear, leer, actualizar y enumerar (pero no eliminar) recursos.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement":[{
        "Effect":"Allow",
        "Action":[
            "cloudformation:CreateResource",
            "cloudformation:GetResource",
            "cloudformation:UpdateResource",
            "cloudformation:ListResources"
        ],
        "Resource":"*"
    }]
}
```

------

## Diferencias en la API de Cloud Control
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

La API Cloud Control y la API CloudFormation tienen varias diferencias importantes: 

En el caso de IAM:
+ La API de Cloud Control actualmente no admite permisos a nivel de recursos, es decir, la capacidad de usar ARNs para especificar recursos individuales en las políticas de IAM.
+ Actualmente, la API de Cloud Control no admite el uso de claves de condición específicas del servicio en las políticas de IAM que controlan el acceso a los recursos de la API de Cloud Control.

Para obtener más información, consulte [Acciones, recursos y claves de condición de API de control de nube de AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudcontrolapi.html) en la *Referencia de autorizaciones de servicio*.

Diferencias adicionales:
+ Actualmente, la API de Cloud Control no admite recursos personalizados. Para obtener información sobre los recursos CloudFormation personalizados, consulta Cómo [crear una lógica de aprovisionamiento personalizada con recursos personalizados](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/template-custom-resources.html) en la *Guía del AWS CloudFormation usuario*.
+ Cuando la actividad se produce en la API de Cloud Control y se registra en AWS CloudTrail ella, la fuente del evento aparece como`cloudcontrolapi.amazonaws.com`. Para obtener información sobre cómo CloudTrail registrar las operaciones de la API de Cloud Control, consulta [Cómo registrar las llamadas a la AWS CloudFormation API AWS CloudTrail](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-api-logging-cloudtrail.html) en la *Guía del AWS CloudFormation usuario*.

## Limitación del alcance de la cuenta
<a name="account-scope-limitation"></a>

La API de Cloud Control proporciona un conjunto APIs de operaciones CRUDL (crear, leer, actualizar, eliminar, enumerar) en AWS los recursos. Al usar la API de Cloud Control, solo puedes realizar operaciones de CRUDL en AWS recursos propios. Cuenta de AWS No puedes realizar estas operaciones en AWS recursos que pertenecen a otros Cuentas de AWS.

# API de Cloud Control y puntos finales de VPC de interfaz ()AWS PrivateLink
<a name="vpc-interface-endpoints"></a>

Puede usarlo AWS PrivateLink para crear una conexión privada entre su VPC y. API de control de nube de AWS Puedes acceder a la API de Cloud Control como si estuviera en tu VPC, sin usar una puerta de enlace a Internet, un dispositivo NAT, una conexión VPN o Direct Connect una conexión. Las instancias de tu VPC no necesitan direcciones IP públicas para acceder a la API de Cloud Control.

Esta conexión privada se establece mediante la creación de un *punto de conexión de interfaz* alimentado por AWS PrivateLink. Creamos una interfaz de red de punto de conexión en cada subred habilitada para el punto de conexión de interfaz. Se trata de interfaces de red administradas por el solicitante que sirven como punto de entrada para el tráfico destinado a la API de Cloud Control. 

La API de Cloud Control permite realizar llamadas a todas sus acciones de API a través del punto final de la interfaz.

## Consideraciones para los puntos de conexión de VPC de la API de control en la nube
<a name="vpc-endpoint-considerations"></a>

*Antes de configurar un punto de enlace de VPC de interfaz para la API de Cloud Control, asegúrate primero de cumplir los requisitos previos del tema [Acceder a un AWS servicio mediante un punto de enlace de VPC de interfaz](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) de la Guía.AWS PrivateLink *

## Creación del punto de conexión de VPC de la interfaz para la API de control en la nube
<a name="vpc-endpoint-create"></a>

Puedes crear un punto de enlace de VPC para la API de Cloud Control mediante la consola Amazon VPC o el (). AWS Command Line Interface AWS CLI Para obtener más información, consulte [Create a VPC endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) (Creación de un punto de conexión de VPC) en la *Guía de AWS PrivateLink *.

Crea un punto final de interfaz para la API de Cloud Control con el siguiente nombre de servicio:
+ com.amazonaws. *region*.cloudcontrolapi

Si activa el DNS privado para el punto de conexión, puede llevar a cabo solicitudes a la API para la API de control en la nube usando su nombre de DNS predeterminado para la región, como `cloudcontrolapi.us-east-1.amazonaws.com`.

Para obtener más información, consulte [Acceso a un servicio de AWS a través de un punto de conexión de VPC de interfaz](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#access-service-though-endpoint) en la *Guía del usuario de Amazon VPC*.

## Creación de una política de punto de conexión de VPC para la API de control en la nube
<a name="vpc-endpoint-policy"></a>

Puede asociar una política de punto de conexión a su punto de conexión de VPC que controla el acceso a la API de control en la nube. La política especifica la siguiente información:
+ La entidad principal que puede realizar acciones.
+ Las acciones que se pueden realizar.
+ Los recursos en los que se pueden llevar a cabo las acciones.

Para obtener más información, consulte [Uso de políticas de punto de conexión para controlar el acceso a puntos de conexión de VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) en la *Guía de AWS PrivateLink *.

**importante**  
Los detalles de la política de punto de conexión de VPCE no se transmiten a ningún servicio posterior que invoque la API de control en la nube para su evaluación. Por este motivo, no se aplican las políticas que especifican acciones o recursos que pertenecen a servicios posteriores.  
Por ejemplo, supongamos que ha creado una instancia de Amazon EC2 en una instancia de VPC con un punto de conexión de VPC para la API de control en la nube en una subred sin acceso a Internet. A continuación, debe asociar el siguiente punto de conexión de VPC a VPCE:  

```
{
  "Statement": [
    {
      "Action": [
        "cloudformation:*",
        "ec2:*",
        "lambda:*"
      ]
      "Effect": "Allow",
      "Principal": "*",
      "Resource": "*"
    }
  ]
}
```
Si un usuario con acceso de administrador envía entonces una solicitud para acceder a un bucket de Amazon S3 de la instancia, no se devolverá ningún error de servicio, aunque la política de VPCE no conceda acceso a Amazon S3.

**Ejemplo: política de punto de conexión de VPC para acciones de la API de control en la nube**  
A continuación, se muestra un ejemplo de una política de punto de conexión de la API de control en la nube. Cuando se asocia a un punto de conexión, esta política concede acceso a las acciones de la API de control en la nube mostradas para todas las entidades principales en todos los recursos. En el siguiente ejemplo, se deniega a todos los usuarios el permiso para crear recursos a través del punto de conexión de VPC y se permite el acceso completo a todas las demás acciones del servicio de la API de control en la nube.

```
{
  "Statement": [
    {
      "Action": "cloudformation:*",
      "Effect": "Allow",
      "Principal": "*",
      "Resource": "*"
    },
    {
      "Action": "cloudformation:CreateResource",
      "Effect": "Deny",
      "Principal": "*",
      "Resource": "*"
    }
  ]
}
```

## Véase también
<a name="see-also"></a>
+ [AWS servicios que se integran con AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/aws-services-privatelink-support.html)

# CloudFormation Ganchos
<a name="security-hooks"></a>

AWS CloudFormation Hooks es una función que puede utilizar para asegurarse de que sus API de control de nube de AWS recursos cumplen con las mejores prácticas de seguridad, operativas y de optimización de costes de su organización. Con Hooks, puedes proporcionar código que inspeccione de forma proactiva la configuración de tus recursos antes del aprovisionamiento. Si se encuentran recursos que no cumplen con las normas, la API de Cloud Control produce un error en la operación e impide el aprovisionamiento de los recursos, o bien emite una advertencia y permite que la operación de aprovisionamiento continúe. Puedes usar Hooks para evaluar las configuraciones de recursos de la API de Cloud Control antes de crear y actualizar las operaciones.

## Crear un Hook para validar las configuraciones de recursos de la API de Cloud Control
<a name="security-hooks-creating"></a>

Puedes crear un Hook para validar la configuración de recursos de la API de Cloud Control mediante la CloudFormation consola, la AWS Command Line Interface (AWS CLI) o CloudFormation. Para obtener más información, consulta [Cómo crear y administrar AWS CloudFormation Hooks](https://docs.aws.amazon.com/cloudformation-cli/latest/hooks-userguide/creating-and-managing-hooks.html).

## Dirigirse a la API de Cloud Control para su validación
<a name="security-hooks-targeting"></a>

Puedes configurar tus CloudFormation Hooks para que segmenten `CLOUD_CONTROL` las operaciones en la `TargetOperations` configuración de tu Hook.

Para obtener más información sobre cómo usarlo `TargetOperations` con Guard Hooks, consulta [las reglas de Write Guard para evaluar los recursos de Guard Hooks](https://docs.aws.amazon.com/cloudformation-cli/latest/hooks-userguide/guard-hooks-write-rules.html).

Para obtener más información sobre el uso `TargetOperations` con Lambda Hooks, consulte Crear [funciones Lambda para evaluar los recursos de Lambda](https://docs.aws.amazon.com/cloudformation-cli/latest/hooks-userguide/lambda-hooks-create-lambda-function.html) Hooks.

## Revisión de los resultados de la invocación de Hook
<a name="security-hooks-reviewing"></a>

Puede ver los resultados de su invocación llamando `GetResourceRequestStatus` mediante el. `RequestToken`