Actions de politique IAM pour l'API Cloud Control Différences entre les API Cloud Control Limitation de la portée du compte

Sécurité dans AWS Cloud Control API

La sécurité du cloud AWS est la priorité absolue. En tant que AWS client, vous bénéficiez d'un centre de données et d'une architecture réseau conçus pour répondre aux exigences des entreprises les plus sensibles en matière de sécurité.

La sécurité est une responsabilité partagée entre vous AWS et vous. Le modèle de responsabilité partagée décrit cela comme la sécurité du cloud et la sécurité dans le cloud :

Sécurité du cloud : AWS est chargée de protéger l'infrastructure qui exécute les AWS services dans le AWS Cloud. AWS vous fournit également des services que vous pouvez utiliser en toute sécurité. Des auditeurs tiers testent et vérifient régulièrement l'efficacité de notre sécurité dans le cadre des programmes de AWS conformité Programmes de de conformité. Pour en savoir plus sur les programmes de conformité qui s'appliquent à l'API Cloud Control, voir AWS Services concernés par programme de conformitéAWS .
Sécurité dans le cloud — Votre responsabilité est déterminée par le AWS service que vous utilisez. Vous êtes également responsable d’autres facteurs, y compris de la sensibilité de vos données, des exigences de votre entreprise, ainsi que de la législation et de la réglementation applicables.

L'API Cloud Control hérite de son architecture de sécurité AWS CloudFormation et fonctionne dans le cadre du modèle de responsabilité AWS partagée. Pour atteindre vos objectifs de sécurité et de conformité lorsque vous utilisez l'API Cloud Control, vous devez configurer les contrôles CloudFormation de sécurité. Pour obtenir des conseils sur l'application du modèle de responsabilité partagée avec CloudFormation, consultez la section Sécurité du guide de AWS CloudFormation l'utilisateur. Vous pouvez également apprendre à utiliser d'autres AWS services qui vous aident à surveiller et à sécuriser vos ressources CloudFormation et celles de l'API Cloud Control.

Actions de politique IAM pour l'API Cloud Control

Vous devez créer et attribuer des politiques AWS Identity and Access Management (IAM) qui donnent à une identité IAM (telle qu'un utilisateur ou un rôle) l'autorisation d'appeler les actions d'API Cloud Control dont elle a besoin.

Dans l'Actionélément de votre déclaration de politique IAM, vous pouvez spécifier toute action d'API proposée par l'API Cloud Control. Vous devez faire précéder le nom de l'action de la chaîne en lettres minuscules cloudformation:, comme illustré dans l'exemple suivant.


"Action": "cloudformation:CreateResource"

Pour consulter la liste des actions de l'API Cloud Control, consultez la section Actions, ressources et clés de condition AWS Cloud Control API dans la référence d'autorisation de service.

Exemple de politique pour gérer les ressources de l'API Cloud Control

Voici un exemple de politique qui autorise les actions de création, de lecture, de mise à jour et de liste (mais pas de suppression) des ressources.


{
    "Version":"2012-10-17",
    "Statement":[{
        "Effect":"Allow",
        "Action":[
            "cloudformation:CreateResource",
            "cloudformation:GetResource",
            "cloudformation:UpdateResource",
            "cloudformation:ListResources"
        ],
        "Resource":"*"
    }]
}

Différences entre les API Cloud Control

L'API Cloud Control CloudFormation présente plusieurs différences importantes :

Pour IAM :

L'API Cloud Control ne prend actuellement pas en charge les autorisations au niveau des ressources, qui permettent de spécifier des ARNs ressources individuelles dans les politiques IAM.
L'API Cloud Control ne prend actuellement pas en charge l'utilisation de clés de condition spécifiques au service dans les politiques IAM qui contrôlent l'accès aux ressources de l'API Cloud Control.

Pour plus d'informations, consultez la rubrique Actions, ressources et clés de condition pour AWS Cloud Control API dans la section Référence de l'autorisation de service.

Autres différences :

L'API Cloud Control ne prend actuellement pas en charge les ressources personnalisées. Pour plus d'informations sur les ressources CloudFormation personnalisées, voir Créer une logique de provisionnement personnalisée avec des ressources personnalisées dans le Guide de l'AWS CloudFormation utilisateur.
Lorsqu'une activité se produit dans l'API Cloud Control et qu'elle est enregistrée dans AWS CloudTrail, la source de l'événement est répertoriée sous le nomcloudcontrolapi.amazonaws.com. Pour plus d'informations sur la CloudTrail journalisation des opérations de l'API Cloud Control, consultez la section Journalisation des appels d' AWS CloudFormation API AWS CloudTrail dans le guide de AWS CloudFormation l'utilisateur.

Limitation de la portée du compte

L'API Cloud Control fournit un ensemble APIs d'opérations CRUDL (Create, Read, Update, Delete, List) sur les AWS ressources. Lorsque vous utilisez l'API Cloud Control, vous ne pouvez effectuer des opérations CRUDL que sur vos propres AWS Compte AWS ressources. Vous ne pouvez pas effectuer ces opérations sur AWS des ressources appartenant à d'autres Comptes AWS.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Types de ressources pris en charge

VPCpoints de terminaison ()AWS PrivateLink