Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Sécurité dans API de commande du Cloud AWS
La sécurité du cloud AWS est la priorité absolue. En tant que AWS client, vous bénéficiez d'un centre de données et d'une architecture réseau conçus pour répondre aux exigences des entreprises les plus sensibles en matière de sécurité.
La sécurité est une responsabilité partagée entre vous AWS et vous. Le [modèle de responsabilité partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) décrit ceci comme la sécurité *du* cloud et la sécurité *dans* le cloud :
+ **Sécurité du cloud** : AWS est chargée de protéger l'infrastructure qui exécute les AWS services dans le AWS Cloud. AWS vous fournit également des services que vous pouvez utiliser en toute sécurité. Des auditeurs tiers testent et vérifient régulièrement l'efficacité de notre sécurité dans le cadre des programmes de [AWS conformité Programmes](https://aws.amazon.com/compliance/programs/) de de conformité. Pour en savoir plus sur les programmes de conformité qui s'appliquent à l'API Cloud Control, voir [AWS Services concernés par programme de conformitéAWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Sécurité dans le cloud** — Votre responsabilité est déterminée par le AWS service que vous utilisez. Vous êtes également responsable d’autres facteurs, y compris de la sensibilité de vos données, des exigences de votre entreprise, ainsi que de la législation et de la réglementation applicables.
L'API Cloud Control hérite de son architecture de sécurité CloudFormation et fonctionne dans le cadre du modèle de responsabilité AWS partagée. Pour atteindre vos objectifs de sécurité et de conformité lorsque vous utilisez l'API Cloud Control, vous devez configurer les contrôles CloudFormation de sécurité. Pour obtenir des conseils sur l'application du modèle de responsabilité partagée avec CloudFormation, consultez la section [Sécurité](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/security.html) du *guide de AWS CloudFormation l'utilisateur*. Vous pouvez également apprendre à utiliser d'autres AWS services qui vous aident à surveiller et à sécuriser vos ressources CloudFormation et celles de l'API Cloud Control.
## Actions de politique IAM pour l'API Cloud Control
Vous devez créer et attribuer des politiques Gestion des identités et des accès AWS (IAM) qui donnent à une identité IAM (telle qu'un utilisateur ou un rôle) l'autorisation d'appeler les actions d'API Cloud Control dont elle a besoin.
Dans l'`Action`élément de votre déclaration de politique IAM, vous pouvez spécifier toute action d'API proposée par l'API Cloud Control. Vous devez faire précéder le nom de l'action de la chaîne en lettres minuscules `cloudformation:`, comme illustré dans l'exemple suivant.
```
"Action": "cloudformation:CreateResource"
```
Pour consulter la liste des actions de l'API Cloud Control, consultez la section [Actions, ressources et clés de condition API de commande du Cloud AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudcontrolapi.html) dans la *référence d'autorisation de service*.
**Exemple de politique pour gérer les ressources de l'API Cloud Control**
Voici un exemple de politique qui autorise les actions de création, de lecture, de mise à jour et de liste (mais pas de suppression) des ressources.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[{
"Effect":"Allow",
"Action":[
"cloudformation:CreateResource",
"cloudformation:GetResource",
"cloudformation:UpdateResource",
"cloudformation:ListResources"
],
"Resource":"*"
}]
}
```
------
## Différences entre les API Cloud Control
L'API Cloud Control CloudFormation présente plusieurs différences importantes :
Pour IAM :
+ L'API Cloud Control ne prend actuellement pas en charge les autorisations au niveau des ressources, qui permettent de spécifier des ARNs ressources individuelles dans les politiques IAM.
+ L'API Cloud Control ne prend actuellement pas en charge l'utilisation de clés de condition spécifiques au service dans les politiques IAM qui contrôlent l'accès aux ressources de l'API Cloud Control.
Pour plus d'informations, consultez la rubrique [Actions, ressources et clés de condition pour API de commande du Cloud AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudcontrolapi.html) dans la section *Référence de l'autorisation de service*.
Autres différences :
+ L'API Cloud Control ne prend actuellement pas en charge les ressources personnalisées. Pour plus d'informations sur les ressources CloudFormation personnalisées, voir [Créer une logique de provisionnement personnalisée avec des ressources personnalisées](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/template-custom-resources.html) dans le *Guide de l'AWS CloudFormation utilisateur*.
+ Lorsqu'une activité se produit dans l'API Cloud Control et qu'elle est enregistrée dans AWS CloudTrail, la source de l'événement est répertoriée sous le nom`cloudcontrolapi.amazonaws.com`. Pour plus d'informations sur la CloudTrail journalisation des opérations de l'API Cloud Control, consultez la section [Journalisation des appels d' AWS CloudFormation API AWS CloudTrail](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-api-logging-cloudtrail.html) dans le *guide de AWS CloudFormation l'utilisateur*.
## Limitation de la portée du compte
L'API Cloud Control fournit un ensemble APIs d'opérations CRUDL (Create, Read, Update, Delete, List) sur les AWS ressources. Lorsque vous utilisez l'API Cloud Control, vous ne pouvez effectuer des opérations CRUDL que sur vos propres AWS Compte AWS ressources. Vous ne pouvez pas effectuer ces opérations sur AWS des ressources appartenant à d'autres Comptes AWS.
# API Cloud Control et points de terminaison VPC d'interface ()AWS PrivateLink
Vous pouvez l'utiliser AWS PrivateLink pour créer une connexion privée entre votre VPC et. API de commande du Cloud AWS Vous pouvez accéder à l'API Cloud Control comme si elle se trouvait dans votre VPC, sans passer par une passerelle Internet, un appareil NAT, une connexion VPN ou Direct Connect une connexion. Les instances de votre VPC n'ont pas besoin d'adresses IP publiques pour accéder à l'API Cloud Control.
Vous établissez cette connexion privée en créant un *point de terminaison d’interface* optimisé par AWS PrivateLink. Nous créons une interface réseau de point de terminaison dans chaque sous-réseau que vous activez pour le point de terminaison d’interface. Il s'agit d'interfaces réseau gérées par les demandeurs qui servent de point d'entrée pour le trafic destiné à l'API Cloud Control.
L'API Cloud Control permet d'appeler toutes ses actions d'API via le point de terminaison de l'interface.
## Considérations relatives aux points de terminaison VPC de l'API Cloud Control
*Avant de configurer un point de terminaison VPC d'interface pour l'API Cloud Control, assurez-vous d'abord de remplir les conditions requises dans la rubrique [Accès à un AWS service à l'aide d'un point de terminaison VPC d'interface](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) du Guide.AWS PrivateLink *
## Création d'un point de terminaison VPC d'interface pour l'API Cloud Control
Vous pouvez créer un point de terminaison VPC pour l'API Cloud Control à l'aide de la console Amazon VPC ou du (). AWS Command Line Interface AWS CLI Pour plus d’informations, consultez [Créer un point de terminaison d’un VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) dans le *Guide AWS PrivateLink *.
Créez un point de terminaison d'interface pour l'API Cloud Control en utilisant le nom de service suivant :
+ com.amazonaws. *region*.cloudcontrol api
Si vous activez le DNS privé pour le point de terminaison, vous pouvez envoyer des demandes d'API à l'API Cloud Control en utilisant son nom DNS par défaut pour la région, par exemple,`cloudcontrolapi.us-east-1.amazonaws.com`.
Pour de plus amples informations, consultez la rubrique [Accédez à un service AWS à l’aide d’un point de terminaison de VPC d’interface](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#access-service-though-endpoint) dans le *Guide de l’utilisateur Amazon VPC*.
## Création d'une politique de point de terminaison VPC pour l'API Cloud Control
Vous pouvez associer une politique de point de terminaison à votre point de terminaison VPC qui contrôle l'accès à l'API Cloud Control. La politique spécifie les informations suivantes :
+ Le principal qui peut exécuter des actions.
+ Les actions qui peuvent être effectuées.
+ Les ressources sur lesquelles les actions peuvent être exécutées.
Pour plus d’informations, consultez [Contrôle de l’accès aux points de terminaison d’un VPC à l’aide de politiques de point de terminaison](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) dans le *AWS PrivateLink *.
**Important**
Les détails de la politique des points de terminaison VPCE ne sont transmis à aucun service en aval invoqué par l'API Cloud Control à des fins d'évaluation. De ce fait, les politiques spécifiant des actions ou des ressources appartenant aux services en aval ne sont pas appliquées.
Supposons, par exemple, que vous ayez créé une instance Amazon EC2 dans une instance VPC avec un point de terminaison VPC pour l'API Cloud Control dans un sous-réseau sans accès à Internet. Ensuite, vous associez la politique de point de terminaison VPC suivante au VPCE :
```
{
"Statement": [
{
"Action": [
"cloudformation:*",
"ec2:*",
"lambda:*"
]
"Effect": "Allow",
"Principal": "*",
"Resource": "*"
}
]
}
```
Si un utilisateur disposant d'un accès administrateur envoie ensuite une demande pour accéder à un compartiment Amazon S3 dans l'instance, aucune erreur de service ne sera renvoyée, même si l'accès à Amazon S3 n'est pas accordé dans la politique VPCE.
**Exemple : politique de point de terminaison VPC pour les actions de l'API Cloud Control**
Voici un exemple de politique de point de terminaison pour l'API Cloud Control. Lorsqu'elle est attachée à un point de terminaison, cette politique accorde l'accès aux actions de l'API Cloud Control répertoriées à tous les principaux sur toutes les ressources. L'exemple suivant refuse à tous les utilisateurs l'autorisation de créer des ressources via le point de terminaison VPC et autorise un accès complet à toutes les autres actions sur le service d'API Cloud Control.
```
{
"Statement": [
{
"Action": "cloudformation:*",
"Effect": "Allow",
"Principal": "*",
"Resource": "*"
},
{
"Action": "cloudformation:CreateResource",
"Effect": "Deny",
"Principal": "*",
"Resource": "*"
}
]
}
```
## Consultez aussi
+ [AWS des services qui s'intègrent à AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/aws-services-privatelink-support.html)
# CloudFormation Crochets
AWS CloudFormation Hooks est une fonctionnalité que vous pouvez utiliser pour vous assurer que vos API de commande du Cloud AWS ressources sont conformes aux meilleures pratiques de votre organisation en matière de sécurité, d'exploitation et d'optimisation des coûts. Avec Hooks, vous pouvez fournir du code qui inspecte de manière proactive la configuration de vos ressources avant le provisionnement. Si des ressources non conformes sont détectées, l'API Cloud Control échoue et empêche le provisionnement des ressources, ou émet un avertissement et autorise la poursuite de l'opération de provisionnement. Vous pouvez utiliser les Hooks pour évaluer les configurations de ressources de votre API Cloud Control avant de créer et de mettre à jour des opérations.
## Création d'un Hook pour valider les configurations des ressources de l'API Cloud Control
Vous pouvez créer un Hook pour valider la configuration de vos ressources d'API Cloud Control à l'aide de la CloudFormation console, de la AWS Command Line Interface (AWS CLI) ou CloudFormation. Pour plus d'informations, consultez [Création et gestion des AWS CloudFormation Hooks](https://docs.aws.amazon.com/cloudformation-cli/latest/hooks-userguide/creating-and-managing-hooks.html).
## Cibler l'API Cloud Control à des fins de validation
Vous pouvez configurer vos CloudFormation Hooks pour cibler les `CLOUD_CONTROL` opérations dans la `TargetOperations` configuration de votre Hook.
Pour plus d'informations sur l'utilisation `TargetOperations` de Guard Hooks, consultez [Write Guard rules pour évaluer les ressources relatives aux Guard Hooks](https://docs.aws.amazon.com/cloudformation-cli/latest/hooks-userguide/guard-hooks-write-rules.html).
Pour plus d'informations sur l'utilisation `TargetOperations` des crochets Lambda, voir Créer des [fonctions Lambda pour évaluer les ressources des](https://docs.aws.amazon.com/cloudformation-cli/latest/hooks-userguide/lambda-hooks-create-lambda-function.html) crochets Lambda.
## Révision des résultats d'invocation de Hook
Vous pouvez consulter les résultats de votre invocation en appelant à `GetResourceRequestStatus` l'aide du`RequestToken`.