Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Keamanan di AWS Cloud Control API
Keamanan cloud di AWS adalah prioritas tertinggi. Sebagai AWS pelanggan, Anda mendapat manfaat dari pusat data dan arsitektur jaringan yang dibangun untuk memenuhi persyaratan organisasi yang paling sensitif terhadap keamanan.
Keamanan adalah tanggung jawab bersama antara Anda AWS dan Anda. [Model tanggung jawab bersama](https://aws.amazon.com/compliance/shared-responsibility-model/) menjelaskan hal ini sebagai keamanan *dari* cloud dan keamanan *dalam* cloud:
+ **Keamanan cloud** — AWS bertanggung jawab untuk melindungi infrastruktur yang menjalankan AWS layanan di AWS Cloud. AWS juga memberi Anda layanan yang dapat Anda gunakan dengan aman. Auditor pihak ketiga secara teratur menguji dan memverifikasi efektivitas keamanan kami sebagai bagian dari [Program AWS Kepatuhan Program AWS Kepatuhan](https://aws.amazon.com/compliance/programs/) . Untuk mempelajari tentang program kepatuhan yang berlaku pada Cloud Control API, lihat [AWS Layanan dalam Lingkup berdasarkan AWS Layanan Program Kepatuhan](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Keamanan di cloud** — Tanggung jawab Anda ditentukan oleh AWS layanan yang Anda gunakan. Anda juga bertanggung jawab atas faktor lain, yang mencakup sensitivitas data Anda, persyaratan perusahaan Anda, serta undang-undang dan peraturan yang berlaku.
Cloud Control API mewarisi arsitektur keamanannya dari CloudFormation dan beroperasi dalam model tanggung jawab AWS bersama. Untuk memenuhi tujuan keamanan dan kepatuhan Anda saat menggunakan Cloud Control API, Anda harus mengonfigurasi kontrol CloudFormation keamanan. Untuk panduan tentang penerapan model tanggung jawab bersama CloudFormation, lihat bagian [Keamanan](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/security.html) di *Panduan AWS CloudFormation Pengguna*. Anda juga dapat mempelajari cara menggunakan AWS layanan lain yang membantu Anda memantau dan mengamankan sumber daya API Kontrol Cloud Anda CloudFormation .
## Tindakan kebijakan IAM untuk Cloud Control API
Anda harus membuat dan menetapkan kebijakan AWS Identity and Access Management (IAM) yang memberikan izin identitas IAM (seperti pengguna atau peran) untuk memanggil tindakan Cloud Control API API yang mereka butuhkan.
Dalam `Action` elemen pernyataan kebijakan IAM, Anda dapat menentukan tindakan API apa pun yang ditawarkan Cloud Control API. Anda harus memberi prefiks pada nama tindakan dengan string huruf kecil `cloudformation:`, seperti yang ditunjukkan dalam contoh berikut.
```
"Action": "cloudformation:CreateResource"
```
Untuk melihat daftar tindakan Cloud Control API, lihat [Tindakan, sumber daya, dan kunci kondisi AWS Cloud Control API](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudcontrolapi.html) di *Referensi Otorisasi Layanan*.
**Contoh kebijakan untuk mengelola sumber daya Cloud Control API**
Berikut ini menunjukkan contoh kebijakan yang memberikan tindakan sumber daya buat, baca, perbarui, dan daftar (tetapi tidak menghapus).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[{
"Effect":"Allow",
"Action":[
"cloudformation:CreateResource",
"cloudformation:GetResource",
"cloudformation:UpdateResource",
"cloudformation:ListResources"
],
"Resource":"*"
}]
}
```
------
## Perbedaan Cloud Control API
Cloud Control API dan CloudFormation memiliki beberapa perbedaan penting:
Untuk IAM:
+ Cloud Control API saat ini tidak mendukung izin tingkat sumber daya, yang merupakan kemampuan untuk digunakan ARNs untuk menentukan sumber daya individual dalam kebijakan IAM.
+ Cloud Control API saat ini tidak mendukung penggunaan kunci kondisi khusus layanan dalam kebijakan IAM yang mengontrol akses ke resource Cloud Control API.
Untuk informasi selengkapnya, lihat [Kunci tindakan, sumber daya, dan kondisi AWS Cloud Control API](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudcontrolapi.html) di *Referensi Otorisasi Layanan*.
Perbedaan tambahan:
+ Cloud Control API saat ini tidak mendukung sumber daya khusus. Untuk informasi tentang sumber daya CloudFormation kustom, lihat [Membuat logika penyediaan kustom dengan sumber daya kustom](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/template-custom-resources.html) di *AWS CloudFormation Panduan Pengguna*.
+ Ketika aktivitas terjadi di Cloud Control API dan direkam AWS CloudTrail, sumber peristiwa dicantumkan sebagai`cloudcontrolapi.amazonaws.com`. Untuk informasi tentang CloudTrail logging untuk operasi Cloud Control API, lihat [Logging panggilan AWS CloudFormation API dengan AWS CloudTrail](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-api-logging-cloudtrail.html) di *Panduan AWS CloudFormation Pengguna*.
## Batasan ruang lingkup akun
Cloud Control API menyediakan satu set APIs untuk melakukan operasi CRUDL (Buat, Baca, Perbarui, Hapus, Daftar) pada AWS sumber daya. Saat menggunakan Cloud Control API, Anda hanya dapat melakukan operasi CRUDL pada AWS sumber daya Anda sendiri. Akun AWS Anda tidak dapat melakukan operasi ini pada AWS sumber daya milik orang lain Akun AWS.
# Cloud Control API dan antarmuka VPC endpoint ()AWS PrivateLink
Anda dapat menggunakan AWS PrivateLink untuk membuat koneksi pribadi antara VPC Anda dan. AWS Cloud Control API Anda dapat mengakses Cloud Control API seolah-olah berada di VPC Anda, tanpa menggunakan gateway internet, perangkat NAT, koneksi VPN, atau koneksi. Direct Connect Instans di VPC Anda tidak memerlukan alamat IP publik untuk mengakses Cloud Control API.
Anda membuat koneksi pribadi ini dengan membuat *titik akhir antarmuka*, yang didukung oleh AWS PrivateLink. Kami membuat antarmuka jaringan endpoint di setiap subnet yang Anda aktifkan untuk titik akhir antarmuka. Ini adalah antarmuka jaringan yang dikelola pemohon yang berfungsi sebagai titik masuk untuk lalu lintas yang ditujukan untuk Cloud Control API.
Cloud Control API mendukung panggilan ke semua tindakan API-nya melalui titik akhir antarmuka.
## Pertimbangan untuk titik akhir VPC Cloud Control API
*Sebelum Anda menyiapkan titik akhir VPC antarmuka untuk Cloud Control API, pertama-tama pastikan Anda telah memenuhi prasyarat dalam Access [an service AWS menggunakan topik endpoint VPC antarmuka](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) di Panduan.AWS PrivateLink *
## Membuat titik akhir VPC antarmuka untuk Cloud Control API
Anda dapat membuat titik akhir VPC untuk Cloud Control API menggunakan konsol VPC Amazon atau (). AWS Command Line Interface AWS CLI Untuk informasi selengkapnya, lihat [Membuat titik akhir VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) di *Panduan Pengguna AWS PrivateLink *.
Buat endpoint antarmuka untuk Cloud Control API menggunakan nama layanan berikut:
+ com.amazonaws. *region*.cloudcontrolapi
Jika Anda mengaktifkan DNS pribadi untuk titik akhir, Anda dapat membuat permintaan API ke Cloud Control API menggunakan nama DNS default untuk Wilayah, misalnya,. `cloudcontrolapi.us-east-1.amazonaws.com`
Untuk informasi selengkapnya, lihat [Mengakses AWS layanan menggunakan titik akhir VPC antarmuka di Panduan](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#access-service-though-endpoint) Pengguna Amazon *VPC*.
## Membuat kebijakan titik akhir VPC untuk Cloud Control API
Anda dapat melampirkan kebijakan titik akhir ke titik akhir VPC yang mengontrol akses ke Cloud Control API. Kebijakan titik akhir menentukan informasi berikut:
+ Prinsipal yang dapat melakukan tindakan.
+ Tindakan yang dapat dilakukan.
+ Sumber daya yang menjadi target tindakan.
*Untuk informasi selengkapnya, lihat [Mengontrol akses ke titik akhir VPC menggunakan kebijakan titik akhir](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) di Panduan.AWS PrivateLink *
**penting**
Detail kebijakan titik akhir VPCE tidak diteruskan ke layanan hilir apa pun yang dipanggil oleh Cloud Control API untuk evaluasi. Karena itu, kebijakan yang menentukan tindakan atau sumber daya milik layanan hilir tidak diberlakukan.
Misalnya, Anda membuat instans Amazon EC2 dalam instance VPC dengan titik akhir VPC untuk Cloud Control API di subnet tanpa akses Internet. Selanjutnya, Anda melampirkan kebijakan titik akhir VPC berikut ke VPCE:
```
{
"Statement": [
{
"Action": [
"cloudformation:*",
"ec2:*",
"lambda:*"
]
"Effect": "Allow",
"Principal": "*",
"Resource": "*"
}
]
}
```
Jika pengguna dengan akses administrator kemudian mengirim permintaan untuk mengakses bucket Amazon S3 dalam instance, tidak ada kesalahan layanan yang akan dikembalikan, meskipun akses Amazon S3 tidak diberikan dalam kebijakan VPCE.
**Contoh: Kebijakan titik akhir VPC untuk tindakan Cloud Control API**
Berikut ini adalah contoh kebijakan endpoint untuk Cloud Control API. Saat dilampirkan ke titik akhir, kebijakan ini memberikan akses ke tindakan Cloud Control API yang terdaftar untuk semua prinsipal di semua sumber daya. Contoh berikut menolak semua pengguna izin untuk membuat sumber daya melalui titik akhir VPC, dan memungkinkan akses penuh ke semua tindakan lain pada layanan Cloud Control API.
```
{
"Statement": [
{
"Action": "cloudformation:*",
"Effect": "Allow",
"Principal": "*",
"Resource": "*"
},
{
"Action": "cloudformation:CreateResource",
"Effect": "Deny",
"Principal": "*",
"Resource": "*"
}
]
}
```
## Lihat juga
+ [AWS Layanan yang terintegrasi dengan AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/aws-services-privatelink-support.html)
# CloudFormation Kait
AWS CloudFormation Hooks adalah fitur yang dapat Anda gunakan untuk memastikan bahwa AWS Cloud Control API sumber daya Anda sesuai dengan praktik terbaik keamanan, operasional, dan pengoptimalan biaya organisasi Anda. Dengan Hooks, Anda dapat memberikan kode yang secara proaktif memeriksa konfigurasi sumber daya Anda sebelum penyediaan. Jika sumber daya yang tidak sesuai ditemukan, Cloud Control API akan gagal dalam operasi dan mencegah sumber daya disediakan, atau mengeluarkan peringatan dan memungkinkan operasi penyediaan dilanjutkan. Anda dapat menggunakan Hooks untuk mengevaluasi konfigurasi sumber daya Cloud Control API sebelum membuat dan memperbarui operasi.
## Membuat Hook untuk memvalidasi konfigurasi sumber daya Cloud Control API
Anda dapat membuat Hook untuk memvalidasi konfigurasi sumber daya Cloud Control API menggunakan CloudFormation konsol, AWS Command Line Interface (AWS CLI), atau. CloudFormation Untuk informasi selengkapnya, lihat [Membuat dan mengelola AWS CloudFormation Hooks.](https://docs.aws.amazon.com/cloudformation-cli/latest/hooks-userguide/creating-and-managing-hooks.html)
## Menargetkan Cloud Control API untuk validasi
Anda dapat mengonfigurasi CloudFormation Hooks Anda untuk menargetkan `CLOUD_CONTROL` operasi dalam `TargetOperations` konfigurasi Hook Anda.
Untuk informasi selengkapnya tentang penggunaan `TargetOperations` dengan Guard Hooks, lihat [Menulis aturan Guard untuk mengevaluasi sumber daya untuk Guard Hooks](https://docs.aws.amazon.com/cloudformation-cli/latest/hooks-userguide/guard-hooks-write-rules.html).
Untuk informasi selengkapnya tentang penggunaan `TargetOperations` dengan Lambda Hooks, lihat Membuat [fungsi Lambda untuk mengevaluasi sumber daya untuk Lambda](https://docs.aws.amazon.com/cloudformation-cli/latest/hooks-userguide/lambda-hooks-create-lambda-function.html) Hooks.
## Meninjau hasil pemanggilan Hook
Anda dapat melihat hasil pemanggilan Anda dengan menelepon `GetResourceRequestStatus` menggunakan file. `RequestToken`