Azioni politiche IAM per l'API Cloud Control Differenze tra le API di Cloud Control Limitazione dell'ambito dell'account

Sicurezza in AWS Cloud Control API

La sicurezza del cloud AWS è la massima priorità. In qualità di AWS cliente, puoi beneficiare di un data center e di un'architettura di rete progettati per soddisfare i requisiti delle organizzazioni più sensibili alla sicurezza.

La sicurezza è una responsabilità condivisa tra AWS te e te. Il modello di responsabilità condivisa descrive questo aspetto come sicurezza del cloud e sicurezza nel cloud:

Sicurezza del cloud: AWS è responsabile della protezione dell'infrastruttura che gestisce AWS i servizi in Cloud AWS. AWS fornisce inoltre servizi che è possibile utilizzare in modo sicuro. I revisori esterni testano e verificano regolarmente l'efficacia della nostra sicurezza nell'ambito dei AWS Programmi di AWS conformità dei Programmi di conformità dei di . Per maggiori informazioni sui programmi di conformità che si applicano all'API Cloud Control, consulta AWS Services in Scope by Compliance Program AWS .
Sicurezza nel cloud: la tua responsabilità è determinata dal AWS servizio che utilizzi. Sei anche responsabile di altri fattori, tra cui la riservatezza dei dati, i requisiti della tua azienda e le leggi e normative vigenti.

L'API Cloud Control eredita la sua architettura di sicurezza AWS CloudFormation e opera all'interno del modello di responsabilità AWS condivisa. Per raggiungere i tuoi obiettivi di sicurezza e conformità quando utilizzi l'API Cloud Control, devi configurare i controlli CloudFormation di sicurezza. Per indicazioni sull'applicazione del modello di responsabilità condivisa con CloudFormation, consulta la sezione Sicurezza nella Guida per l'AWS CloudFormation utente. Puoi anche imparare a utilizzare altri AWS servizi che ti aiutano a monitorare e proteggere le tue risorse CloudFormation e quelle dell'API Cloud Control.

Azioni politiche IAM per l'API Cloud Control

È necessario creare e assegnare policy AWS Identity and Access Management (IAM) che consentano a un'identità IAM (ad esempio un utente o un ruolo) di richiamare le azioni API dell'API Cloud Control di cui ha bisogno.

Nell'Actionelemento della tua dichiarazione sulla politica IAM, puoi specificare qualsiasi azione API offerta dall'API Cloud Control. Occorre applicare un prefisso al nome dell'operazione con la stringa minuscola cloudformation:, come nell'esempio seguente.


"Action": "cloudformation:CreateResource"

Per visualizzare un elenco delle azioni dell'API Cloud Control, consulta Azioni, risorse e chiavi di condizione AWS Cloud Control API nel Service Authorization Reference.

Esempio di policy per la gestione delle risorse dell'API Cloud Control

Di seguito viene mostrato un esempio di policy che consente di creare, leggere, aggiornare ed elencare (ma non eliminare) le azioni relative alle risorse.


{
    "Version":"2012-10-17",
    "Statement":[{
        "Effect":"Allow",
        "Action":[
            "cloudformation:CreateResource",
            "cloudformation:GetResource",
            "cloudformation:UpdateResource",
            "cloudformation:ListResources"
        ],
        "Resource":"*"
    }]
}

Differenze tra le API di Cloud Control

Le API e Cloud Control CloudFormation presentano diverse differenze importanti:

Per IAM:

L'API Cloud Control attualmente non supporta le autorizzazioni a livello di risorsa, ovvero la possibilità di utilizzare ARNs per specificare singole risorse nelle policy IAM.
L'API Cloud Control attualmente non supporta l'uso di chiavi di condizione specifiche del servizio nelle policy IAM che controllano l'accesso alle risorse dell'API Cloud Control.

Per ulteriori informazioni, consulta Operazioni, risorse e chiavi di condizione per AWS Cloud Control API nella Documentiazione di riferimento per l'autorizzazione al servizio.

Differenze aggiuntive:

L'API Cloud Control attualmente non supporta risorse personalizzate. Per informazioni sulle risorse CloudFormation personalizzate, consulta Creare una logica di provisioning personalizzata con risorse personalizzate nella Guida per l'AWS CloudFormation utente.
Quando l'attività si verifica nell'API Cloud Control e viene registrata in AWS CloudTrail, l'origine dell'evento viene elencata comecloudcontrolapi.amazonaws.com. Per informazioni sulla CloudTrail registrazione per le operazioni dell'API Cloud Control, consulta Registrazione delle chiamate AWS CloudFormation API con AWS CloudTrail nella Guida per l'AWS CloudFormation utente.

Limitazione dell'ambito dell'account

L'API Cloud Control fornisce un set APIs di operazioni CRUDL (Create, Read, Update, Delete, List) sulle AWS risorse. Quando utilizzi l'API Cloud Control, puoi eseguire operazioni CRUDL solo su AWS risorse all'interno delle tue risorse. Account AWS Non è possibile eseguire queste operazioni su AWS risorse che appartengono ad altri. Account AWS

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Tipi di risorse supportati

VPCendpoint ()AWS PrivateLink