Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Sicurezza in AWS Cloud Control API
<a name="security"></a>

La sicurezza del cloud AWS è la massima priorità. In qualità di AWS cliente, puoi beneficiare di un data center e di un'architettura di rete progettati per soddisfare i requisiti delle organizzazioni più sensibili alla sicurezza.

La sicurezza è una responsabilità condivisa tra AWS te e te. Il [modello di responsabilità condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) descrive questo aspetto come sicurezza *del* cloud e sicurezza *nel* cloud:
+ **Sicurezza del cloud**: AWS è responsabile della protezione dell'infrastruttura che gestisce AWS i servizi in Cloud AWS. AWS fornisce inoltre servizi che è possibile utilizzare in modo sicuro. I revisori esterni testano e verificano regolarmente l'efficacia della nostra sicurezza nell'ambito dei [AWS Programmi di AWS conformità dei Programmi di conformità](https://aws.amazon.com/compliance/programs/) dei di . Per maggiori informazioni sui programmi di conformità che si applicano all'API Cloud Control, consulta [AWS Services in Scope by Compliance Program AWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Sicurezza nel cloud**: la tua responsabilità è determinata dal AWS servizio che utilizzi. L’utente è anche responsabile di altri fattori, tra cui la riservatezza dei dati, i requisiti della propria azienda e le leggi e normative vigenti.

L'API Cloud Control eredita la sua architettura di sicurezza CloudFormation e opera all'interno del modello di responsabilità AWS condivisa. Per raggiungere i tuoi obiettivi di sicurezza e conformità quando utilizzi l'API Cloud Control, devi configurare i controlli CloudFormation di sicurezza. Per indicazioni sull'applicazione del modello di responsabilità condivisa con CloudFormation, consulta la sezione [Sicurezza](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/security.html) nella *Guida per l'AWS CloudFormation utente*. Puoi anche imparare a utilizzare altri AWS servizi che ti aiutano a monitorare e proteggere le tue risorse CloudFormation e quelle dell'API Cloud Control.

## Azioni politiche IAM per l'API Cloud Control
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

È necessario creare e assegnare policy AWS Identity and Access Management (IAM) che consentano a un'identità IAM (ad esempio un utente o un ruolo) di richiamare le azioni API dell'API Cloud Control di cui ha bisogno.

Nell'`Action`elemento della tua dichiarazione sulla politica IAM, puoi specificare qualsiasi azione API offerta dall'API Cloud Control. Occorre applicare un prefisso al nome dell'operazione con la stringa minuscola `cloudformation:`, come nell'esempio seguente.

```
"Action": "cloudformation:CreateResource"
```

Per visualizzare un elenco delle azioni dell'API Cloud Control, consulta [Azioni, risorse e chiavi di condizione AWS Cloud Control API](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudcontrolapi.html) nel *Service Authorization Reference*.

**Esempio di policy per la gestione delle risorse dell'API Cloud Control**  
Di seguito viene mostrato un esempio di policy che consente di creare, leggere, aggiornare ed elencare (ma non eliminare) le azioni relative alle risorse.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement":[{
        "Effect":"Allow",
        "Action":[
            "cloudformation:CreateResource",
            "cloudformation:GetResource",
            "cloudformation:UpdateResource",
            "cloudformation:ListResources"
        ],
        "Resource":"*"
    }]
}
```

------

## Differenze tra le API di Cloud Control
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

Le API e Cloud Control CloudFormation presentano diverse differenze importanti: 

Per IAM:
+ L'API Cloud Control attualmente non supporta le autorizzazioni a livello di risorsa, ovvero la possibilità di utilizzare ARNs per specificare singole risorse nelle policy IAM.
+ L'API Cloud Control attualmente non supporta l'uso di chiavi di condizione specifiche del servizio nelle policy IAM che controllano l'accesso alle risorse dell'API Cloud Control.

Per ulteriori informazioni, consulta [Operazioni, risorse e chiavi di condizione per AWS Cloud Control API](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudcontrolapi.html) nella *Documentiazione di riferimento per l'autorizzazione al servizio*.

Differenze aggiuntive:
+ L'API Cloud Control attualmente non supporta risorse personalizzate. Per informazioni sulle risorse CloudFormation personalizzate, consulta [Creare una logica di provisioning personalizzata con risorse personalizzate](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/template-custom-resources.html) nella *Guida per l'AWS CloudFormation utente*.
+ Quando l'attività si verifica nell'API Cloud Control e viene registrata in AWS CloudTrail, l'origine dell'evento viene elencata come`cloudcontrolapi.amazonaws.com`. Per informazioni sulla CloudTrail registrazione per le operazioni dell'API Cloud Control, consulta [Logging AWS CloudFormation API call with AWS CloudTrail nella Guida](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-api-logging-cloudtrail.html) per l'*AWS CloudFormation utente*.

## Limitazione dell'ambito dell'account
<a name="account-scope-limitation"></a>

L'API Cloud Control fornisce un set APIs di operazioni CRUDL (Create, Read, Update, Delete, List) sulle AWS risorse. Quando utilizzi l'API Cloud Control, puoi eseguire operazioni CRUDL solo su AWS risorse all'interno delle tue risorse. Account AWS Non è possibile eseguire queste operazioni su AWS risorse che appartengono ad altri. Account AWS

# API Cloud Control e endpoint VPC di interfaccia ()AWS PrivateLink
<a name="vpc-interface-endpoints"></a>

Puoi usarlo AWS PrivateLink per creare una connessione privata tra il tuo VPC e. AWS Cloud Control API Puoi accedere all'API Cloud Control come se fosse nel tuo VPC, senza l'uso di un gateway Internet, un dispositivo NAT, una connessione VPN o una connessione. Direct Connect Le istanze nel tuo VPC non necessitano di indirizzi IP pubblici per accedere all'API Cloud Control.

Stabilisci questa connessione privata creando un *endpoint di interfaccia* attivato da AWS PrivateLink. In ciascuna sottorete viene creata un'interfaccia di rete endpoint da abilitare per l'endpoint di interfaccia. Si tratta di interfacce di rete gestite dai richiedenti che fungono da punto di ingresso per il traffico destinato all'API Cloud Control. 

L'API Cloud Control supporta l'esecuzione di chiamate a tutte le sue azioni API tramite l'endpoint dell'interfaccia.

## Considerazioni sugli endpoint VPC dell'API Cloud Control
<a name="vpc-endpoint-considerations"></a>

*Prima di configurare un endpoint VPC di interfaccia per l'API Cloud Control, assicurati di aver soddisfatto i prerequisiti nell'argomento [Accedere a un AWS servizio utilizzando un endpoint VPC con interfaccia](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) nella Guida.AWS PrivateLink *

## Creazione di un endpoint VPC di interfaccia per l'API Cloud Control
<a name="vpc-endpoint-create"></a>

Puoi creare un endpoint VPC per l'API Cloud Control utilizzando la console Amazon VPC o (). AWS Command Line Interface AWS CLI Per ulteriori informazioni, consulta la sezione [Creazione di un endpoint VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) nella *Guida di AWS PrivateLink *.

Crea un endpoint di interfaccia per l'API Cloud Control utilizzando il seguente nome di servizio:
+ com.amazonaws. *region*.cloudcontrol api

Se abiliti il DNS privato per l'endpoint, puoi effettuare richieste API all'API Cloud Control utilizzando il nome DNS predefinito per la regione, ad esempio. `cloudcontrolapi.us-east-1.amazonaws.com`

Per ulteriori informazioni, consulta [Accesso a un servizio AWS tramite un endpoint VPC dell'interfaccia](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#access-service-though-endpoint) nella *Guida per l'utente di Amazon VPC*.

## Creazione di una policy sugli endpoint VPC per l'API Cloud Control
<a name="vpc-endpoint-policy"></a>

Puoi allegare una policy per gli endpoint al tuo endpoint VPC che controlla l'accesso all'API Cloud Control. La policy specifica le informazioni riportate di seguito:
+ Il principale che può eseguire operazioni.
+ Le azioni che possono essere eseguite.
+ Le risorse sui cui si possono eseguire azioni.

Per ulteriori informazioni, consulta [Control access to VPC endpoints using endpoint policies](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) nella *Guida di AWS PrivateLink *.

**Importante**  
I dettagli della policy degli endpoint VPCE non vengono trasmessi a nessun servizio downstream richiamato dall'API Cloud Control per la valutazione. Per questo motivo, le politiche che specificano azioni o risorse che appartengono ai servizi a valle non vengono applicate.  
Ad esempio, supponiamo di aver creato un'istanza Amazon EC2 in un'istanza VPC con un endpoint VPC per l'API Cloud Control in una sottorete senza accesso a Internet. Successivamente, si allega la seguente politica degli endpoint VPC al VPCE:  

```
{
  "Statement": [
    {
      "Action": [
        "cloudformation:*",
        "ec2:*",
        "lambda:*"
      ]
      "Effect": "Allow",
      "Principal": "*",
      "Resource": "*"
    }
  ]
}
```
Se un utente con accesso da amministratore invia quindi una richiesta di accesso a un bucket Amazon S3 nell'istanza, non verrà restituito alcun errore di servizio, anche se l'accesso ad Amazon S3 non è concesso nella policy VPCE.

**Esempio: policy degli endpoint VPC per le azioni dell'API Cloud Control**  
Di seguito è riportato un esempio di policy sugli endpoint per l'API Cloud Control. Se collegata a un endpoint, questa policy consente l'accesso alle azioni dell'API Cloud Control elencate per tutti i principali su tutte le risorse. L'esempio seguente nega a tutti gli utenti l'autorizzazione a creare risorse tramite l'endpoint VPC e consente l'accesso completo a tutte le altre azioni sul servizio API Cloud Control.

```
{
  "Statement": [
    {
      "Action": "cloudformation:*",
      "Effect": "Allow",
      "Principal": "*",
      "Resource": "*"
    },
    {
      "Action": "cloudformation:CreateResource",
      "Effect": "Deny",
      "Principal": "*",
      "Resource": "*"
    }
  ]
}
```

## Consulta anche
<a name="see-also"></a>
+ [AWS servizi che si integrano con AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/aws-services-privatelink-support.html)

# CloudFormation Ganci
<a name="security-hooks"></a>

AWS CloudFormation Hooks è una funzionalità che puoi utilizzare per garantire che AWS Cloud Control API le tue risorse siano conformi alle migliori pratiche di sicurezza, operatività e ottimizzazione dei costi dell'organizzazione. Con Hooks, puoi fornire codice che ispeziona in modo proattivo la configurazione delle tue risorse prima del provisioning. Se vengono rilevate risorse non conformi, l'API Cloud Control fallisce l'operazione e impedisce il provisioning delle risorse oppure emette un avviso e consente il proseguimento dell'operazione di provisioning. Puoi utilizzare Hooks per valutare le configurazioni delle risorse dell'API Cloud Control prima di creare e aggiornare le operazioni.

## Creazione di un Hook per convalidare le configurazioni delle risorse dell'API Cloud Control
<a name="security-hooks-creating"></a>

Puoi creare un Hook per convalidare la configurazione delle risorse dell'API Cloud Control utilizzando la CloudFormation console, la AWS Command Line Interface (AWS CLI) o. CloudFormation Per ulteriori informazioni, consulta [Creazione e gestione degli AWS CloudFormation](https://docs.aws.amazon.com/cloudformation-cli/latest/hooks-userguide/creating-and-managing-hooks.html) Hooks.

## Utilizzo dell'API Cloud Control per la convalida
<a name="security-hooks-targeting"></a>

Puoi configurare i tuoi CloudFormation Hooks per indirizzare `CLOUD_CONTROL` le operazioni nella configurazione del tuo Hook. `TargetOperations`

Per ulteriori informazioni sull'utilizzo `TargetOperations` con Guard Hooks, consulta [le regole di Write Guard per valutare le risorse per Guard](https://docs.aws.amazon.com/cloudformation-cli/latest/hooks-userguide/guard-hooks-write-rules.html) Hooks.

Per ulteriori informazioni sull'utilizzo `TargetOperations` con Lambda Hooks, consulta Creare [funzioni Lambda per valutare le risorse per Lambda](https://docs.aws.amazon.com/cloudformation-cli/latest/hooks-userguide/lambda-hooks-create-lambda-function.html) Hooks.

## Analisi dei risultati delle chiamate di Hook
<a name="security-hooks-reviewing"></a>

È possibile visualizzare i risultati della chiamata chiamando utilizzando il. `GetResourceRequestStatus` `RequestToken`