翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# のセキュリティ AWS クラウドコントロール API
<a name="security"></a>

のクラウドセキュリティが最優先事項 AWS です。お客様は AWS 、セキュリティを最も重視する組織の要件を満たすように構築されたデータセンターとネットワークアーキテクチャを活用できます。

セキュリティは、 AWS お客様とお客様の間の責任共有です。[責任共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)ではこれをクラウド*の*セキュリティおよびクラウド*内*のセキュリティと説明しています。
+ **クラウドのセキュリティ** – AWS は、 で AWS サービスを実行するインフラストラクチャを保護する責任を担います AWS クラウド。 は、お客様が安全に使用できるサービス AWS も提供します。サードパーティーの監査者は、[AWS コンプライアンスプログラム](https://aws.amazon.com/compliance/programs/)コンプライアンスプログラムの一環として、当社のセキュリティの有効性を定期的にテストおよび検証。Cloud Control API に適用されるコンプライアンスプログラムの詳細については、「コンプライアンスプログラム[AWS による対象範囲内のサービスコンプライアンスプログラム](https://aws.amazon.com/compliance/services-in-scope/)」を参照してください。
+ **クラウド内のセキュリティ** – お客様の責任は、使用する AWS サービスによって決まります。また、ユーザーは、データの機密性、会社の要件、適用される法律や規制など、その他の要因についても責任を負います。

Cloud Control API は、 からセキュリティアーキテクチャを継承 CloudFormation し、 責任 AWS 共有モデル内で動作します。Cloud Control API を使用する際のセキュリティおよびコンプライアンスの目的を満たすには、CloudFormation セキュリティコントロールを設定する必要があります。CloudFormation での責任共有モデルの適用に関するガイダンスについては、*AWS CloudFormation 「 ユーザーガイド*」の[「 セキュリティ](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/security.html)」セクションを参照してください。CloudFormation および Cloud Control API リソースのモニタリングと保護に役立つ他の AWS サービスの使用方法についても説明します。

## Cloud Control API の IAM ポリシーアクション
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

IAM ID (ユーザーやロールなど) に必要な Cloud Control API アクションを呼び出すアクセス許可を付与する AWS Identity and Access Management (IAM) ポリシーを作成して割り当てる必要があります。

IAM ポリシーステートメントの `Action`要素で、Cloud Control API が提供する任意の API アクションを指定できます。次の例に示すように、アクション名の前に小文字の文字列 `cloudformation:` を指定する必要があります。

```
"Action": "cloudformation:CreateResource"
```

Cloud Control API アクションのリストを確認するには、*「サービス認可リファレンス*」の[「 のアクション、リソース、および条件キー AWS クラウドコントロール API](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudcontrolapi.html)」を参照してください。

**Cloud Control API リソースを管理するポリシーの例**  
以下は、リソースの作成、読み取り、更新、一覧表示 (削除ではない) アクションを許可するポリシーの例です。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement":[{
        "Effect":"Allow",
        "Action":[
            "cloudformation:CreateResource",
            "cloudformation:GetResource",
            "cloudformation:UpdateResource",
            "cloudformation:ListResources"
        ],
        "Resource":"*"
    }]
}
```

------

## Cloud Control API の違い
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

Cloud Control API と CloudFormation にはいくつかの重要な違いがあります。

IAM の場合
+ Cloud Control API は現在、リソースレベルのアクセス許可をサポートしていません。これは、ARNsを使用して IAM ポリシーで個々のリソースを指定する機能です。
+ Cloud Control API は現在、Cloud Control API リソースへのアクセスを制御する IAM ポリシーでのサービス固有の条件キーの使用をサポートしていません。

詳細については、「*サービス認可リファレンス*」の「[AWS クラウドコントロール APIのアクション、リソース、および条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudcontrolapi.html)」を参照してください。

その他の違い:
+ Cloud Control API は現在、カスタムリソースをサポートしていません。CloudFormation カスタムリソースの詳細については、「 *AWS CloudFormation ユーザーガイド*」の[「カスタムリソースを使用してカスタムプロビジョニングロジックを作成する](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/template-custom-resources.html)」を参照してください。
+ Cloud Control API でアクティビティが発生し、 に記録されると AWS CloudTrail、イベントソースは としてリストされます`cloudcontrolapi.amazonaws.com`。Cloud Control API オペレーションの CloudTrail ログ記録の詳細については、*AWS CloudFormation 「 ユーザーガイド*」の「 [を使用した AWS CloudFormation API コールのログ記録 AWS CloudTrail](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-api-logging-cloudtrail.html)」を参照してください。

## アカウントスコープの制限
<a name="account-scope-limitation"></a>

Cloud Control API には、 AWS リソースに対して CRUDL (作成、読み取り、更新、削除、一覧表示) オペレーションを実行するためのAPIs が用意されています。Cloud Control API を使用する場合、独自の AWS リソースに対してのみ CRUDL オペレーションを実行できます AWS アカウント。これらのオペレーションは、他の に属するリソースでは AWS 実行できません AWS アカウント。

# Cloud Control API とインターフェイス VPC エンドポイント (AWS PrivateLink)
<a name="vpc-interface-endpoints"></a>

を使用して AWS PrivateLink 、VPC と の間にプライベート接続を作成できます AWS クラウドコントロール API。インターネットゲートウェイ、NAT デバイス、VPN 接続、または Direct Connect 接続を使用せずに、VPC 内にあるかのように Cloud Control API にアクセスできます。VPC 内のインスタンスは、Cloud Control API にアクセスするためにパブリック IP アドレスを必要としません。

このプライベート接続を確立するには、 AWS PrivateLinkを利用した*インターフェイスエンドポイント*を作成します。インターフェイスエンドポイントに対して有効にする各サブネットにエンドポイントネットワークインターフェイスを作成します。これらは、Cloud Control API 宛てのトラフィックのエントリポイントとして機能するリクエスタマネージドネットワークインターフェイスです。

Cloud Control API は、インターフェイスエンドポイントを介したすべての API アクションの呼び出しをサポートしています。

## Cloud Control API VPC エンドポイントに関する考慮事項
<a name="vpc-endpoint-considerations"></a>

Cloud Control API のインターフェイス VPC エンドポイントを設定する前に、まず「 *AWS PrivateLink ガイド*」の[「インターフェイス VPC エンドポイントを使用して AWS サービスにアクセスする](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)」トピックの前提条件を満たしていることを確認してください。

## Cloud Control API 用のインターフェイス VPC エンドポイントの作成
<a name="vpc-endpoint-create"></a>

Cloud Control API の VPC エンドポイントは、Amazon VPC コンソールまたは AWS Command Line Interface () を使用して作成できますAWS CLI。詳細については、「*AWS PrivateLink ガイド*」の「[Create a VPC endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws)」を参照してください。

次のサービス名を使用して Cloud Control API のインターフェイスエンドポイントを作成します。
+ com.amazonaws.*region*.cloudcontrolapi

エンドポイントに対してプライベート DNS を有効にすると、リージョンのデフォルト DNS 名 (`cloudcontrolapi.us-east-1.amazonaws.com` など) を使用して、Cloud Control API への API リクエストを実行できます。

詳細については、「Amazon VPC ユーザーガイド」の「[インターフェイス VPC エンドポイントを使用して AWS のサービスにアクセスする](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#access-service-though-endpoint)」を参照してください。

## Cloud Control API 用の VPC エンドポイントポリシーの作成
<a name="vpc-endpoint-policy"></a>

VPC エンドポイントに Cloud Control API へのアクセスをコントロールするエンドポイントポリシーをアタッチできます。このポリシーでは、以下の情報を指定します。
+ アクションを実行できるプリンシパル。
+ 実行可能なアクション。
+ アクションを実行できるリソース。

詳細については、『*AWS PrivateLink ガイド*』の「[Control access to VPC endpoints using endpoint policies (エンドポイントポリシーを使用して VPC エンドポイントへのアクセスをコントロールする)](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)」を参照してください。

**重要**  
VPCE エンドポイントポリシーの詳細は、Cloud Control API によって呼び出されるダウンストリームサービスには評価のために渡されません。このため、ダウンストリームサービスに属するアクションやリソースを指定するポリシーは適用されません。  
例えば、インターネットにアクセスできないサブネット内の Cloud Control API 用の VPC エンドポイントを持つ VPC インスタンスに Amazon EC2 インスタンスを作成したとします。次に、以下の VPC エンドポイントポリシーを VPCE にアタッチします。  

```
{
  "Statement": [
    {
      "Action": [
        "cloudformation:*",
        "ec2:*",
        "lambda:*"
      ]
      "Effect": "Allow",
      "Principal": "*",
      "Resource": "*"
    }
  ]
}
```
管理者アクセス権を持つユーザーがインスタンスの Amazon S3 バケットにアクセスするリクエストを送信した場合、VPCE ポリシーで Amazon S3 アクセスが許可されていなくても、サービスエラーは返されません。

**例: Cloud Control API アクション用の VPC エンドポイントポリシー**  
Cloud Control API のエンドポイントポリシーの例を以下に示します。エンドポイントにアタッチされると、このポリシーは、すべてのリソースですべてのプリンシパルに、リストされている Cloud Control API アクションへのアクセスを付与します。以下の例では、VPC エンドポイントを経由してリソースを作成するアクセス許可をすべてのユーザーに対して拒否し、Cloud Control API サービスの他のすべてのアクションへのフルアクセスを許可します。

```
{
  "Statement": [
    {
      "Action": "cloudformation:*",
      "Effect": "Allow",
      "Principal": "*",
      "Resource": "*"
    },
    {
      "Action": "cloudformation:CreateResource",
      "Effect": "Deny",
      "Principal": "*",
      "Resource": "*"
    }
  ]
}
```

## 関連情報
<a name="see-also"></a>
+ [AWS と統合する サービス AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/aws-services-privatelink-support.html)

# CloudFormation フック
<a name="security-hooks"></a>

AWS CloudFormation フックは、 AWS クラウドコントロール API リソースが組織のセキュリティ、運用、コスト最適化のベストプラクティスに準拠していることを確認するために使用できる機能です。Hooks を使用すると、プロビジョニング前にリソースの設定をプロアクティブに検査するコードを提供できます。非準拠のリソースが見つかった場合、Cloud Control API は オペレーションを失敗させ、リソースのプロビジョニングを禁止するか、警告を発してプロビジョニングオペレーションを続行できるようにします。フックを使用して、オペレーションを作成および更新する前に Cloud Control API リソース設定を評価できます。

## Cloud Control API リソース設定を検証するためのフックの作成
<a name="security-hooks-creating"></a>

フックを作成して、CloudFormation コンソール、 AWS Command Line Interface （AWS CLI)、または CloudFormation のいずれかを使用して Cloud Control API リソース設定を検証できます。詳細については、[AWS CloudFormation 「フックの作成と管理](https://docs.aws.amazon.com/cloudformation-cli/latest/hooks-userguide/creating-and-managing-hooks.html)」を参照してください。

## 検証のための Cloud Control API のターゲット設定
<a name="security-hooks-targeting"></a>

フックの設定で`CLOUD_CONTROL`オペレーションをターゲットにするように CloudFormation フック`TargetOperations`を設定できます。

ガードフック`TargetOperations`で を使用する方法の詳細については、[「ガードフックのリソースを評価するガードルールの書き込み](https://docs.aws.amazon.com/cloudformation-cli/latest/hooks-userguide/guard-hooks-write-rules.html)」を参照してください。

Lambda フック`TargetOperations`で を使用する方法の詳細については、[「Lambda フックのリソースを評価する Lambda 関数を作成する](https://docs.aws.amazon.com/cloudformation-cli/latest/hooks-userguide/lambda-hooks-create-lambda-function.html)」を参照してください。

## フック呼び出し結果の確認
<a name="security-hooks-reviewing"></a>

`GetResourceRequestStatus` を使用して を呼び出すことで、呼び出しの結果を表示できます`RequestToken`。