기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 의 보안 AWS Cloud Control API
의 클라우드 보안 AWS 이 최우선 순위입니다. AWS 고객은 보안에 가장 민감한 조직의 요구 사항을 충족하도록 구축된 데이터 센터 및 네트워크 아키텍처의 이점을 누릴 수 있습니다.
보안은 AWS 와 사용자 간의 공동 책임입니다. [공동 책임 모델](https://aws.amazon.com/compliance/shared-responsibility-model/)은 이 사항을 클라우드*의* 보안 및 클라우드 *내* 보안으로 설명합니다.
+ **클라우드 보안 **- AWS 는에서 AWS 서비스를 실행하는 인프라를 보호할 책임이 있습니다 AWS 클라우드. AWS 또한는 안전하게 사용할 수 있는 서비스를 제공합니다. 타사 감사자는 [AWS 규정 준수 프로그램](https://aws.amazon.com/compliance/programs/) 일환으로 보안의 효과를 정기적으로 테스트하고 확인합니다. Cloud Control API에 적용되는 규정 준수 프로그램에 대한 자세한 내용은 규정 준수 프로그램 [AWS 제공 범위 내 서비스규정 준수 프로그램](https://aws.amazon.com/compliance/services-in-scope/) .
+ **클라우드의 보안** - 사용자의 책임은 사용하는 AWS 서비스에 따라 결정됩니다. 또한 귀하는 귀사의 데이터 민감도, 귀사의 요구 사항, 관련 법률 및 규정을 비롯한 기타 요소에 대해서도 책임이 있습니다.
Cloud Control API는 AWS 공동 책임 모델에서 보안 아키텍처를 상속 CloudFormation 하고 운영합니다. Cloud Control API를 사용할 때 보안 및 규정 준수 목표를 충족하려면 CloudFormation 보안 제어를 구성해야 합니다. CloudFormation에 공동 책임 모델을 적용하는 방법에 대한 지침은 *AWS CloudFormation 사용 설명서*의 [보안](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/security.html) 섹션을 참조하세요. CloudFormation 및 Cloud Control API 리소스를 모니터링하고 보호하는 데 도움이 되는 다른 AWS 서비스를 사용하는 방법을 배울 수도 있습니다.
## Cloud Control API에 대한 IAM 정책 작업
IAM 자격 증명 AWS Identity and Access Management (예: 사용자 또는 역할)에 필요한 Cloud Control API API 작업을 호출할 수 있는 권한을 부여하는 (IAM) 정책을 생성하고 할당해야 합니다.
IAM 정책 설명의 `Action` 요소에서 Cloud Control API가 제공하는 모든 API 작업을 지정할 수 있습니다. 다음 예와 같이 작업 이름 앞에 접두사로 소문자 문자열 `cloudformation:`을 붙여야 합니다.
```
"Action": "cloudformation:CreateResource"
```
Cloud Control API 작업 목록을 보려면 *서비스 승인* 참조의에 [사용되는 작업, 리소스 및 조건 키를 AWS Cloud Control API](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudcontrolapi.html) 참조하세요.
**Cloud Control API 리소스를 관리하기 위한 정책 예제**
다음은 리소스 생성, 읽기, 업데이트 및 나열(삭제는 아님) 작업을 부여하는 정책의 예입니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[{
"Effect":"Allow",
"Action":[
"cloudformation:CreateResource",
"cloudformation:GetResource",
"cloudformation:UpdateResource",
"cloudformation:ListResources"
],
"Resource":"*"
}]
}
```
------
## Cloud Control API 차이점
Cloud Control API와 CloudFormation에는 몇 가지 중요한 차이점이 있습니다.
IAM의 경우:
+ Cloud Control API는 현재 ARNs을 사용하여 IAM 정책에서 개별 리소스를 지정하는 기능인 리소스 수준 권한을 지원하지 않습니다.
+ Cloud Control API는 현재 Cloud Control API 리소스에 대한 액세스를 제어하는 IAM 정책에서 서비스별 조건 키 사용을 지원하지 않습니다.
자세한 내용은 *서비스 권한 부여 참조*에서 [AWS Cloud Control API에 사용되는 작업, 리소스 및 조건 키](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudcontrolapi.html)를 참조하세요.
추가 차이점:
+ Cloud Control API는 현재 사용자 지정 리소스를 지원하지 않습니다. CloudFormation 사용자 지정 리소스에 대한 자세한 내용은 *AWS CloudFormation 사용 설명서*의 [사용자 지정 리소스를 사용하여 사용자 지정 프로비저닝 로직 생성을](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/template-custom-resources.html) 참조하세요.
+ Cloud Control API에서 활동이 발생하고에 기록되면 AWS CloudTrail이벤트 소스가 로 나열됩니다`cloudcontrolapi.amazonaws.com`. Cloud Control API 작업을 위한 CloudTrail 로깅에 대한 자세한 내용은 *AWS CloudFormation 사용 설명서*의 [를 사용하여 AWS CloudFormation API 호출 로깅 AWS CloudTrail](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-api-logging-cloudtrail.html)을 참조하세요.
## 계정 범위 제한
Cloud Control API는 AWS 리소스에서 CRUDL(생성, 읽기, 업데이트, 삭제, 목록) 작업을 수행하기 위한 APIs 세트를 제공합니다. Cloud Control API를 사용하는 경우 자체 내의 AWS 리소스에 대해서만 CRUDL 작업을 수행할 수 있습니다 AWS 계정. 다른에 AWS 속한 리소스에서는 이러한 작업을 수행할 수 없습니다 AWS 계정.
# Cloud Control API 및 인터페이스 VPC 엔드포인트(AWS PrivateLink)
AWS PrivateLink 를 사용하여 VPC와 간에 프라이빗 연결을 생성할 수 있습니다 AWS Cloud Control API. 인터넷 게이트웨이, NAT 디바이스, VPN 연결 또는 Direct Connect 연결을 사용하지 않고 VPC에 있는 것처럼 Cloud Control API에 액세스할 수 있습니다. VPC의 인스턴스는 Cloud Control API에 액세스하는 데 퍼블릭 IP 주소가 필요하지 않습니다.
AWS PrivateLink에서 제공되는 *인터페이스 엔드포인트*를 생성하여 이 프라이빗 연결을 설정합니다. 인터페이스 엔드포인트에 대해 사용 설정하는 각 서브넷에서 엔드포인트 네트워크 인터페이스를 생성합니다. 이는 Cloud Control API로 향하는 트래픽의 진입점 역할을 하는 요청자 관리형 네트워크 인터페이스입니다.
Cloud Control API는 인터페이스 엔드포인트를 통해 모든 API 작업을 호출할 수 있도록 지원합니다.
## Cloud Control API VPC 엔드포인트에 대한 고려 사항
Cloud Control API에 대한 인터페이스 VPC 엔드포인트를 설정하기 전에 먼저 *AWS PrivateLink 가이드*의 [인터페이스 VPC 엔드포인트를 사용하여 AWS 서비스 액세스](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) 주제의 사전 조건을 충족했는지 확인합니다.
## Cloud Control API에 대한 인터페이스 VPC 엔드포인트 생성
Amazon VPC 콘솔 또는 AWS Command Line Interface ()를 사용하여 Cloud Control API용 VPC 엔드포인트를 생성할 수 있습니다AWS CLI. 자세한 정보는 *AWS PrivateLink 가이드*의 [VPC 엔드포인트 생성](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws)을 참조하세요.
다음 서비스 이름을 사용하여 Cloud Control API에 대한 인터페이스 엔드포인트를 생성합니다.
+ com.amazonaws. *region*.cloudcontrolapi
엔드포인트에 프라이빗 DNS를 사용하도록 설정하는 경우 리전에 대한 기본 DNS 이름(예: `cloudcontrolapi.us-east-1.amazonaws.com`)을 사용하여 Cloud Control API에 API 요청을 할 수 있습니다.
자세한 내용은 *Amazon VPC 사용자 가이드*의 [인터페이스 VPC 엔드포인트를 사용하여 AWS 서비스에 액세스](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#access-service-though-endpoint)를 참조하세요.
## Cloud Control API에 대한 VPC 엔드포인트 정책 생성
Cloud Control API에 대한 액세스를 제어하는 VPC 엔드포인트에 엔드포인트 정책을 연결할 수 있습니다. 이 정책은 다음 정보를 지정합니다.
+ 작업을 수행할 수 있는 위탁자.
+ 수행할 수 있는 작업.
+ 작업을 수행할 수 있는 리소스
자세한 정보는 *AWS PrivateLink 가이드*의 [엔드포인트 정책을 사용하여 VPC 엔드포인트에 대한 액세스 제어](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)를 참조하세요.
**중요**
VPCE 엔드포인트 정책 세부 정보는 평가를 위해 Cloud Control API가 호출하는 다운스트림 서비스에 전달되지 않습니다. 이로 인해 다운스트림 서비스에 속하는 작업이나 리소스를 지정하는 정책은 적용되지 않습니다.
예를 들어 인터넷에 액세스할 수 없는 서브넷에서 Cloud Control API용 VPC 엔드포인트가 있는 VPC 인스턴스에 Amazon EC2 인스턴스를 생성했다고 가정해 보겠습니다. 다음으로 다음 VPC 엔드포인트 정책을 VPCE에 연결합니다.
```
{
"Statement": [
{
"Action": [
"cloudformation:*",
"ec2:*",
"lambda:*"
]
"Effect": "Allow",
"Principal": "*",
"Resource": "*"
}
]
}
```
관리자 액세스 권한을 가진 사용자가 인스턴스의 Amazon S3 버킷에 액세스하라는 요청을 보내면 VPCE 정책에서 Amazon S3 액세스 권한이 부여되지 않더라도 서비스 오류는 반환되지 않습니다.
**예제: Cloud Control API 작업에 대한 VPC 엔드포인트 정책**
다음은 Cloud Control API에 대한 엔드포인트 정책의 예입니다. 이 정책은 엔드포인트에 연결될 때 모든 리소스의 모든 보안 주체에 대한 액세스 권한을 나열된 Cloud Control API 작업에 부여합니다. 다음 예제에서는 모든 사용자에게 VPC 엔드포인트를 통해 리소르를 생성할 수 있는 권한을 거부하고 Cloud Control API 서비스의 다른 모든 작업에 대한 전체 액세스를 허용합니다.
```
{
"Statement": [
{
"Action": "cloudformation:*",
"Effect": "Allow",
"Principal": "*",
"Resource": "*"
},
{
"Action": "cloudformation:CreateResource",
"Effect": "Deny",
"Principal": "*",
"Resource": "*"
}
]
}
```
## 다음 사항도 참조하세요.
+ [AWS 와 통합되는 서비스 AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/aws-services-privatelink-support.html)
# CloudFormation 후크
AWS CloudFormation 후크는 AWS Cloud Control API 리소스가 조직의 보안, 운영 및 비용 최적화 모범 사례를 준수하도록 하는 데 사용할 수 있는 기능입니다. 후크를 사용하면 프로비저닝 전에 리소스 구성을 사전에 검사하는 코드를 제공할 수 있습니다. 규정을 준수하지 않는 리소스가 발견되면 Cloud Control API는 작업에 실패하고 리소스 프로비저닝을 방지하거나 경고를 내보내고 프로비저닝 작업을 계속할 수 있습니다. 작업을 생성하고 업데이트하기 전에 후크를 사용하여 Cloud Control API 리소스 구성을 평가할 수 있습니다.
## Cloud Control API 리소스 구성을 검증하기 위한 후크 생성
CloudFormation 콘솔, AWS Command Line Interface (AWS CLI) 또는 CloudFormation을 사용하여 Cloud Control API 리소스 구성을 검증하는 후크를 생성할 수 있습니다. 자세한 내용은 [AWS CloudFormation 후크 생성 및 관리를 참조하세요](https://docs.aws.amazon.com/cloudformation-cli/latest/hooks-userguide/creating-and-managing-hooks.html).
## 검증을 위한 Cloud Control API 대상 지정
후크 구성에서 `CLOUD_CONTROL` 작업을 대상으로 하도록 CloudFormation 후크를 구성할 수 있습니다`TargetOperations`.
Guard Hook에서 `TargetOperations`를 사용하는 방법에 대한 자세한 내용은 [Guard Hook의 리소스를 평가하기 위한 Guard 규칙 쓰기를 참조하세요](https://docs.aws.amazon.com/cloudformation-cli/latest/hooks-userguide/guard-hooks-write-rules.html).
Lambda 후크와 `TargetOperations` 함께를 사용하는 방법에 대한 자세한 내용은 [Lambda 후크에 대한 리소스를 평가하기 위한 Lambda 함수 생성을 참조하세요](https://docs.aws.amazon.com/cloudformation-cli/latest/hooks-userguide/lambda-hooks-create-lambda-function.html).
## 후크 호출 결과 검토
를 `GetResourceRequestStatus` 사용하여를 호출하여 호출 결과를 볼 수 있습니다`RequestToken`.