Ações de política do IAM para a Cloud Control API Diferenças da API Cloud Control Limitação do escopo da conta

Segurança em AWS Cloud Control API

A segurança na nuvem AWS é a maior prioridade. Como AWS cliente, você se beneficia de uma arquitetura de data center e rede criada para atender aos requisitos das organizações mais sensíveis à segurança.

A segurança é uma responsabilidade compartilhada entre você AWS e você. O modelo de responsabilidade compartilhada descreve isso como segurança da nuvem e segurança na nuvem:

Segurança da nuvem — AWS é responsável por proteger a infraestrutura que executa AWS os serviços no Nuvem AWS. AWS também fornece serviços que você pode usar com segurança. Auditores terceirizados testam e verificam regularmente a eficácia de nossa segurança como parte dos Programas de Conformidade Programas de AWS de . Para saber mais sobre os programas de conformidade que se aplicam à API Cloud Control, consulte AWS Serviços no escopo do programa de conformidade AWS .
Segurança na nuvem — Sua responsabilidade é determinada pelo AWS serviço que você usa. Você também é responsável por outros fatores, incluindo a confidencialidade de seus dados, os requisitos da empresa e as leis e regulamentos aplicáveis.

A Cloud Control API herda sua arquitetura de segurança AWS CloudFormation e opera dentro do modelo de responsabilidade AWS compartilhada. Para cumprir seus objetivos de segurança e conformidade ao usar a Cloud Control API, você precisa configurar os controles CloudFormation de segurança. Para obter orientação sobre como aplicar o modelo de responsabilidade compartilhada com CloudFormation, consulte a seção Segurança no Guia AWS CloudFormation do usuário. Você também pode aprender a usar outros AWS serviços que ajudam você a monitorar e proteger seus recursos CloudFormation e os da Cloud Control API.

Ações de política do IAM para a Cloud Control API

Você precisa criar e atribuir políticas AWS Identity and Access Management (IAM) que concedam permissão a uma identidade do IAM (como um usuário ou papel) para chamar as ações da API Cloud Control de que elas precisam.

No Action elemento da sua declaração de política do IAM, você pode especificar qualquer ação de API oferecida pela Cloud Control API. É necessário prefixar o nome da ação com a string em minúsculas cloudformation:, conforme mostrado no exemplo a seguir.


"Action": "cloudformation:CreateResource"

Para ver uma lista das ações da Cloud Control API, consulte Ações, recursos e chaves de condição AWS Cloud Control API na Referência de autorização de serviço.

Exemplo de política para gerenciar recursos da API Cloud Control

Veja a seguir um exemplo de uma política que concede ações de criação, leitura, atualização e lista (mas não exclusão) de recursos.


{
    "Version":"2012-10-17",
    "Statement":[{
        "Effect":"Allow",
        "Action":[
            "cloudformation:CreateResource",
            "cloudformation:GetResource",
            "cloudformation:UpdateResource",
            "cloudformation:ListResources"
        ],
        "Resource":"*"
    }]
}

Diferenças da API Cloud Control

A API Cloud Control CloudFormation tem várias diferenças importantes:

Para IAM:

Atualmente, a API Cloud Control não oferece suporte a permissões em nível de recurso, que é a capacidade de usar ARNs para especificar recursos individuais nas políticas do IAM.
Atualmente, a API Cloud Control não é compatível com o uso de chaves de condição específicas do serviço nas políticas do IAM que controlam o acesso aos recursos da API Cloud Control.

Para obter mais informações, consulte Ações, recursos e chaves de condição do AWS Cloud Control API, na Referência de autorização do serviço.

Diferenças adicionais:

Atualmente, a API Cloud Control não é compatível com recursos personalizados. Para obter informações sobre recursos CloudFormation personalizados, consulte Criar lógica de provisionamento personalizada com recursos personalizados no Guia do AWS CloudFormation usuário.
Quando a atividade ocorre na Cloud Control API e é registrada AWS CloudTrail, a origem do evento é listada comocloudcontrolapi.amazonaws.com. Para obter informações sobre como CloudTrail registrar as operações da API Cloud Control, consulte Registrar chamadas da AWS CloudFormation API AWS CloudTrail no Guia AWS CloudFormation do usuário.

Limitação do escopo da conta

A Cloud Control API fornece um conjunto APIs para realizar operações CRUDL (criar, ler, atualizar, excluir, listar) em AWS recursos. Ao usar a Cloud Control API, você só pode realizar operações CRUDL em AWS recursos dentro dos seus próprios Conta da AWS recursos. Você não pode realizar essas operações em AWS recursos que pertencem a outros Contas da AWS.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Tipos de recursos compatíveis

VPCpontos finais ()AWS PrivateLink