As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Segurança em AWS API Cloud Control
<a name="security"></a>

A segurança na nuvem AWS é a maior prioridade. Como AWS cliente, você se beneficia de uma arquitetura de data center e rede criada para atender aos requisitos das organizações mais sensíveis à segurança.

A segurança é uma responsabilidade compartilhada entre você AWS e você. O [modelo de responsabilidade compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) descreve isso como segurança *da* nuvem e segurança *na* nuvem:
+ **Segurança da nuvem** — AWS é responsável por proteger a infraestrutura que executa AWS os serviços no Nuvem AWS. AWS também fornece serviços que você pode usar com segurança. Auditores terceirizados testam e verificam regularmente a eficácia de nossa segurança como parte dos Programas de Conformidade Programas de [AWS](https://aws.amazon.com/compliance/programs/) de . Para saber mais sobre os programas de conformidade que se aplicam à API Cloud Control, consulte [AWS Serviços no escopo do programa de conformidade AWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Segurança na nuvem** — Sua responsabilidade é determinada pelo AWS serviço que você usa. Você também é responsável por outros fatores, incluindo a confidencialidade de seus dados, os requisitos da empresa e as leis e regulamentos aplicáveis.

A Cloud Control API herda sua arquitetura de segurança CloudFormation e opera dentro do modelo de responsabilidade AWS compartilhada. Para cumprir seus objetivos de segurança e conformidade ao usar a Cloud Control API, você precisa configurar os controles CloudFormation de segurança. Para obter orientação sobre como aplicar o modelo de responsabilidade compartilhada com CloudFormation, consulte a seção [Segurança](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/security.html) no *Guia AWS CloudFormation do usuário*. Você também pode aprender a usar outros AWS serviços que ajudam você a monitorar e proteger seus recursos CloudFormation e os da Cloud Control API.

## Ações de política do IAM para a Cloud Control API
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

Você precisa criar e atribuir políticas AWS Identity and Access Management (IAM) que concedam permissão a uma identidade do IAM (como um usuário ou papel) para chamar as ações da API Cloud Control de que elas precisam.

No `Action` elemento da sua declaração de política do IAM, você pode especificar qualquer ação de API oferecida pela Cloud Control API. É necessário prefixar o nome da ação com a string em minúsculas `cloudformation:`, conforme mostrado no exemplo a seguir.

```
"Action": "cloudformation:CreateResource"
```

Para ver uma lista das ações da Cloud Control API, consulte [Ações, recursos e chaves de condição AWS API Cloud Control](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudcontrolapi.html) na *Referência de autorização de serviço*.

**Exemplo de política para gerenciar recursos da API Cloud Control**  
Veja a seguir um exemplo de uma política que concede ações de criação, leitura, atualização e lista (mas não exclusão) de recursos.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement":[{
        "Effect":"Allow",
        "Action":[
            "cloudformation:CreateResource",
            "cloudformation:GetResource",
            "cloudformation:UpdateResource",
            "cloudformation:ListResources"
        ],
        "Resource":"*"
    }]
}
```

------

## Diferenças da API Cloud Control
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

A API Cloud Control CloudFormation tem várias diferenças importantes: 

Para o IAM:
+ Atualmente, a API Cloud Control não oferece suporte a permissões em nível de recurso, que é a capacidade de usar ARNs para especificar recursos individuais nas políticas do IAM.
+ Atualmente, a API Cloud Control não é compatível com o uso de chaves de condição específicas do serviço nas políticas do IAM que controlam o acesso aos recursos da API Cloud Control.

Para obter mais informações, consulte [Ações, recursos e chaves de condição do AWS API Cloud Control](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudcontrolapi.html), na *Referência de autorização do serviço*.

Diferenças adicionais:
+ Atualmente, a API Cloud Control não é compatível com recursos personalizados. Para obter informações sobre recursos CloudFormation personalizados, consulte [Criar lógica de provisionamento personalizada com recursos personalizados no Guia](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/template-custom-resources.html) do *AWS CloudFormation usuário*.
+ Quando a atividade ocorre na Cloud Control API e é registrada AWS CloudTrail, a origem do evento é listada como`cloudcontrolapi.amazonaws.com`. Para obter informações sobre como CloudTrail registrar as operações da API Cloud Control, consulte [Registrar chamadas da AWS CloudFormation API AWS CloudTrail](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-api-logging-cloudtrail.html) no *Guia AWS CloudFormation do usuário*.

## Limitação do escopo da conta
<a name="account-scope-limitation"></a>

A Cloud Control API fornece um conjunto APIs para realizar operações CRUDL (criar, ler, atualizar, excluir, listar) em AWS recursos. Ao usar a Cloud Control API, você só pode realizar operações CRUDL em AWS recursos dentro dos seus próprios Conta da AWS recursos. Você não pode realizar essas operações em AWS recursos que pertencem a outros Contas da AWS.

# API Cloud Control e interface VPC endpoints ()AWS PrivateLink
<a name="vpc-interface-endpoints"></a>

Você pode usar AWS PrivateLink para criar uma conexão privada entre sua VPC e. AWS API Cloud Control Você pode acessar a Cloud Control API como se estivesse em sua VPC, sem o uso de um gateway de internet, dispositivo NAT, conexão VPN ou conexão. Direct Connect As instâncias na sua VPC não precisam de endereços IP públicos para acessar a API Cloud Control.

Estabeleça essa conectividade privada criando um *endpoint de interface*, habilitado pelo AWS PrivateLink. Criaremos um endpoint de interface de rede em cada sub-rede que você habilitar para o endpoint de interface. Essas são interfaces de rede gerenciadas pelo solicitante que servem como ponto de entrada para o tráfego destinado à API Cloud Control. 

A Cloud Control API permite fazer chamadas para todas as ações da API por meio do endpoint da interface.

## Considerações sobre endpoints da VPC da API de Controle da Nuvem
<a name="vpc-endpoint-considerations"></a>

*Antes de configurar uma interface VPC endpoint para a Cloud Control API, primeiro verifique se você atendeu aos pré-requisitos no tópico [Acessar um serviço AWS usando uma interface VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) endpoint no Guia.AWS PrivateLink *

## Criar um endpoint da VPC de interface para a API de Controle da Nuvem
<a name="vpc-endpoint-create"></a>

Você pode criar um VPC endpoint para a API Cloud Control usando o console Amazon VPC ou o (). AWS Command Line Interface AWS CLI Para obter mais informações, consulte [Create a VPC endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) (Criar um endpoint da VPC) no *Guia do AWS PrivateLink *.

Crie um endpoint de interface para a Cloud Control API usando o seguinte nome de serviço:
+ com.amazonaws. *region*.API de controle de nuvem

Se você habilitar o DNS privado para o endpoint, poderá fazer solicitações de API para a API de Controle da Nuvem usando seu nome DNS padrão para a região, por exemplo, `cloudcontrolapi.us-east-1.amazonaws.com`.

Para obter mais informações, consulte [Acessar um serviço da AWS por meio de um endpoint da VPC de interface](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#access-service-though-endpoint) no *Guia do usuário do Amazon VPC*.

## Criar uma política de endpoint da VPC para a API de Controle da Nuvem
<a name="vpc-endpoint-policy"></a>

É possível anexar uma política de endpoint ao endpoint da VPC que controla o acesso aa API de Controle da Nuvem. Essa política especifica as seguintes informações:
+ A entidade principal que pode realizar ações.
+ As ações que podem ser realizadas.
+ Os recursos aos quais as ações podem ser aplicadas.

Para obter mais informações, consulte [Controlar o acesso aos endpoints da VPC usando políticas de endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) no *Guia AWS PrivateLink *.

**Importante**  
Os detalhes da política de endpoint do VPCE não são passados para nenhum serviço downstream invocado pela API de Controle da Nuvem para avaliação. Por esse motivo, as políticas que especificam ações ou recursos que pertencem aos serviços downstream não são aplicadas.  
Por exemplo, suponha que você tenha criado uma instância do Amazon EC2 em uma instância de VPC com um endpoint da VPC para a API de Controle da Nuvem em uma sub-rede sem acesso à Internet. Em seguida, você anexa a seguinte política de endpoint da VPC ao VPCE:  

```
{
  "Statement": [
    {
      "Action": [
        "cloudformation:*",
        "ec2:*",
        "lambda:*"
      ]
      "Effect": "Allow",
      "Principal": "*",
      "Resource": "*"
    }
  ]
}
```
Se um usuário com acesso de administrador enviar uma solicitação para acessar um bucket do Amazon S3 na instância, nenhum erro de serviço será retornado, mesmo que o acesso ao Amazon S3 não seja concedido na política do VPCE.

**Exemplo: política de endpoint da VPC para ações da API de Controle da Nuvem**  
Veja a seguir um exemplo de uma política de endpoint da API de Controle da Nuvem. Quando anexada a um endpoint, essa política concede acesso às ações indicadas da API de Controle da Nuvem para todas as entidades principais em todos os recursos. O exemplo a seguir nega a todos os usuários a permissão para criar recursos por meio do endpoint da VPC e permite acesso total a todas as outras ações no serviça API de Controle da Nuvem.

```
{
  "Statement": [
    {
      "Action": "cloudformation:*",
      "Effect": "Allow",
      "Principal": "*",
      "Resource": "*"
    },
    {
      "Action": "cloudformation:CreateResource",
      "Effect": "Deny",
      "Principal": "*",
      "Resource": "*"
    }
  ]
}
```

## Consulte também
<a name="see-also"></a>
+ [AWS serviços que se integram com AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/aws-services-privatelink-support.html)

# CloudFormation Ganchos
<a name="security-hooks"></a>

AWS CloudFormation Hooks é um recurso que você pode usar para garantir que seus AWS API Cloud Control recursos estejam em conformidade com as melhores práticas de segurança, operação e otimização de custos de sua organização. Com o Hooks, você pode fornecer um código que inspeciona proativamente a configuração de seus recursos antes do provisionamento. Se recursos não compatíveis forem encontrados, a Cloud Control API falhará na operação e impedirá que os recursos sejam provisionados, ou emite um aviso e permite que a operação de provisionamento continue. Você pode usar Hooks para avaliar suas configurações de recursos da API Cloud Control antes de criar e atualizar as operações.

## Criação de um Hook para validar as configurações de recursos da Cloud Control API
<a name="security-hooks-creating"></a>

Você pode criar um Hook para validar sua configuração de recursos da API Cloud Control usando o CloudFormation console, a AWS Command Line Interface (AWS CLI) ou. CloudFormation Para obter mais informações, consulte [Criação e gerenciamento de AWS CloudFormation ganchos](https://docs.aws.amazon.com/cloudformation-cli/latest/hooks-userguide/creating-and-managing-hooks.html).

## Como direcionar a API Cloud Control para validação
<a name="security-hooks-targeting"></a>

Você pode configurar seus CloudFormation Hooks para direcionar `CLOUD_CONTROL` as operações na `TargetOperations` configuração do Hook.

Para obter mais informações sobre como usar `TargetOperations` com Guard Hooks, consulte [Write Guard rules para avaliar recursos para Guard Hooks](https://docs.aws.amazon.com/cloudformation-cli/latest/hooks-userguide/guard-hooks-write-rules.html).

Para obter mais informações sobre como usar `TargetOperations` com Lambda Hooks, consulte Criar [funções Lambda para avaliar recursos para Lambda](https://docs.aws.amazon.com/cloudformation-cli/latest/hooks-userguide/lambda-hooks-create-lambda-function.html) Hooks.

## Analisando os resultados da invocação do Hook
<a name="security-hooks-reviewing"></a>

Você pode ver os resultados da sua invocação chamando `GetResourceRequestStatus` usando o. `RequestToken`