本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
的雲端安全 AWS 是最高優先順序。身為 AWS 客戶,您可以受益於資料中心和網路架構,這些架構專為滿足最安全敏感組織的需求而建置。
安全是 AWS 與您之間的共同責任。共同責任模型
-
雲端的安全性 – AWS 負責保護在 中執行 AWS 服務的基礎設施 AWS 雲端。 AWS 也為您提供可安全使用的服務。在AWS 合規計畫
中,第三方稽核人員會定期測試和驗證我們安全的有效性。若要了解適用於雲端控制 API 的合規計劃,請參閱AWS 合規計劃的 服務範圍 。 -
雲端的安全性 – 您的責任取決於您使用 AWS 的服務。您也必須對其他因素負責,包括資料的機密性、您公司的要求和適用法律和法規。
Cloud Control API 繼承其安全架構, AWS CloudFormation 並在 AWS 共同責任模型中運作。若要在使用 Cloud Control API 時達成您的安全與合規目標,您必須設定 CloudFormation 安全控制。如需使用 CloudFormation 套用共同責任模型的指引,請參閱AWS CloudFormation 《 使用者指南》中的安全一節。您也可以了解如何使用其他 AWS 服務來協助您監控和保護 CloudFormation 和 Cloud Control API 資源。
Cloud Control API 的 IAM 政策動作
您必須建立並指派 AWS Identity and Access Management (IAM) 政策,授予 IAM 身分 (例如使用者或角色) 呼叫其所需 Cloud Control API 動作的許可。
在 IAM 政策陳述式的 Action元素中,您可以指定 Cloud Control API 提供的任何 API 動作。您必須以小寫字串 cloudformation: 做為動作名稱的字首,如下列範例所示。
"Action": "cloudformation:CreateResource"若要查看 Cloud Control API 動作的清單,請參閱《服務授權參考》中的 的動作、資源和條件索引鍵 AWS 雲端控制 API。
管理 Cloud Control API 資源的範例政策
以下顯示授予建立、讀取、更新和列出 (但不刪除) 資源動作的政策範例。
{
"Version":"2012-10-17",
"Statement":[{
"Effect":"Allow",
"Action":[
"cloudformation:CreateResource",
"cloudformation:GetResource",
"cloudformation:UpdateResource",
"cloudformation:ListResources"
],
"Resource":"*"
}]
}雲端控制 API 差異
Cloud Control API 和 CloudFormation 有幾個重要的差異:
對於 IAM:
-
雲端控制 API 目前不支援資源層級許可,即能夠使用 ARNs 在 IAM 政策中指定個別資源。
-
Cloud Control API 目前不支援在控制 Cloud Control API 資源存取的 IAM 政策中使用服務特定條件金鑰。
如需詳細資訊,請參閱服務授權參考中的 AWS 雲端控制 API的動作、資源和條件索引鍵。
其他差異:
-
雲端控制 API 目前不支援自訂資源。如需 CloudFormation 自訂資源的相關資訊,請參閱AWS CloudFormation 《 使用者指南》中的使用自訂資源建立自訂佈建邏輯。
-
當活動在 Cloud Control API 中發生並記錄在 中時 AWS CloudTrail,事件來源會列為
cloudcontrolapi.amazonaws.com。如需 Cloud Control API 操作的 CloudTrail 記錄資訊,請參閱AWS CloudFormation 《 使用者指南》中的使用 記錄 AWS CloudFormation API 呼叫 AWS CloudTrail。
帳戶範圍限制
Cloud Control API 提供一組 APIs用於在 AWS 資源上執行 CRUDL (建立、讀取、更新、刪除、列出) 操作。使用 Cloud Control API 時,您只能對自己的 AWS 資源執行 CRUDL 操作 AWS 帳戶。您無法對 AWS 屬於其他 的資源執行這些操作 AWS 帳戶。
