本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 中的安全性 AWS 雲端控制 API
<a name="security"></a>

的雲端安全性 AWS 是最高優先順序。身為 AWS 客戶，您可以受益於資料中心和網路架構，這些架構專為符合最安全敏感組織的需求而建置。

安全性是 AWS 與您之間的共同責任。[共同責任模式](https://aws.amazon.com/compliance/shared-responsibility-model/)將其描述為雲端*的*安全性，和雲端*中*的安全性：
+ **雲端的安全性** – AWS 負責保護在 中執行 AWS 服務的基礎設施 AWS 雲端。 AWS 也為您提供可安全使用的服務。在[AWS 合規計畫](https://aws.amazon.com/compliance/programs/)中，第三方稽核人員會定期測試和驗證我們的安全有效性。若要了解適用於雲端控制 API 的合規計劃，請參閱[AWS 合規計劃的 服務範圍](https://aws.amazon.com/compliance/services-in-scope/)。
+ **雲端的安全性** – 您的責任取決於您使用 AWS 的服務。您也必須對其他因素負責，包括資料的機密性、您公司的要求和適用法律和法規。

Cloud Control API 繼承其安全架構， CloudFormation 並在 AWS 共同責任模型中運作。若要在使用 Cloud Control API 時達成您的安全與合規目標，您必須設定 CloudFormation 安全控制。如需使用 CloudFormation 套用共同責任模型的指引，請參閱*AWS CloudFormation 《 使用者指南*》中的[安全性](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/security.html)一節。您也可以了解如何使用其他 AWS 服務來協助您監控和保護 CloudFormation 和 Cloud Control API 資源。

## Cloud Control API 的 IAM 政策動作
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

您必須建立並指派 AWS Identity and Access Management (IAM) 政策，授予 IAM 身分 （例如使用者或角色） 呼叫其所需 Cloud Control API 動作的許可。

在 IAM 政策陳述式的 `Action`元素中，您可以指定 Cloud Control API 提供的任何 API 動作。您必須以小寫字串 `cloudformation:` 做為動作名稱的字首，如下列範例所示。

```
"Action": "cloudformation:CreateResource"
```

若要查看 Cloud Control API 動作的清單，請參閱*《服務授權參考*》中的 [的動作、資源和條件索引鍵 AWS 雲端控制 API](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudcontrolapi.html)。

**管理 Cloud Control API 資源的範例政策**  
以下顯示授予建立、讀取、更新和列出 （但不刪除） 資源動作的政策範例。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement":[{
        "Effect":"Allow",
        "Action":[
            "cloudformation:CreateResource",
            "cloudformation:GetResource",
            "cloudformation:UpdateResource",
            "cloudformation:ListResources"
        ],
        "Resource":"*"
    }]
}
```

------

## 雲端控制 API 差異
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

Cloud Control API 和 CloudFormation 有幾個重要的差異：

對於 IAM：
+ Cloud Control API 目前不支援資源層級許可，即能夠使用 ARNs 在 IAM 政策中指定個別資源。
+ Cloud Control API 目前不支援在控制 Cloud Control API 資源存取的 IAM 政策中使用服務特定條件金鑰。

如需詳細資訊，請參閱*服務授權參考*中的 [AWS 雲端控制 API的動作、資源和條件索引鍵](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudcontrolapi.html)。

其他差異：
+ 雲端控制 API 目前不支援自訂資源。如需有關 CloudFormation 自訂資源的資訊，請參閱*AWS CloudFormation *[《 使用者指南》中的使用自訂資源建立自訂佈建邏輯](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/template-custom-resources.html)。
+ 當活動在 Cloud Control API 中發生且記錄在 中時 AWS CloudTrail，事件來源會列為 `cloudcontrolapi.amazonaws.com`。如需 Cloud Control API 操作的 CloudTrail 記錄資訊，請參閱*AWS CloudFormation 《 使用者指南*》中的[使用 記錄 AWS CloudFormation API 呼叫 AWS CloudTrail](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-api-logging-cloudtrail.html)。

## 帳戶範圍限制
<a name="account-scope-limitation"></a>

Cloud Control API 提供一組 APIs用於對 AWS 資源執行 CRUDL （建立、讀取、更新、刪除、列出） 操作。使用 Cloud Control API 時，您只能對自己的 AWS 資源執行 CRUDL 操作 AWS 帳戶。您無法對 AWS 屬於其他 的資源執行這些操作 AWS 帳戶。

# 雲端控制 API 和界面 VPC 端點 (AWS PrivateLink)
<a name="vpc-interface-endpoints"></a>

您可以使用 在 VPC 與 之間 AWS PrivateLink 建立私有連線 AWS 雲端控制 API。您可以像在 VPC 中一樣存取 Cloud Control API，無需使用網際網路閘道、NAT 裝置、VPN 連接或 Direct Connect 連線。VPC 中的執行個體不需要公有 IP 地址即可存取 Cloud Control API。

您可以建立由 AWS PrivateLink提供支援的*介面端點*來建立此私有連線。我們會在您為介面端點啟用的每個子網中建立端點網路介面。這些是請求者管理的網路介面，可做為目的地為 Cloud Control API 之流量的進入點。

Cloud Control API 支援透過界面端點呼叫其所有 API 動作。

## Cloud Control API VPC 端點的考量事項
<a name="vpc-endpoint-considerations"></a>

在您設定 Cloud Control API 的介面 VPC 端點之前，請先確定您已符合《 *AWS PrivateLink 指南*》中的[使用介面 VPC 端點主題存取 AWS 服務](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)中的先決條件。

## 為 Cloud Control API 建立介面 VPC 端點
<a name="vpc-endpoint-create"></a>

您可以使用 Amazon VPC 主控台或 AWS Command Line Interface () 為 Cloud Control API 建立 VPC 端點AWS CLI。如需詳細資訊，請參閱《*AWS PrivateLink 指南*》中的[建立 VPC 端點](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws)。

使用下列服務名稱建立 Cloud Control API 的介面端點：
+ com.amazonaws.*region*.cloudcontrolapi

如果您為端點啟用私有 DNS，您可以使用區域的預設 DNS 名稱向 Cloud Control API 提出 API 請求，例如 `cloudcontrolapi.us-east-1.amazonaws.com`。

如需詳細資訊，請參閱《Amazon VPC 使用者指南》**中的[使用介面 VPC 端點存取 AWS 服務](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#access-service-though-endpoint)。

## 為 Cloud Control API 建立 VPC 端點政策
<a name="vpc-endpoint-policy"></a>

您可以將端點政策連接至 VPC 端點，以控制對 Cloud Control API 的存取。此政策會指定下列資訊：
+ 可執行動作的主體。
+ 可執行的動作。
+ 可供執行動作的資源。

如需詳細資訊，請參閱《*AWS PrivateLink 指南》*中的[使用端點政策控制 VPC 端點的存取](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)。

**重要**  
VPCE 端點政策詳細資訊不會傳遞給 Cloud Control API 叫用用於評估的任何下游服務。因此，不會強制執行指定屬於下游服務之動作或資源的政策。  
例如，假設您在 VPC 執行個體中建立 Amazon EC2 執行個體，且在子網路中為雲端控制 API 建立 VPC 端點，且無法存取網際網路。接著，您將下列 VPC 端點政策連接至 VPCE：  

```
{
  "Statement": [
    {
      "Action": [
        "cloudformation:*",
        "ec2:*",
        "lambda:*"
      ]
      "Effect": "Allow",
      "Principal": "*",
      "Resource": "*"
    }
  ]
}
```
如果具有管理員存取權的使用者接著傳送存取執行個體中 Amazon S3 儲存貯體的請求，即使未在 VPCE 政策中授予 Amazon S3 存取權，也不會傳回任何服務錯誤。

**範例：適用於 Cloud Control API 動作的 VPC 端點政策**  
以下是 Cloud Control API 的端點政策範例。連接至 端點時，此政策會授予所有資源上所有主體的所列 Cloud Control API 動作的存取權。下列範例拒絕所有使用者透過 VPC 端點建立資源的許可，並允許完整存取 Cloud Control API 服務上的所有其他動作。

```
{
  "Statement": [
    {
      "Action": "cloudformation:*",
      "Effect": "Allow",
      "Principal": "*",
      "Resource": "*"
    },
    {
      "Action": "cloudformation:CreateResource",
      "Effect": "Deny",
      "Principal": "*",
      "Resource": "*"
    }
  ]
}
```

## 另請參閱
<a name="see-also"></a>
+ [AWS 與 整合的 服務 AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/aws-services-privatelink-support.html)

# CloudFormation 掛鉤
<a name="security-hooks"></a>

AWS CloudFormation 勾點是一項功能，您可以用來確保您的 AWS 雲端控制 API 資源符合組織的安全性、營運和成本最佳化最佳實務。使用勾點，您可以提供程式碼，在佈建之前主動檢查資源的組態。如果找到不合規的資源，Cloud Control API 會失敗操作並防止佈建資源，或發出警告並允許佈建操作繼續。您可以在建立和更新操作之前，使用勾點來評估您的 Cloud Control API 資源組態。

## 建立勾點以驗證 Cloud Control API 資源組態
<a name="security-hooks-creating"></a>

您可以使用 CloudFormation 主控台、 AWS Command Line Interface (AWS CLI) 或 CloudFormation 建立勾點來驗證 Cloud Control API 資源組態。如需詳細資訊，請參閱[建立和管理 AWS CloudFormation 勾點](https://docs.aws.amazon.com/cloudformation-cli/latest/hooks-userguide/creating-and-managing-hooks.html)。

## 以雲端控制 API 為目標進行驗證
<a name="security-hooks-targeting"></a>

您可以設定 CloudFormation Hook 以鎖定 Hook `TargetOperations`組態中的目標`CLOUD_CONTROL`操作。

如需`TargetOperations`搭配 Guard Hooks 使用 的詳細資訊，請參閱 [Write Guard 規則來評估 Guard Hooks 的資源](https://docs.aws.amazon.com/cloudformation-cli/latest/hooks-userguide/guard-hooks-write-rules.html)。

如需`TargetOperations`搭配 Lambda Hooks 使用 的詳細資訊，請參閱[建立 Lambda 函數以評估 Lambda Hooks 的資源](https://docs.aws.amazon.com/cloudformation-cli/latest/hooks-userguide/lambda-hooks-create-lambda-function.html)。

## 檢閱勾點調用結果
<a name="security-hooks-reviewing"></a>

您可以使用 呼叫 `GetResourceRequestStatus` 來檢視調用的結果`RequestToken`。