翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# のセキュリティ AWS クラウドコントロール API
<a name="security"></a>

のクラウドセキュリティが最優先事項 AWS です。お客様は AWS 、セキュリティを最も重視する組織の要件を満たすように構築されたデータセンターとネットワークアーキテクチャを活用できます。

セキュリティは、 AWS お客様とお客様の間の責任共有です。[責任共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)ではこれをクラウド*の*セキュリティおよびクラウド*内*のセキュリティと説明しています。
+ **クラウドのセキュリティ** – AWS は、 で AWS サービスを実行するインフラストラクチャを保護する責任を担います AWS クラウド。 は、お客様が安全に使用できるサービス AWS も提供します。サードパーティーの監査者は、[AWS コンプライアンスプログラム](https://aws.amazon.com/compliance/programs/)コンプライアンスプログラムの一環として、当社のセキュリティの有効性を定期的にテストおよび検証。Cloud Control API に適用されるコンプライアンスプログラムの詳細については、「コンプライアンスプログラム[AWS による対象範囲内のサービスコンプライアンスプログラム](https://aws.amazon.com/compliance/services-in-scope/)」を参照してください。
+ **クラウド内のセキュリティ** – お客様の責任は、使用する AWS サービスによって決まります。また、ユーザーは、データの機密性、会社の要件、適用される法律や規制など、その他の要因についても責任を負います。

Cloud Control API は、 からセキュリティアーキテクチャを継承 CloudFormation し、 責任 AWS 共有モデル内で動作します。Cloud Control API を使用する際のセキュリティおよびコンプライアンスの目的を満たすには、CloudFormation セキュリティコントロールを設定する必要があります。CloudFormation での責任共有モデルの適用に関するガイダンスについては、*AWS CloudFormation 「 ユーザーガイド*」の[「 セキュリティ](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/security.html)」セクションを参照してください。CloudFormation および Cloud Control API リソースのモニタリングと保護に役立つ他の AWS サービスの使用方法についても説明します。

## Cloud Control API の IAM ポリシーアクション
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

IAM ID (ユーザーやロールなど) に必要な Cloud Control API アクションを呼び出すアクセス許可を付与する AWS Identity and Access Management (IAM) ポリシーを作成して割り当てる必要があります。

IAM ポリシーステートメントの `Action`要素で、Cloud Control API が提供する任意の API アクションを指定できます。次の例に示すように、アクション名の前に小文字の文字列 `cloudformation:` を指定する必要があります。

```
"Action": "cloudformation:CreateResource"
```

Cloud Control API アクションのリストを確認するには、*「サービス認可リファレンス*」の[「 のアクション、リソース、および条件キー AWS クラウドコントロール API](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudcontrolapi.html)」を参照してください。

**Cloud Control API リソースを管理するポリシーの例**  
以下は、リソースの作成、読み取り、更新、一覧表示 (削除ではない) アクションを許可するポリシーの例です。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement":[{
        "Effect":"Allow",
        "Action":[
            "cloudformation:CreateResource",
            "cloudformation:GetResource",
            "cloudformation:UpdateResource",
            "cloudformation:ListResources"
        ],
        "Resource":"*"
    }]
}
```

------

## Cloud Control API の違い
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

Cloud Control API と CloudFormation にはいくつかの重要な違いがあります。

IAM の場合
+ Cloud Control API は現在、リソースレベルのアクセス許可をサポートしていません。これは、ARNsを使用して IAM ポリシーで個々のリソースを指定する機能です。
+ Cloud Control API は現在、Cloud Control API リソースへのアクセスを制御する IAM ポリシーでのサービス固有の条件キーの使用をサポートしていません。

詳細については、「*サービス認可リファレンス*」の「[AWS クラウドコントロール APIのアクション、リソース、および条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudcontrolapi.html)」を参照してください。

その他の違い:
+ Cloud Control API は現在、カスタムリソースをサポートしていません。CloudFormation カスタムリソースの詳細については、「 *AWS CloudFormation ユーザーガイド*」の[「カスタムリソースを使用してカスタムプロビジョニングロジックを作成する](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/template-custom-resources.html)」を参照してください。
+ Cloud Control API でアクティビティが発生し、 に記録されると AWS CloudTrail、イベントソースは としてリストされます`cloudcontrolapi.amazonaws.com`。Cloud Control API オペレーションの CloudTrail ログ記録の詳細については、*AWS CloudFormation 「 ユーザーガイド*」の「 [を使用した AWS CloudFormation API コールのログ記録 AWS CloudTrail](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-api-logging-cloudtrail.html)」を参照してください。

## アカウントスコープの制限
<a name="account-scope-limitation"></a>

Cloud Control API には、 AWS リソースに対して CRUDL (作成、読み取り、更新、削除、一覧表示) オペレーションを実行するためのAPIs が用意されています。Cloud Control API を使用する場合、独自の AWS リソースに対してのみ CRUDL オペレーションを実行できます AWS アカウント。これらのオペレーションは、他の に属するリソースでは AWS 実行できません AWS アカウント。