기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 의 보안 AWS Cloud Control API
<a name="security"></a>

의 클라우드 보안 AWS 이 최우선 순위입니다. AWS 고객은 보안에 가장 민감한 조직의 요구 사항을 충족하도록 구축된 데이터 센터 및 네트워크 아키텍처의 이점을 누릴 수 있습니다.

보안은 AWS 와 사용자 간의 공동 책임입니다. [공동 책임 모델](https://aws.amazon.com/compliance/shared-responsibility-model/)은 이 사항을 클라우드*의* 보안 및 클라우드 *내* 보안으로 설명합니다.
+ **클라우드 보안 **- AWS 는에서 AWS 서비스를 실행하는 인프라를 보호할 책임이 있습니다 AWS 클라우드. AWS 또한는 안전하게 사용할 수 있는 서비스를 제공합니다. 타사 감사자는 [AWS 규정 준수 프로그램](https://aws.amazon.com/compliance/programs/) 일환으로 보안의 효과를 정기적으로 테스트하고 확인합니다. Cloud Control API에 적용되는 규정 준수 프로그램에 대한 자세한 내용은 규정 준수 프로그램 [AWS 제공 범위 내 서비스규정 준수 프로그램](https://aws.amazon.com/compliance/services-in-scope/) .
+ **클라우드의 보안** - 사용자의 책임은 사용하는 AWS 서비스에 따라 결정됩니다. 또한 귀하는 귀사의 데이터 민감도, 귀사의 요구 사항, 관련 법률 및 규정을 비롯한 기타 요소에 대해서도 책임이 있습니다.

Cloud Control API는 AWS 공동 책임 모델에서 보안 아키텍처를 상속 CloudFormation 하고 운영합니다. Cloud Control API를 사용할 때 보안 및 규정 준수 목표를 충족하려면 CloudFormation 보안 제어를 구성해야 합니다. CloudFormation에 공동 책임 모델을 적용하는 방법에 대한 지침은 *AWS CloudFormation 사용 설명서*의 [보안](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/security.html) 섹션을 참조하세요. CloudFormation 및 Cloud Control API 리소스를 모니터링하고 보호하는 데 도움이 되는 다른 AWS 서비스를 사용하는 방법을 배울 수도 있습니다.

## Cloud Control API에 대한 IAM 정책 작업
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

IAM 자격 증명 AWS Identity and Access Management (예: 사용자 또는 역할)에 필요한 Cloud Control API API 작업을 호출할 수 있는 권한을 부여하는 (IAM) 정책을 생성하고 할당해야 합니다.

IAM 정책 설명의 `Action` 요소에서 Cloud Control API가 제공하는 모든 API 작업을 지정할 수 있습니다. 다음 예와 같이 작업 이름 앞에 접두사로 소문자 문자열 `cloudformation:`을 붙여야 합니다.

```
"Action": "cloudformation:CreateResource"
```

Cloud Control API 작업 목록을 보려면 *서비스 승인* 참조의에 [사용되는 작업, 리소스 및 조건 키를 AWS Cloud Control API](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudcontrolapi.html) 참조하세요.

**Cloud Control API 리소스를 관리하기 위한 정책 예제**  
다음은 리소스 생성, 읽기, 업데이트 및 나열(삭제는 아님) 작업을 부여하는 정책의 예입니다.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement":[{
        "Effect":"Allow",
        "Action":[
            "cloudformation:CreateResource",
            "cloudformation:GetResource",
            "cloudformation:UpdateResource",
            "cloudformation:ListResources"
        ],
        "Resource":"*"
    }]
}
```

------

## Cloud Control API 차이점
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

Cloud Control API와 CloudFormation에는 몇 가지 중요한 차이점이 있습니다.

IAM의 경우:
+ Cloud Control API는 현재 ARNs을 사용하여 IAM 정책에서 개별 리소스를 지정하는 기능인 리소스 수준 권한을 지원하지 않습니다.
+ Cloud Control API는 현재 Cloud Control API 리소스에 대한 액세스를 제어하는 IAM 정책에서 서비스별 조건 키 사용을 지원하지 않습니다.

자세한 내용은 *서비스 권한 부여 참조*에서 [AWS Cloud Control API에 사용되는 작업, 리소스 및 조건 키](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudcontrolapi.html)를 참조하세요.

추가 차이점:
+ Cloud Control API는 현재 사용자 지정 리소스를 지원하지 않습니다. CloudFormation 사용자 지정 리소스에 대한 자세한 내용은 *AWS CloudFormation 사용 설명서*의 [사용자 지정 리소스를 사용하여 사용자 지정 프로비저닝 로직 생성을](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/template-custom-resources.html) 참조하세요.
+ Cloud Control API에서 활동이 발생하고에 기록되면 AWS CloudTrail이벤트 소스가 로 나열됩니다`cloudcontrolapi.amazonaws.com`. Cloud Control API 작업을 위한 CloudTrail 로깅에 대한 자세한 내용은 *AWS CloudFormation 사용 설명서*의 [를 사용하여 AWS CloudFormation API 호출 로깅 AWS CloudTrail](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-api-logging-cloudtrail.html)을 참조하세요.

## 계정 범위 제한
<a name="account-scope-limitation"></a>

Cloud Control API는 AWS 리소스에서 CRUDL(생성, 읽기, 업데이트, 삭제, 목록) 작업을 수행하기 위한 APIs 세트를 제공합니다. Cloud Control API를 사용하는 경우 자체 내의 AWS 리소스에 대해서만 CRUDL 작업을 수행할 수 있습니다 AWS 계정. 다른에 AWS 속한 리소스에서는 이러한 작업을 수행할 수 없습니다 AWS 계정.