As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Segurança em AWS API Cloud Control
<a name="security"></a>

A segurança na nuvem AWS é a maior prioridade. Como AWS cliente, você se beneficia de uma arquitetura de data center e rede criada para atender aos requisitos das organizações mais sensíveis à segurança.

A segurança é uma responsabilidade compartilhada entre você AWS e você. O [modelo de responsabilidade compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) descreve isso como segurança *da* nuvem e segurança *na* nuvem:
+ **Segurança da nuvem** — AWS é responsável por proteger a infraestrutura que executa AWS os serviços no Nuvem AWS. AWS também fornece serviços que você pode usar com segurança. Auditores terceirizados testam e verificam regularmente a eficácia de nossa segurança como parte dos Programas de Conformidade Programas de [AWS](https://aws.amazon.com/compliance/programs/) de . Para saber mais sobre os programas de conformidade que se aplicam à API Cloud Control, consulte [AWS Serviços no escopo do programa de conformidade AWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Segurança na nuvem** — Sua responsabilidade é determinada pelo AWS serviço que você usa. Você também é responsável por outros fatores, incluindo a confidencialidade de seus dados, os requisitos da empresa e as leis e regulamentos aplicáveis.

A Cloud Control API herda sua arquitetura de segurança CloudFormation e opera dentro do modelo de responsabilidade AWS compartilhada. Para cumprir seus objetivos de segurança e conformidade ao usar a Cloud Control API, você precisa configurar os controles CloudFormation de segurança. Para obter orientação sobre como aplicar o modelo de responsabilidade compartilhada com CloudFormation, consulte a seção [Segurança](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/security.html) no *Guia AWS CloudFormation do usuário*. Você também pode aprender a usar outros AWS serviços que ajudam você a monitorar e proteger seus recursos CloudFormation e os da Cloud Control API.

## Ações de política do IAM para a Cloud Control API
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

Você precisa criar e atribuir políticas AWS Identity and Access Management (IAM) que concedam permissão a uma identidade do IAM (como um usuário ou papel) para chamar as ações da API Cloud Control de que elas precisam.

No `Action` elemento da sua declaração de política do IAM, você pode especificar qualquer ação de API oferecida pela Cloud Control API. É necessário prefixar o nome da ação com a string em minúsculas `cloudformation:`, conforme mostrado no exemplo a seguir.

```
"Action": "cloudformation:CreateResource"
```

Para ver uma lista das ações da Cloud Control API, consulte [Ações, recursos e chaves de condição AWS API Cloud Control](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudcontrolapi.html) na *Referência de autorização de serviço*.

**Exemplo de política para gerenciar recursos da API Cloud Control**  
Veja a seguir um exemplo de uma política que concede ações de criação, leitura, atualização e lista (mas não exclusão) de recursos.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement":[{
        "Effect":"Allow",
        "Action":[
            "cloudformation:CreateResource",
            "cloudformation:GetResource",
            "cloudformation:UpdateResource",
            "cloudformation:ListResources"
        ],
        "Resource":"*"
    }]
}
```

------

## Diferenças da API Cloud Control
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

A API Cloud Control CloudFormation tem várias diferenças importantes: 

Para o IAM:
+ Atualmente, a API Cloud Control não oferece suporte a permissões em nível de recurso, que é a capacidade de usar ARNs para especificar recursos individuais nas políticas do IAM.
+ Atualmente, a API Cloud Control não é compatível com o uso de chaves de condição específicas do serviço nas políticas do IAM que controlam o acesso aos recursos da API Cloud Control.

Para obter mais informações, consulte [Ações, recursos e chaves de condição do AWS API Cloud Control](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudcontrolapi.html), na *Referência de autorização do serviço*.

Diferenças adicionais:
+ Atualmente, a API Cloud Control não é compatível com recursos personalizados. Para obter informações sobre recursos CloudFormation personalizados, consulte [Criar lógica de provisionamento personalizada com recursos personalizados no Guia](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/template-custom-resources.html) do *AWS CloudFormation usuário*.
+ Quando a atividade ocorre na Cloud Control API e é registrada AWS CloudTrail, a origem do evento é listada como`cloudcontrolapi.amazonaws.com`. Para obter informações sobre como CloudTrail registrar as operações da API Cloud Control, consulte [Registrar chamadas da AWS CloudFormation API AWS CloudTrail](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-api-logging-cloudtrail.html) no *Guia AWS CloudFormation do usuário*.

## Limitação do escopo da conta
<a name="account-scope-limitation"></a>

A Cloud Control API fornece um conjunto APIs para realizar operações CRUDL (criar, ler, atualizar, excluir, listar) em AWS recursos. Ao usar a Cloud Control API, você só pode realizar operações CRUDL em AWS recursos dentro dos seus próprios Conta da AWS recursos. Você não pode realizar essas operações em AWS recursos que pertencem a outros Contas da AWS.