本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 安全性 AWS 云端控制 API
<a name="security"></a>

云安全 AWS 是重中之重。作为 AWS 客户，您可以从专为满足大多数安全敏感型组织的要求而构建的数据中心和网络架构中受益。

安全是双方共同承担 AWS 的责任。[责任共担模式](https://aws.amazon.com/compliance/shared-responsibility-model/)将其描述为云*的*安全性和云*中*的安全性：
+ **云安全** — AWS 负责保护在云中运行 AWS 服务的基础架构 AWS 云。 AWS 还为您提供可以安全使用的服务。作为[AWS 合规计划合规计划合规计划合](https://aws.amazon.com/compliance/programs/)的一部分，第三方审计师定期测试和验证我们安全的有效性。要了解适用于 Cloud Control API 的合规性计划，请参阅AWS 按合规计划划分的[范围内AWS 服务按合规计划](https://aws.amazon.com/compliance/services-in-scope/)。
+ **云端安全**-您的责任由您使用的 AWS 服务决定。您还需要对其他因素负责，包括您的数据的敏感性、您公司的要求以及适用的法律法规。

Cloud Control API 继承了其安全架构，并在责任 AWS 共担模型中运行。 CloudFormation 为了在使用 Cloud Control API 时实现您的安全性和合规性目标，您必须配置 CloudFormation 安全控制。有关应用责任分担模型的指导 CloudFormation，请参阅《*AWS CloudFormation 用户指南》*中的 “[安全](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/security.html)” 部分。您还可以学习如何使用其他 AWS 服务来帮助您监控和保护您的 CloudFormation 和 Cloud Control API 资源。

## 云控制 API 的 IAM 策略操作
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

您必须创建和分配 AWS Identity and Access Management (IAM) 策略，以授予 IAM 身份（例如用户或角色）调用他们需要的 Cloud Control API 操作的权限。

在 IAM 政策声明的`Action`元素中，您可以指定 Cloud Control API 提供的任何 API 操作。如以下示例所示，您必须使用小写形式的字符串 `cloudformation:` 作为操作名称的前缀。

```
"Action": "cloudformation:CreateResource"
```

要查看 Cloud Control API [操作列表，请参阅《*服务授权参考*》 AWS 云端控制 API中的操作、资源和条件密钥](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudcontrolapi.html)。

**管理云控制 API 资源的策略示例**  
以下是允许创建、读取、更新和列出（但不是删除）资源操作的策略示例。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement":[{
        "Effect":"Allow",
        "Action":[
            "cloudformation:CreateResource",
            "cloudformation:GetResource",
            "cloudformation:UpdateResource",
            "cloudformation:ListResources"
        ],
        "Resource":"*"
    }]
}
```

------

## 云控制 API 的差异
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

Cloud Control API CloudFormation 有几个重要的区别：

对于 IAM：
+ Cloud Control API 目前不支持资源级权限，即用于 ARNs 在 IAM 策略中指定单个资源的功能。
+ Cloud Control API 目前不支持在 IAM 策略中使用特定于服务的条件密钥来控制对云控制 API 资源的访问权限。

有关更多信息，请参阅《*服务授权参考*》中的 [AWS 云端控制 API的操作、资源和条件键](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscloudcontrolapi.html)。

其他区别：
+ 云控制 API 目前不支持自定义资源。有关 CloudFormation自定义资源的信息，请参阅*AWS CloudFormation 用户指南*中的[使用自定义资源创建自定义配置逻辑](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/template-custom-resources.html)。
+ 当活动发生在 Cloud Control API 中并记录在中时 AWS CloudTrail，事件源将列为`cloudcontrolapi.amazonaws.com`。有关 CloudTrail 登录 Cloud Control API 操作的信息，请参阅*AWS CloudFormation 用户指南 AWS CloudTrail*中的[使用记录 AWS CloudFormation API 调用](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-api-logging-cloudtrail.html)。

## 账户范围限制
<a name="account-scope-limitation"></a>

Cloud Control API 提供了一组 APIs 用于对 AWS 资源执行 CRUDL（创建、读取、更新、删除、列出）操作的。使用 Cloud Control API 时，您只能对自己的 AWS AWS 账户资源执行 CRUDL 操作。您不能对属于其他 AWS 资源的资源执行这些操作 AWS 账户。