本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Cloud Control API 中的安全性
Amazon 十分重视云安全性。作为 Amazon 客户,您可以从数据中心和网络架构中获益,这些架构是为满足大多数安全敏感型组织的需求而构建的。
安全性是 Amazon 和您的共同责任。责任共担模式将其描述为云的安全性和云中的安全性:
-
云的安全性 – Amazon负责保护在 Amazon Web Services 云 中运行 Amazon 服务的基础设施。Amazon 还向您提供可安全使用的服务。第三方审核员定期测试和验证我们的安全性的有效性,作为 Amazon Compliance Programs
的一部分。要了解适用于 Cloud Control API 的合规性计划,请参阅合规性计划范围内的 Amazon 服务 。 -
云中的安全性 - 您的责任由您使用的 Amazon 服务决定。您还需要对其它因素负责,包括您的数据的敏感性、您公司的要求以及适用的法律法规。
Amazon CloudFormation 为 Cloud Control API 提供安全架构;因此,在使用 Cloud Control API 时,您需要配置 CloudFormation 来实现您的安全性和合规性目标。请参阅《Amazon CloudFormation 用户指南》中的安全性部分,以帮助您了解如何在使用 Amazon CloudFormation 时应用责任共担模式。您还可以了解如何使用其他 Amazon 服务来帮助您监控和保护您的 Amazon CloudFormation 和 Cloud Control API 资源。
在解决安全性和合规性问题时,请注意 Cloud Control API 在以下方面与 CloudFormation 不同:
-
对于 Amazon Identity and Access Management (IAM) 集成:
-
在 IAM 策略中,Cloud Control API 操作用
"cloudformation"前缀来指定。例如,以下策略允许执行创建、读取、更新和列出(但不包括删除)资源操作。
{ "Version":"2012-10-17", "Statement":[{ "Effect":"Allow", "Action":[ "cloudformation:CreateResource", "cloudformation:GetResource", "cloudformation:UpdateResource", "cloudformation:ListResources" ], "Resource":"*" }] } -
Cloud Control API 目前不支持 CloudFormation 资源级别权限。
-
Cloud Control API 目前不支持使用 CloudFormation 条件。
有关更多信息,请参阅《Amazon CloudFormation 用户指南》中的使用 Amazon Identity and Access Management 控制访问。
-
-
Cloud Control API 目前不支持自定义资源。
-
当 Cloud Control API 中发生活动并在 Amazon CloudTrail 中记录活动时,会将事件来源列为
cloudcontrolapi.amazonaws.com。有关更多信息,请参阅《Amazon CloudFormation 用户指南》中的用 Amazon CloudTrail 记录 Amazon CloudFormation API 调用。