Activa un Hook proactivo basado en el control en tu cuenta - AWS CloudFormation
Active un Hook (consola) basado en el control proactivoActive un Hook proactivo basado en el control ()AWS CLI

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Activa un Hook proactivo basado en el control en tu cuenta

En el siguiente tema, se muestra cómo activar un Hook proactivo basado en el control en tu cuenta, para que puedas usarlo en la cuenta y la región en la que se activó.

Activa un Hook (consola) proactivo basado en el control

Para activar un Hook proactivo basado en el control para usarlo en tu cuenta

  1. Inicia sesión AWS Management Console y abre la AWS CloudFormation consola en https://console.aws.amazon.com/cloudformation.

  2. En la barra de navegación de la parte superior de la pantalla, elige el Región de AWS lugar donde quieres crear el Hook in.

  3. En el panel de navegación de la izquierda, selecciona Hooks.

  4. En la página Hooks, selecciona Crear un Hook y, a continuación, selecciona Con el catálogo de controles.

  5. En la página Seleccionar controles, en Controles proactivos, seleccione uno o más controles proactivos para usarlos.

    Estos controles se aplicarán automáticamente siempre que se creen o actualicen recursos específicos. Tu selección determina qué tipos de recursos evaluará el Hook.

  6. Elija Siguiente.

  7. En Nombre del gancho, elige una de las siguientes opciones:

    • Proporcione un nombre breve y descriptivo que se añadirá despuésPrivate::Controls::. Por ejemplo, si escribesMyTestHook, el nombre completo de Hook pasa a serPrivate::Controls::MyTestHook.

    • Proporcione el nombre completo de Hook (también denominado alias) con este formato:Provider::ServiceName::HookName.

  8. Para el modo Hook, elige cómo responde el Hook cuando los controles no pasen su evaluación:

    • Advertir: emite advertencias a los usuarios, pero permite que las acciones continúen. Esto resulta útil para validaciones o comprobaciones informativas no críticas.

    • Error: impide que la acción continúe. Esto resulta útil para aplicar políticas estrictas de cumplimiento o seguridad.

  9. Elija Siguiente.

  10. (Opcional) Para los filtros Hook, haga lo siguiente:

    1. En cuanto a los criterios de filtrado, elija la lógica para aplicar los filtros de nombre y rol de la pila:

      • Todos los nombres y roles de las pilas: The Hook solo se invocará cuando coincidan todos los filtros especificados.

      • Cualquier nombre y función de pila: se invocará el Hook si al menos uno de los filtros especificados coincide.

    2. En el caso de los nombres de pila, incluye o excluye pilas específicas de las invocaciones de Hook.

      • En Include, especifique los nombres de las pilas que desee incluir. Úselo cuando desee segmentar un conjunto pequeño de pilas específicas. Solo las pilas especificadas en esta lista invocarán el Hook.

      • En Exclude, especifique los nombres de las pilas que se van a excluir. Úselo cuando quiera invocar el Hook en la mayoría de las pilas, pero excluya algunas específicas. Todas las acumulaciones, excepto las que aparecen aquí, invocarán el Hook.

    3. En el caso de las funciones de Stack, incluya o excluya pilas específicas de las invocaciones de Hook en función de sus funciones de IAM asociadas.

      • En Include, especifique una o más funciones de IAM ARNs para centrarse en las pilas asociadas a estas funciones. Solo las operaciones de apilamiento iniciadas por estos roles invocarán el Hook.

      • En Excluir, especifique una o más funciones de IAM ARNs para las pilas que desee excluir. El Hook se invocará en todas las pilas, excepto en las iniciadas por los roles especificados.

  11. Elija Siguiente.

  12. En la página Revisar y activar, revisa tus opciones. Para realizar cambios, elija Editar en la sección correspondiente.

  13. Cuando estés listo para continuar, selecciona Activar Hook.

Activa un Hook proactivo basado en el control ()AWS CLI

Antes de continuar, confirme que ha identificado los controles proactivos que utilizará con este Hook. Para obtener más información, consulte el catálogo AWS Control Tower de controles.

Para activar un Hook proactivo basado en el control para usarlo en su cuenta ()AWS CLI

  1. Para empezar a activar un Hook, usa el siguiente activate-typecomando y reemplaza los marcadores de posición por tus valores específicos.

    aws cloudformation activate-type --type HOOK \
  --type-name AWS::ControlTower::Hook  \
  --publisher-id aws-hooks \
  --type-name-alias MyOrg::Security::ComplianceHook \
  --region us-west-2

  2. Para terminar de activar el Hook, debes configurarlo mediante un archivo de configuración JSON.

    Usa el cat comando para crear un archivo JSON con la siguiente estructura. Para obtener más información, consulte Referencia a la sintaxis del esquema de la configuración del enlace.

    El siguiente ejemplo configura un Hook que invoca recursos específicos de IAM EC2, Amazon y Amazon S3 durante CREATE las operaciones. UPDATE Aplica tres controles proactivos (CT.IAM.PR.5,CT.EC2.PR.17,CT.S3.PR.12) para validar estos recursos con respecto a las normas de conformidad. El enlace funciona en WARN modo, lo que significa que marcará los recursos que no cumplan con los requisitos con advertencias, pero no bloqueará las implementaciones.

    $ cat > config.json
{
  "CloudFormationConfiguration": {
    "HookConfiguration": {
      "HookInvocationStatus": "ENABLED",
      "TargetOperations": ["RESOURCE"],
      "FailureMode": "WARN",
      "Properties": {
        "ControlsToApply": "CT.IAM.PR.5,CT.EC2.PR.17,CT.S3.PR.12"
      },
      "TargetFilters": {
        "Actions": [
          "CREATE",
          "UPDATE"
        ]
      }
    }
  }
}

    • HookInvocationStatus: Configúrelo en ENABLED para habilitar el Hook.

    • TargetOperations: RESOURCE Establézcalo como el único valor admitido para un Hook proactivo basado en el control.

    • FailureMode: se establece en FAIL o WARN.

    • ControlsToApply: Especifique el control IDs de los controles proactivos que se van a utilizar. Para obtener más información, consulte el catálogo AWS Control Tower de controles.

    • (Opcional)TargetFilters: Para elloActions, puedes especificar CREATE o UPDATE ambas opciones (predeterminado) para controlar cuándo se invoca el Hook. Si CREATE solo se especifica, el Hook se limita únicamente a CREATE las operaciones. El resto de TargetFilters propiedades no tienen ningún efecto.

  3. Use el siguiente set-type-configurationcomando, junto con el archivo JSON que creó, para aplicar la configuración. Sustituya los marcadores de posición por sus valores específicos.

    aws cloudformation set-type-configuration \
  --configuration file://config.json \
  --type-arn "arn:aws:cloudformation:us-west-2:123456789012:type/hook/MyOrg-Security-ComplianceHook" \
  --region us-west-2