Aktifkan Hook berbasis kontrol proaktif di akun Anda - AWS CloudFormation
Aktifkan Hook berbasis kontrol proaktif (konsol)Aktifkan Hook () berbasis kontrol proaktif AWS CLI

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Aktifkan Hook berbasis kontrol proaktif di akun Anda

Topik berikut menunjukkan cara mengaktifkan Hook berbasis kontrol proaktif di akun Anda, yang membuatnya dapat digunakan di akun dan Wilayah yang diaktifkan.

Aktifkan Hook berbasis kontrol proaktif (konsol)

Untuk mengaktifkan Hook berbasis kontrol proaktif untuk digunakan di akun Anda

  1. Masuk ke AWS Management Console dan buka AWS CloudFormation konsol di https://console.aws.amazon.com/cloudformation.

  2. Pada bilah navigasi di bagian atas layar, pilih Wilayah AWS tempat Anda ingin membuat Hook.

  3. Di panel navigasi di sebelah kiri, pilih Hooks.

  4. Pada halaman Hooks, pilih Create a Hook, lalu pilih With the Control Catalog.

  5. Pada halaman Pilih kontrol, untuk kontrol Proaktif, pilih satu atau beberapa kontrol proaktif untuk digunakan.

    Kontrol ini akan secara otomatis berlaku setiap kali sumber daya tertentu dibuat atau diperbarui. Pilihan Anda menentukan jenis sumber daya mana yang akan dievaluasi oleh Hook.

  6. Pilih Berikutnya.

  7. Untuk nama Hook, pilih salah satu opsi berikut:

    • Berikan nama deskriptif singkat yang akan ditambahkan setelahnyaPrivate::Controls::. Misalnya, jika Anda masukMyTestHook, nama Hook lengkap menjadiPrivate::Controls::MyTestHook.

    • Berikan nama Hook lengkap (juga disebut alias) menggunakan format ini:Provider::ServiceName::HookName.

  8. Untuk mode Hook, pilih bagaimana Hook merespons saat kontrol gagal dalam evaluasinya:

    • Peringatkan — Mengeluarkan peringatan kepada pengguna tetapi memungkinkan tindakan untuk dilanjutkan. Ini berguna untuk validasi non-kritis atau pemeriksaan informasi.

    • Gagal — Mencegah tindakan dari melanjutkan. Ini berguna untuk menegakkan kepatuhan yang ketat atau kebijakan keamanan.

  9. Pilih Berikutnya.

  10. (Opsional) Untuk filter Hook, lakukan hal berikut:

    1. Untuk kriteria Pemfilteran, pilih logika untuk menerapkan nama tumpukan dan filter peran tumpukan:

      • Semua nama tumpukan dan peran tumpukan — Hook hanya akan dipanggil ketika semua filter yang ditentukan cocok.

      • Setiap nama tumpukan dan peran tumpukan — Hook akan dipanggil jika setidaknya salah satu filter yang ditentukan cocok.

    2. Untuk nama Stack, sertakan atau kecualikan tumpukan tertentu dari pemanggilan Hook.

      • Untuk Sertakan, tentukan nama tumpukan yang akan disertakan. Gunakan ini ketika Anda memiliki satu set kecil tumpukan spesifik yang ingin Anda targetkan. Hanya tumpukan yang ditentukan dalam daftar ini yang akan memanggil Hook.

      • Untuk Kecualikan, tentukan nama tumpukan yang akan dikecualikan. Gunakan ini ketika Anda ingin memanggil Hook di sebagian besar tumpukan tetapi mengecualikan beberapa yang spesifik. Semua tumpukan kecuali yang tercantum di sini akan memanggil Hook.

    3. Untuk peran Stack, sertakan atau kecualikan tumpukan tertentu dari pemanggilan Hook berdasarkan peran IAM terkait.

      • Untuk Sertakan, tentukan satu atau beberapa peran IAM ARNs untuk menargetkan tumpukan yang terkait dengan peran ini. Hanya operasi tumpukan yang diprakarsai oleh peran ini yang akan memanggil Hook.

      • Untuk Kecualikan, tentukan satu atau beberapa peran IAM ARNs untuk tumpukan yang ingin Anda kecualikan. Hook akan dipanggil pada semua tumpukan kecuali yang diprakarsai oleh peran yang ditentukan.

  11. Pilih Berikutnya.

  12. Pada halaman Tinjau dan aktifkan, tinjau pilihan Anda. Untuk membuat perubahan, pilih Edit pada bagian terkait.

  13. Saat Anda siap untuk melanjutkan, pilih Activate Hook.

Aktifkan Hook () berbasis kontrol proaktif AWS CLI

Sebelum melanjutkan, konfirmasikan bahwa Anda telah mengidentifikasi kontrol proaktif yang akan Anda gunakan dengan Hook ini. Untuk informasi selengkapnya, lihat Katalog AWS Control Tower Kontrol.

Untuk mengaktifkan Hook berbasis kontrol proaktif untuk digunakan di akun Anda ()AWS CLI

  1. Untuk mulai mengaktifkan Hook, gunakan activate-typeperintah berikut, ganti placeholder dengan nilai spesifik Anda.

    aws cloudformation activate-type --type HOOK \
  --type-name AWS::ControlTower::Hook  \
  --publisher-id aws-hooks \
  --type-name-alias MyOrg::Security::ComplianceHook \
  --region us-west-2

  2. Untuk menyelesaikan pengaktifan Hook, Anda harus mengkonfigurasinya menggunakan file konfigurasi JSON.

    Gunakan cat perintah untuk membuat file JSON dengan struktur berikut. Untuk informasi selengkapnya, lihat Referensi sintaks skema konfigurasi hook.

    Contoh berikut ini mengonfigurasi Hook yang memanggil sumber daya IAM, Amazon, dan Amazon EC2 S3 tertentu selama dan operasi. CREATE UPDATE Ini menerapkan tiga kontrol proaktif (CT.IAM.PR.5,CT.EC2.PR.17,CT.S3.PR.12) untuk memvalidasi sumber daya ini terhadap standar kepatuhan. Hook beroperasi dalam WARN mode, artinya akan menandai sumber daya yang tidak sesuai dengan peringatan tetapi tidak akan memblokir penerapan.

    $ cat > config.json
{
  "CloudFormationConfiguration": {
    "HookConfiguration": {
      "HookInvocationStatus": "ENABLED",
      "TargetOperations": ["RESOURCE"],
      "FailureMode": "WARN",
      "Properties": {
        "ControlsToApply": "CT.IAM.PR.5,CT.EC2.PR.17,CT.S3.PR.12"
      },
      "TargetFilters": {
        "Actions": [
          "CREATE",
          "UPDATE"
        ]
      }
    }
  }
}

    • HookInvocationStatus: Setel ENABLED untuk mengaktifkan Hook.

    • TargetOperations: Setel ke RESOURCE karena ini adalah satu-satunya nilai yang didukung untuk Hook berbasis kontrol proaktif.

    • FailureMode: Setel ke salah satu FAIL atauWARN.

    • ControlsToApply: Tentukan kontrol kontrol IDs proaktif yang akan digunakan. Untuk informasi selengkapnya, lihat Katalog AWS Control Tower Kontrol.

    • (Opsional)TargetFilters: UntukActions, Anda dapat menentukan CREATE atauUPDATE, atau keduanya (default), untuk mengontrol kapan Hook dipanggil. Menentukan CREATE sendiri membatasi Hook hanya untuk CREATE operasi. TargetFiltersProperti lain tidak berpengaruh.

  3. Gunakan set-type-configurationperintah berikut, bersama dengan file JSON yang Anda buat, untuk menerapkan konfigurasi. Ganti placeholder dengan nilai spesifik Anda.

    aws cloudformation set-type-configuration \
  --configuration file://config.json \
  --type-arn "arn:aws:cloudformation:us-west-2:123456789012:type/hook/MyOrg-Security-ComplianceHook" \
  --region us-west-2