계정에서 사전 예방적 제어 기반 후크 활성화 - AWS CloudFormation
사전 예방적 제어 기반 후크 활성화(콘솔)사전 예방적 제어 기반 후크 활성화(AWS CLI)

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

계정에서 사전 예방적 제어 기반 후크 활성화

다음 주제에서는 계정에서 선제적 제어 기반 후크를 활성화하여 활성화한 계정 및 리전에서 사용할 수 있도록 하는 방법을 보여줍니다.

사전 예방적 제어 기반 후크 활성화(콘솔)

계정에서 사용할 사전 예방적 제어 기반 후크를 활성화하려면

  1. 에 로그인 AWS Management Console 하고 https://console.aws.amazon.com/cloudformation AWS CloudFormation 콘솔을 엽니다.

  2. 화면 상단의 탐색 모음에서 후크를 생성할를 선택합니다 AWS 리전 .

  3. 왼쪽 탐색 창에서 후크를 선택합니다.

  4. 후크 페이지에서 후크 생성을 선택한 다음 제어 카탈로그를 사용하여을 선택합니다.

  5. 제어 선택 페이지의 선제적 제어에서 사용할 선제적 제어를 하나 이상 선택합니다.

    이러한 제어는 지정된 리소스가 생성되거나 업데이트될 때마다 자동으로 적용됩니다. 선택할 경우 후크가 평가할 리소스 유형이 결정됩니다.

  6. 다음을 선택합니다.

  7. 후크 이름에서 다음 옵션 중 하나를 선택합니다.

    • 뒤에 추가할 짧은 설명 이름을 입력합니다Private::Controls::. 예를 들어 MyTestHook를 입력하면 전체 후크 이름이가 됩니다Private::Controls::MyTestHook.

    • 형식을 사용하여 전체 후크 이름(별칭이라고도 함)을 제공합니다Provider::ServiceName::HookName.

  8. 후크 모드에서 제어가 평가에 실패할 때 후크가 응답하는 방식을 선택합니다.

    • 경고 - 사용자에게 경고를 발행하지만 작업을 계속할 수 있습니다. 이는 중요하지 않은 검증 또는 정보 검사에 유용합니다.

    • 실패 - 작업이 진행되지 않도록 합니다. 이는 엄격한 규정 준수 또는 보안 정책을 적용하는 데 유용합니다.

  9. 다음을 선택합니다.

  10. (선택 사항) 후크 필터의 경우 다음을 수행합니다.

    1. 필터링 기준에서 스택 이름 및 스택 역할 필터를 적용하기 위한 로직을 선택합니다.

      • 모든 스택 이름 및 스택 역할 - 후크는 지정된 모든 필터가 일치하는 경우에만 호출됩니다.

      • 스택 이름 및 스택 역할 - 지정된 필터 중 하나 이상이 일치하면 후크가 호출됩니다.

    2. 스택 이름의 경우 후크 호출에서 특정 스택을 포함하거나 제외합니다.

      • 포함에서 포함할 스택 이름을 지정합니다. 대상으로 지정할 특정 스택 세트가 적을 때 사용합니다. 이 목록에 지정된 스택만 후크를 호출합니다.

      • 제외에서 제외할 스택 이름을 지정합니다. 대부분의 스택에서 후크를 호출하지만 몇 가지 특정 스택을 제외하려는 경우이 옵션을 사용합니다. 여기에 나열된 스택을 제외한 모든 스택은 후크를 호출합니다.

    3. 스택 역할의 경우 연결된 IAM 역할에 따라 후크 호출에서 특정 스택을 포함하거나 제외합니다.

      • 포함에서 이러한 역할과 연결된 스택을 대상으로 할 하나 이상의 IAM 역할 ARNs을 지정합니다. 이러한 역할에서 시작된 스택 작업만 후크를 호출합니다.

      • 제외에서 제외하려는 스택에 대해 하나 이상의 IAM 역할 ARNs을 지정합니다. 후크는 지정된 역할에 의해 시작된 스택을 제외한 모든 스택에서 호출됩니다.

  11. 다음을 선택합니다.

  12. 검토 및 활성화 페이지에서 선택 사항을 검토합니다. 변경하려면 관련 섹션에서 편집을 선택합니다.

  13. 계속할 준비가 되면 후크 활성화를 선택합니다.

사전 예방적 제어 기반 후크 활성화(AWS CLI)

계속하기 전에이 후크에 사용할 사전 예방적 제어를 식별했는지 확인합니다. 자세한 내용은 AWS Control Tower Control Catalog를 참조하세요.

계정에서 사용할 사전 예방적 제어 기반 후크를 활성화하려면(AWS CLI)

  1. 후크 활성화를 시작하려면 다음 activate-type 명령을 사용하여 자리 표시자를 특정 값으로 바꿉니다.

    aws cloudformation activate-type --type HOOK \
  --type-name AWS::ControlTower::Hook  \
  --publisher-id aws-hooks \
  --type-name-alias MyOrg::Security::ComplianceHook \
  --region us-west-2

  2. 후크 활성화를 완료하려면 JSON 구성 파일을 사용하여 후크를 구성해야 합니다.

    cat 명령을 사용하여 다음 구조의 JSON 파일을 생성합니다. 자세한 내용은 후크 구성 스키마 구문 참조 단원을 참조하십시오.

    다음 예제에서는 CREATEUPDATE 작업 중에 특정 IAM, Amazon EC2 및 Amazon S3 리소스에서를 호출하는 후크를 구성합니다. 세 가지 사전 예방적 제어(CT.IAM.PR.5, CT.EC2.PR.17, CT.S3.PR.12)를 적용하여 규정 준수 표준에 따라 이러한 리소스를 검증합니다. 후크는 WARN 모드에서 작동합니다. 즉, 규정을 준수하지 않는 리소스에는 경고가 표시되지만 배포는 차단되지 않습니다.

    $ cat > config.json
{
  "CloudFormationConfiguration": {
    "HookConfiguration": {
      "HookInvocationStatus": "ENABLED",
      "TargetOperations": ["RESOURCE"],
      "FailureMode": "WARN",
      "Properties": {
        "ControlsToApply": "CT.IAM.PR.5,CT.EC2.PR.17,CT.S3.PR.12"
      },
      "TargetFilters": {
        "Actions": [
          "CREATE",
          "UPDATE"
        ]
      }
    }
  }
}

    • HookInvocationStatus: 후크를 활성화ENABLED하려면 로 설정합니다.

    • TargetOperations: 선제적 제어 기반 후크에 대해 지원되는 유일한 값이기 RESOURCE 때문에 로 설정합니다.

    • FailureMode: FAIL 또는 WARN로 설정합니다.

    • ControlsToApply: 사용할 사전 예방적 제어의 제어 IDs를 지정합니다. 자세한 내용은 AWS Control Tower Control Catalog를 참조하세요.

    • (선택 사항) TargetFilters:의 경우 CREATE 또는 UPDATE, 또는 둘 다(기본값)를 지정하여 후크가 호출되는 시기를 제어할 Actions수 있습니다. CREATE 만 지정하면 후크가 CREATE 작업으로만 제한됩니다. 다른 TargetFilters 속성은 효과가 없습니다.

  3. 다음 set-type-configuration 명령을 생성한 JSON 파일과 함께 사용하여 구성을 적용합니다. 자리 표시자를 특정 값으로 바꿉니다.

    aws cloudformation set-type-configuration \
  --configuration file://config.json \
  --type-arn "arn:aws:cloudformation:us-west-2:123456789012:type/hook/MyOrg-Security-ComplianceHook" \
  --region us-west-2