本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
建立和管理 AWS CloudFormation 勾點
AWS CloudFormation 勾點提供機制,在允許堆疊建立、修改或刪除之前評估 CloudFormation 資源。此功能可協助您確保 CloudFormation 資源符合組織的安全性、營運和成本最佳化最佳實務。
若要建立勾點,您有三個選項。
-
Guard Hook – 使用 AWS CloudFormation Guard 規則評估資源。
-
Lambda Hook – 將資源評估的請求轉送至 AWS Lambda 函數。
-
Custom Hook – 使用您手動開發的自訂 Hook 處理常式。
- Guard Hook
-
若要建立 Guard Hook,請遵循這些主要步驟:
-
使用 Guard 網域特定語言 (DSL),將資源評估邏輯撰寫為 Guard 政策規則。
-
將 Guard 政策規則存放在 Amazon S3 儲存貯體中。
-
導覽至 CloudFormation 主控台並開始建立 Guard Hook。
-
提供您 Guard 規則的 Amazon S3 路徑。
-
選擇勾點將評估的特定目標。
-
選擇將調用勾點的部署動作 (建立、更新、刪除)。
-
選擇勾點在評估失敗時如何回應。
-
當組態完成時,啟用勾點以開始強制執行。
- Lambda Hook
-
若要建立 Lambda 勾點,請遵循這些主要步驟:
-
將您的資源評估邏輯撰寫為 Lambda 函數。
-
導覽至 CloudFormation 主控台並開始建立 Lambda Hook。
-
為您的 Lambda 函數提供 Amazon Resource Name (ARN)。
-
選擇勾點將評估的特定目標。
-
選擇將調用勾點的部署動作 (建立、更新、刪除)。
-
選擇勾點在評估失敗時如何回應。
-
當組態完成時,啟用勾點以開始強制執行。
- Custom Hook
-
自訂勾點是您使用 CloudFormation 命令列界面 (CFN-CLI) 在 CloudFormation 登錄檔中註冊的延伸模組。
若要建立自訂勾點,請遵循這些主要步驟:
-
啟動專案 – 產生開發自訂勾點所需的檔案。
-
勾點模型 – 撰寫定義勾點的結構描述,以及指定可叫用勾點之操作的處理常式。
-
註冊並啟用勾點 - 建立勾點後,您需要在要使用勾點的帳戶和區域中註冊它,然後啟用它。
下列主題提供建立和管理勾點的詳細資訊。
