準備建立 Guard Hook

建立 Guard Hook 之前，您必須完成下列先決條件：

• 您必須已建立 Guard 規則。如需更多資訊，請參閱勾點的寫入防護規則。

• 建立勾點的使用者或角色必須具有足夠的許可，才能啟用勾點。

• 若要使用 AWS CLI 或 開發套件建立 Guard Hook，您必須手動建立具有 IAM 許可和信任政策的執行角色，以允許 CloudFormation 叫用 Guard Hook。

建立 Guard Hook 的執行角色

Hook 會使用 執行角色來取得在 中叫用該 Hook 所需的許可 AWS 帳戶。

如果您從 建立 Guard Hook，則可以自動建立此角色 AWS Management Console；否則，您必須自行建立此角色。

下一節說明如何設定建立 Guard Hook 的許可。

所需的許可

遵循《IAM 使用者指南》中的使用自訂信任政策建立角色的指引，以使用自訂信任政策建立角色。

然後，完成下列步驟以設定您的許可：

1. 將下列最低權限政策連接至您要用來建立 Guard Hook 的 IAM 角色。

   JSON

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Action": [
           "s3:ListBucket",
           "s3:GetObject",
           "s3:GetObjectVersion"
         ],
         "Resource": [
           "arn:aws:s3:::my-guard-output-bucket/*",
           "arn:aws:s3:::my-guard-rules-bucket"
         ]
       },
       {
         "Effect": "Allow",
         "Action": [
           "s3:PutObject"
         ],
         "Resource": [
           "arn:aws:s3:::my-guard-output-bucket/*"
         ]
       }
     ]
   }
   

2. 將信任政策新增至角色，授予您的 Hook 擔任角色的許可。以下顯示您可以使用的範例信任政策。

   JSON

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "Service": [
             "hooks.cloudformation.amazonaws.com"
           ]
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }