Aktiviere einen proaktiven, steuerungsbasierten Hook in deinem Konto - AWS CloudFormation
Aktivieren Sie einen proaktiven, steuerungsbasierten Hook (Konsole)Aktivieren Sie einen proaktiven, steuerungsbasierten Hook ()AWS CLI

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Aktiviere einen proaktiven, steuerungsbasierten Hook in deinem Konto

Im folgenden Thema erfahren Sie, wie Sie einen proaktiven, steuerungsbasierten Hook in Ihrem Konto aktivieren, sodass er in dem Konto und der Region, in der er aktiviert wurde, verwendet werden kann.

Aktivieren Sie einen proaktiven, steuerungsbasierten Hook (Konsole)

Um einen proaktiven, steuerungsbasierten Hook zur Verwendung in Ihrem Konto zu aktivieren

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die AWS CloudFormation Konsole unter https://console.aws.amazon.com /cloudformation.

  2. Wählen Sie in der Navigationsleiste oben auf dem Bildschirm die AWS-Region Stelle aus, an der Sie den Hook-In erstellen möchten.

  3. Wählen Sie im Navigationsbereich auf der linken Seite Hooks aus.

  4. Wählen Sie auf der Seite Hooks die Option Create a Hook und dann With the Control Catalog aus.

  5. Wählen Sie auf der Seite „Steuerelemente auswählen“ für Proaktive Kontrollen eine oder mehrere proaktive Kontrollen aus, die Sie verwenden möchten.

    Diese Kontrollen werden automatisch angewendet, wenn bestimmte Ressourcen erstellt oder aktualisiert werden. Ihre Auswahl bestimmt, welche Ressourcentypen der Hook auswertet.

  6. Wählen Sie Weiter aus.

  7. Wählen Sie als Hook-Name eine der folgenden Optionen aus:

    • Geben Sie einen kurzen, aussagekräftigen Namen ein, der danach Private::Controls:: hinzugefügt wird. Wenn Sie beispielsweise eingebenMyTestHook, wird der vollständige Hook-Name zuPrivate::Controls::MyTestHook.

    • Geben Sie den vollständigen Hook-Namen (auch Alias genannt) in diesem Format an:Provider::ServiceName::HookName.

  8. Wählen Sie für den Hook-Modus aus, wie der Hook reagiert, wenn die Auswertung von Steuerelementen fehlschlägt:

    • Warnen — Gibt Warnungen an Benutzer aus, ermöglicht aber die Fortsetzung der Aktionen. Dies ist nützlich für unkritische Validierungen oder Informationsprüfungen.

    • Fehlgeschlagen — verhindert, dass die Aktion fortgesetzt wird. Dies ist hilfreich für die Durchsetzung strenger Compliance- oder Sicherheitsrichtlinien.

  9. Wählen Sie Weiter aus.

  10. (Optional) Gehen Sie für Hook-Filter wie folgt vor:

    1. Wählen Sie unter Filterkriterien die Logik für die Anwendung von Stacknamen- und Stack-Rollenfiltern aus:

      • Alle Stack-Namen und Stack-Rollen — Der Hook wird nur aufgerufen, wenn alle angegebenen Filter übereinstimmen.

      • Beliebige Stack-Namen und Stack-Rollen — Der Hook wird aufgerufen, wenn mindestens einer der angegebenen Filter übereinstimmt.

    2. Schließen Sie bei Stack-Namen bestimmte Stacks in Hook-Aufrufe ein oder schließen Sie sie aus.

      • Geben Sie für Include die Stack-Namen an, die eingeschlossen werden sollen. Verwenden Sie dies, wenn Sie über eine kleine Gruppe bestimmter Stacks verfügen, auf die Sie abzielen möchten. Nur die in dieser Liste angegebenen Stapel rufen den Hook auf.

      • Geben Sie für Exclude die Stack-Namen an, die ausgeschlossen werden sollen. Verwenden Sie dies, wenn Sie den Hook für die meisten Stacks aufrufen, aber einige bestimmte ausschließen möchten. Alle Stapel außer den hier aufgeführten rufen den Hook auf.

    3. Schließen Sie bei Stack-Rollen je nach den zugehörigen IAM-Rollen bestimmte Stacks in Hook-Aufrufe ein oder aus.

      • Geben Sie für Include eine oder mehrere IAM-Rollen an, die auf Stacks abzielen ARNs sollen, die diesen Rollen zugeordnet sind. Nur Stack-Operationen, die von diesen Rollen initiiert wurden, rufen den Hook auf.

      • Geben Sie für Exclude eine oder mehrere IAM-Rollen ARNs für Stacks an, die Sie ausschließen möchten. Der Hook wird für alle Stacks aufgerufen, mit Ausnahme der Stacks, die von den angegebenen Rollen initiiert wurden.

  11. Wählen Sie Weiter aus.

  12. Überprüfen Sie auf der Seite Überprüfen und aktivieren Ihre Auswahl. Um Änderungen vorzunehmen, wählen Sie im entsprechenden Abschnitt Bearbeiten aus.

  13. Wenn Sie bereit sind, fortzufahren, wählen Sie Hook aktivieren.

Aktiviere einen proaktiven, steuerungsbasierten Hook ()AWS CLI

Bevor Sie fortfahren, vergewissern Sie sich, dass Sie die proaktiven Kontrollen identifiziert haben, die Sie mit diesem Hook verwenden werden. Weitere Informationen finden Sie im AWS Control Tower Control Catalog.

Um einen proaktiven, steuerungsbasierten Hook zur Verwendung in Ihrem Konto zu aktivieren ()AWS CLI

  1. Um mit der Aktivierung eines Hooks zu beginnen, verwende den folgenden activate-typeBefehl und ersetze dabei die Platzhalter durch deine spezifischen Werte.

    aws cloudformation activate-type --type HOOK \
  --type-name AWS::ControlTower::Hook  \
  --publisher-id aws-hooks \
  --type-name-alias MyOrg::Security::ComplianceHook \
  --region us-west-2

  2. Um die Aktivierung des Hooks abzuschließen, müssen Sie ihn mithilfe einer JSON-Konfigurationsdatei konfigurieren.

    Verwenden Sie den cat Befehl, um eine JSON-Datei mit der folgenden Struktur zu erstellen. Weitere Informationen finden Sie unter Syntaxreferenz für das Hook-Konfigurationsschema.

    Im folgenden Beispiel wird ein Hook konfiguriert, der während CREATE und bei Vorgängen auf bestimmten IAM- EC2, Amazon- und Amazon S3 S3-Ressourcen aufgerufen wird. UPDATE Es wendet drei proaktive Kontrollen (CT.IAM.PR.5,,CT.S3.PR.12) anCT.EC2.PR.17, um diese Ressourcen anhand von Compliance-Standards zu validieren. Der Hook arbeitet im WARN Modus, was bedeutet, dass er nicht konforme Ressourcen mit Warnungen kennzeichnet, Bereitstellungen jedoch nicht blockiert.

    $ cat > config.json
{
  "CloudFormationConfiguration": {
    "HookConfiguration": {
      "HookInvocationStatus": "ENABLED",
      "TargetOperations": ["RESOURCE"],
      "FailureMode": "WARN",
      "Properties": {
        "ControlsToApply": "CT.IAM.PR.5,CT.EC2.PR.17,CT.S3.PR.12"
      },
      "TargetFilters": {
        "Actions": [
          "CREATE",
          "UPDATE"
        ]
      }
    }
  }
}

    • HookInvocationStatus: Auf einstellen, um den ENABLED Hook zu aktivieren.

    • TargetOperations: Auf gesetzt, RESOURCE da dies der einzige unterstützte Wert für einen proaktiven, steuerungsbasierten Hook ist.

    • FailureMode: Festlegung entweder auf FAIL oder WARN.

    • ControlsToApply: Geben Sie die Steuerung IDs der zu verwendenden proaktiven Kontrollen an. Weitere Informationen finden Sie im AWS Control Tower Kontrollkatalog.

    • (Optional)TargetFilters: Für Actions können Sie CREATE oder oder oder UPDATE beides (Standard) angeben, um zu steuern, wann der Hook aufgerufen wird. Wenn Sie CREATE nur angeben, wird der Hook nur auf CREATE Operationen beschränkt. Andere TargetFilters Eigenschaften haben keine Auswirkung.

  3. Verwenden Sie den folgenden set-type-configurationBefehl zusammen mit der von Ihnen erstellten JSON-Datei, um die Konfiguration anzuwenden. Ersetzen Sie die Platzhalter durch Ihre spezifischen Werte.

    aws cloudformation set-type-configuration \
  --configuration file://config.json \
  --type-arn "arn:aws:cloudformation:us-west-2:123456789012:type/hook/MyOrg-Security-ComplianceHook" \
  --region us-west-2