Création et gestion de AWS CloudFormation Hooks - AWS CloudFormation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création et gestion de AWS CloudFormation Hooks

AWS CloudFormation Les hooks fournissent un mécanisme permettant d'évaluer vos CloudFormation ressources avant d'autoriser la création, la modification ou la suppression de piles. Cette fonctionnalité vous permet de vous assurer que vos CloudFormation ressources sont conformes aux meilleures pratiques de votre organisation en matière de sécurité, d'exploitation et d'optimisation des coûts.

Pour créer un Hook, quatre options s'offrent à vous.

  • Contrôles proactifs sous forme de crochets : évalue les ressources à l'aide des contrôles proactifs du catalogue de AWS Control Tower contrôle.

  • Guard Hook — Évalue les ressources à l'aide d'une AWS CloudFormation Guard règle.

  • Lambda Hook — Transfère les demandes d'évaluation des ressources à une AWS Lambda fonction.

  • Crochet personnalisé — Utilise un gestionnaire de crochet personnalisé que vous développez manuellement.

Proactive controls as Hooks

Pour créer un Hook à partir de contrôles proactifs, procédez comme suit :

  1. Accédez à la CloudFormation console et commencez à créer un Hook.

  2. Choisissez des contrôles spécifiques dans le catalogue de contrôles par rapport auxquels vous souhaitez que votre Hook évalue les ressources.

    Ces contrôles s'appliquent automatiquement chaque fois que des ressources spécifiées sont créées ou mises à jour. Votre sélection détermine les types de ressources que le Hook évaluera.

  3. Définir le mode hook pour avertir les utilisateurs en cas de non-conformité ou pour empêcher les opérations non conformes.

  4. Configurez des filtres facultatifs pour inclure ou exclure des piles par nom de pile ou par rôle de pile.

  5. Une fois la configuration terminée, activez le Hook pour commencer l'application.

Guard Hook

Pour créer un crochet de protection, procédez comme suit :

  1. Écrivez votre logique d'évaluation des ressources sous forme de règle de politique Guard en utilisant le langage spécifique au domaine Guard (DSL).

  2. Stockez la règle de politique Guard dans un compartiment Amazon S3.

  3. Accédez à la CloudFormation console et commencez à créer un crochet de protection.

  4. Indiquez le chemin Amazon S3 vers votre règle Guard.

  5. Choisissez les types de cibles spécifiques que le Hook évaluera.

    • CloudFormation ressources (RESOURCE)

    • Modèles de pile complète (STACK)

    • Ensembles de modifications (CHANGE_SET)

    • Ressources de l'API Cloud Control (CLOUD_CONTROL)

  6. Choisissez les actions de déploiement (créer, mettre à jour, supprimer) qui appelleront votre Hook.

  7. Choisissez la façon dont le Hook répond en cas d'échec de l'évaluation.

  8. Configurez des filtres facultatifs pour spécifier les types de ressources que le Hook doit évaluer

  9. Configurez des filtres facultatifs pour inclure ou exclure des piles par nom de pile ou par rôle de pile.

  10. Une fois la configuration terminée, activez le Hook pour commencer l'application.

Lambda Hook

Pour créer un Lambda Hook, procédez comme suit :

  1. Écrivez votre logique d'évaluation des ressources sous forme de fonction Lambda.

  2. Accédez à la CloudFormation console et commencez à créer un Lambda Hook.

  3. Indiquez le nom de ressource Amazon (ARN) pour votre fonction Lambda.

  4. Choisissez les types de cibles spécifiques que le Hook évaluera.

    • CloudFormation ressources (RESOURCE)

    • Modèles de pile complète (STACK)

    • Ensembles de modifications (CHANGE_SET)

    • Ressources de l'API Cloud Control (CLOUD_CONTROL)

  5. Choisissez les actions de déploiement (créer, mettre à jour, supprimer) qui appelleront votre Hook.

  6. Choisissez la façon dont le Hook répond en cas d'échec de l'évaluation.

  7. Configurez des filtres facultatifs pour spécifier les types de ressources que le Hook doit évaluer

  8. Configurez des filtres facultatifs pour inclure ou exclure des piles par nom de pile ou par rôle de pile.

  9. Une fois la configuration terminée, activez le Hook pour commencer l'application.

Custom Hook

Les hooks personnalisés sont des extensions que vous enregistrez dans le CloudFormation registre à l'aide de l'interface de ligne de CloudFormation commande (CFN-CLI).

Pour créer un Hook personnalisé, suivez les étapes principales suivantes :

  1. Lancez le projet — Générez les fichiers nécessaires au développement d'un Hook personnalisé.

  2. Modéliser le Hook — Écrivez un schéma qui définit le Hook et les gestionnaires qui spécifient les opérations qui peuvent appeler le Hook.

  3. Enregistrez et activez le Hook — Après avoir créé un Hook, vous devez l'enregistrer dans le compte et dans la région où vous souhaitez l'utiliser pour l'activer.

Les rubriques suivantes fournissent des informations supplémentaires sur la création et la gestion des Hooks.

Rubriques