Activez un Hook basé sur le contrôle proactif dans votre compte - AWS CloudFormation
Activer un Hook basé sur le contrôle proactif (console)Activez un Hook basé sur le contrôle proactif ()AWS CLI

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Activez un Hook basé sur le contrôle proactif dans votre compte

La rubrique suivante explique comment activer un Hook basé sur le contrôle proactif dans votre compte, afin de le rendre utilisable dans le compte et la région dans lesquels il a été activé.

Activer un Hook basé sur le contrôle proactif (console)

Pour activer un Hook basé sur le contrôle proactif à utiliser dans votre compte

  1. Connectez-vous à la AWS CloudFormation console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/cloudformation.

  2. Dans la barre de navigation en haut de l'écran, choisissez l' Région AWS endroit où vous souhaitez créer le Hook in.

  3. Dans le volet de navigation de gauche, choisissez Hooks.

  4. Sur la page Hooks, choisissez Create a Hook, puis choisissez With the Control Catalog.

  5. Sur la page Sélectionner les contrôles, pour les contrôles proactifs, sélectionnez un ou plusieurs contrôles proactifs à utiliser.

    Ces contrôles s'appliquent automatiquement chaque fois que des ressources spécifiées sont créées ou mises à jour. Votre sélection détermine les types de ressources que le Hook évaluera.

  6. Choisissez Suivant.

  7. Pour le nom du crochet, choisissez l'une des options suivantes :

    • Entrez un nom court et descriptif qui sera ajouté par la suitePrivate::Controls::. Par exemple, si vous entrezMyTestHook, le nom complet du Hook devientPrivate::Controls::MyTestHook.

    • Fournissez le nom complet du Hook (également appelé alias) en utilisant ce format :Provider::ServiceName::HookName.

  8. Pour le mode Hook, choisissez la façon dont le Hook répond lorsque les contrôles échouent à leur évaluation :

    • Avertir : émet des avertissements à l'intention des utilisateurs, mais autorise la poursuite des actions. Cela est utile pour les validations non critiques ou les contrôles informatifs.

    • Echec — Empêche le déroulement de l'action. Cela est utile pour appliquer des politiques de conformité ou de sécurité strictes.

  9. Choisissez Suivant.

  10. (Facultatif) Pour les filtres Hook, procédez comme suit :

    1. Pour les critères de filtrage, choisissez la logique d'application des filtres de nom de pile et de rôle de pile :

      • Tous les noms de pile et tous les rôles de pile — Le Hook ne sera invoqué que lorsque tous les filtres spécifiés correspondent.

      • Tous les noms de pile et rôles de pile — Le Hook sera invoqué si au moins l'un des filtres spécifiés correspond.

    2. Pour les noms de pile, incluez ou excluez des piles spécifiques des invocations Hook.

      • Pour Inclure, spécifiez les noms des piles à inclure. Utilisez-le lorsque vous souhaitez cibler un petit ensemble de piles spécifiques. Seules les piles spécifiées dans cette liste invoqueront le Hook.

      • Pour Exclure, spécifiez les noms des piles à exclure. Utilisez-le lorsque vous souhaitez invoquer le Hook sur la plupart des piles, mais en exclure quelques unes en particulier. Toutes les piles, à l'exception de celles répertoriées ici, invoqueront le Hook.

    3. Pour les rôles Stack, incluez ou excluez des piles spécifiques des invocations Hook en fonction de leurs rôles IAM associés.

      • Pour Inclure, spécifiez un ou plusieurs rôles IAM ARNs pour cibler les piles associées à ces rôles. Seules les opérations de stack initiées par ces rôles invoqueront le Hook.

      • Pour Exclure, spécifiez un ou plusieurs rôles IAM ARNs pour les piles que vous souhaitez exclure. Le Hook sera invoqué sur toutes les piles sauf celles initiées par les rôles spécifiés.

  11. Choisissez Suivant.

  12. Sur la page Vérifier et activer, passez en revue vos choix. Pour apporter des modifications, choisissez Modifier dans la section correspondante.

  13. Lorsque vous êtes prêt à continuer, choisissez Activate Hook.

Activez un Hook basé sur le contrôle proactif ()AWS CLI

Avant de continuer, vérifiez que vous avez identifié les contrôles proactifs que vous utiliserez avec ce Hook. Pour plus d'informations, consultez le catalogue AWS Control Tower de contrôle.

Pour activer un Hook basé sur le contrôle proactif à utiliser dans votre compte ()AWS CLI

  1. Pour commencer à activer un Hook, utilisez la activate-typecommande suivante en remplaçant les espaces réservés par vos valeurs spécifiques.

    aws cloudformation activate-type --type HOOK \
  --type-name AWS::ControlTower::Hook  \
  --publisher-id aws-hooks \
  --type-name-alias MyOrg::Security::ComplianceHook \
  --region us-west-2

  2. Pour terminer l'activation du Hook, vous devez le configurer à l'aide d'un fichier de configuration JSON.

    Utilisez la cat commande pour créer un fichier JSON avec la structure suivante. Pour de plus amples informations, veuillez consulter Référence syntaxique du schéma de configuration Hook.

    L'exemple suivant configure un Hook qui invoque des ressources IAM, Amazon et Amazon EC2 S3 spécifiques pendant et pendant CREATE les opérations. UPDATE Il applique trois contrôles proactifs (CT.IAM.PR.5,CT.EC2.PR.17,CT.S3.PR.12) pour valider ces ressources par rapport aux normes de conformité. Le hook fonctionne en WARN mode, ce qui signifie qu'il signalera les ressources non conformes par des avertissements mais ne bloquera pas les déploiements.

    $ cat > config.json
{
  "CloudFormationConfiguration": {
    "HookConfiguration": {
      "HookInvocationStatus": "ENABLED",
      "TargetOperations": ["RESOURCE"],
      "FailureMode": "WARN",
      "Properties": {
        "ControlsToApply": "CT.IAM.PR.5,CT.EC2.PR.17,CT.S3.PR.12"
      },
      "TargetFilters": {
        "Actions": [
          "CREATE",
          "UPDATE"
        ]
      }
    }
  }
}

    • HookInvocationStatus: défini sur ENABLED pour activer le Hook.

    • TargetOperations: défini sur RESOURCE car il s'agit de la seule valeur prise en charge pour un Hook basé sur le contrôle proactif.

    • FailureMode : Définissez sur FAIL ou WARN.

    • ControlsToApply: Spécifiez le contrôle IDs des contrôles proactifs à utiliser. Pour plus d'informations, consultez le catalogue AWS Control Tower de contrôle.

    • (Facultatif) TargetFilters : PourActions, vous pouvez spécifier CREATE ou UPDATE les deux (par défaut) pour contrôler le moment où le Hook est invoqué. Le fait de spécifier CREATE uniquement limite le Hook aux CREATE opérations uniquement. TargetFiltersLes autres propriétés n'ont aucun effet.

  3. Utilisez la set-type-configurationcommande suivante, ainsi que le fichier JSON que vous avez créé, pour appliquer la configuration. Remplacez les espaces réservés par vos valeurs spécifiques.

    aws cloudformation set-type-configuration \
  --configuration file://config.json \
  --type-arn "arn:aws:cloudformation:us-west-2:123456789012:type/hook/MyOrg-Security-ComplianceHook" \
  --region us-west-2