Attiva un Hook basato sul controllo proattivo nel tuo account - AWS CloudFormation
Attiva un Hook (console) basato su un controllo proattivoAttiva un Hook basato su un controllo proattivo ()AWS CLI

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Attiva un Hook basato sul controllo proattivo nel tuo account

L'argomento seguente mostra come attivare un Hook basato sul controllo proattivo nel tuo account, in modo da renderlo utilizzabile nell'account e nella regione in cui è stato attivato.

Attiva un Hook (console) basato sul controllo proattivo

Per attivare un Hook basato su un controllo proattivo da utilizzare nel tuo account

  1. Accedi AWS Management Console e apri la AWS CloudFormation console all'indirizzo /cloudformation. https://console.aws.amazon.com

  2. Nella barra di navigazione nella parte superiore dello schermo, scegli Regione AWS dove vuoi creare l'Hook in.

  3. Nel riquadro di navigazione a sinistra, scegli Hooks.

  4. Nella pagina Hooks, scegli Crea un hook, quindi scegli With the Control Catalog.

  5. Nella pagina Seleziona controlli, per i controlli proattivi, seleziona uno o più controlli proattivi da utilizzare.

    Questi controlli verranno applicati automaticamente ogni volta che vengono create o aggiornate risorse specifiche. La selezione determina i tipi di risorse che Hook valuterà.

  6. Scegli Next (Successivo).

  7. Per Hook name, scegliete una delle seguenti opzioni:

    • Fornisci un nome breve e descrittivo che verrà aggiunto dopoPrivate::Controls::. Ad esempio, se inserisciMyTestHook, il nome completo di Hook diventaPrivate::Controls::MyTestHook.

    • Fornisci il nome completo dell'Hook (chiamato anche alias) utilizzando questo formato:Provider::ServiceName::HookName.

  8. Per la modalità Hook, scegli come risponde l'Hook quando i controlli non superano la valutazione:

    • Avvisa: invia avvisi agli utenti ma consente il proseguimento delle azioni. Ciò è utile per convalide non critiche o controlli informativi.

    • Fallito: impedisce il proseguimento dell'azione. Ciò è utile per applicare rigorose politiche di conformità o sicurezza.

  9. Scegli Next (Successivo).

  10. (Facoltativo) Per i filtri Hook, procedi come segue:

    1. Per i criteri di filtraggio, scegliete la logica per applicare i filtri del nome dello stack e del ruolo dello stack:

      • Tutti i nomi degli stack e i ruoli dello stack: l'Hook verrà richiamato solo quando tutti i filtri specificati corrispondono.

      • Qualsiasi nome dello stack e ruolo dello stack: l'Hook verrà richiamato se almeno uno dei filtri specificati corrisponde.

    2. Per i nomi degli stack, includi o escludi pile specifiche dalle invocazioni di Hook.

      • Per Include, specificate i nomi degli stack da includere. Usalo quando hai un piccolo set di pile specifiche a cui vuoi rivolgerti. Solo gli stack specificati in questo elenco richiameranno l'Hook.

      • Per Exclude, specifica i nomi degli stack da escludere. Usalo quando vuoi invocare l'Hook sulla maggior parte degli stack ma escluderne alcuni specifici. Tutti gli stack tranne quelli elencati qui invocheranno l'Hook.

    3. Per i ruoli Stack, includi o escludi stack specifici dalle invocazioni di Hook in base ai ruoli IAM associati.

      • Per Include, specifica uno o più ruoli IAM ARNs per indirizzare gli stack associati a questi ruoli. Solo le operazioni di stack avviate da questi ruoli richiameranno l'Hook.

      • Per Exclude, specifica uno o più ruoli IAM ARNs per gli stack che desideri escludere. L'Hook verrà richiamato su tutti gli stack ad eccezione di quelli avviati dai ruoli specificati.

  11. Scegli Next (Successivo).

  12. Nella pagina Rivedi e attiva, rivedi le tue scelte. Per apportare modifiche, scegli Modifica nella sezione correlata.

  13. Quando sei pronto per procedere, scegli Activate Hook.

Attiva un Hook basato su un controllo proattivo ()AWS CLI

Prima di continuare, conferma di aver identificato i controlli proattivi che utilizzerai con questo Hook. Per ulteriori informazioni, consulta il AWS Control Tower Control Catalog.

Per attivare un Hook basato sul controllo proattivo da utilizzare nel tuo account ()AWS CLI

  1. Per iniziare ad attivare un Hook, usa il seguente activate-typecomando, sostituendo i segnaposto con i tuoi valori specifici.

    aws cloudformation activate-type --type HOOK \
  --type-name AWS::ControlTower::Hook  \
  --publisher-id aws-hooks \
  --type-name-alias MyOrg::Security::ComplianceHook \
  --region us-west-2

  2. Per completare l'attivazione dell'Hook, devi configurarlo utilizzando un file di configurazione JSON.

    Usa il cat comando per creare un file JSON con la seguente struttura. Per ulteriori informazioni, consulta Riferimento alla sintassi dello schema di configurazione Hook.

    L'esempio seguente configura un Hook che richiama risorse IAM, Amazon e Amazon EC2 S3 specifiche durante le operazioni. CREATE UPDATE Applica tre controlli proattivi (CT.IAM.PR.5,CT.EC2.PR.17,CT.S3.PR.12) per convalidare queste risorse rispetto agli standard di conformità. L'hook funziona in WARN modalità, il che significa che contrassegnerà le risorse non conformi con avvisi ma non bloccherà le distribuzioni.

    $ cat > config.json
{
  "CloudFormationConfiguration": {
    "HookConfiguration": {
      "HookInvocationStatus": "ENABLED",
      "TargetOperations": ["RESOURCE"],
      "FailureMode": "WARN",
      "Properties": {
        "ControlsToApply": "CT.IAM.PR.5,CT.EC2.PR.17,CT.S3.PR.12"
      },
      "TargetFilters": {
        "Actions": [
          "CREATE",
          "UPDATE"
        ]
      }
    }
  }
}

    • HookInvocationStatus: Impostato per abilitare l'Hook. ENABLED

    • TargetOperations: Impostato su RESOURCE poiché questo è l'unico valore supportato per un Hook basato sul controllo proattivo.

    • FailureMode: impostare su FAIL o su WARN.

    • ControlsToApply: Specificate il controllo IDs dei controlli proattivi da utilizzare. Per ulteriori informazioni, consulta il AWS Control Tower Control Catalog.

    • (Facoltativo)TargetFilters: PerActions, puoi specificare CREATE oUPDATE, o entrambi (impostazione predefinita), per controllare quando viene richiamato l'Hook. La CREATE sola specificazione limita l'Hook alle sole CREATE operazioni. TargetFiltersLe altre proprietà non hanno effetto.

  3. Utilizzate il set-type-configurationcomando seguente, insieme al file JSON creato, per applicare la configurazione. Sostituisci i segnaposto con i tuoi valori specifici.

    aws cloudformation set-type-configuration \
  --configuration file://config.json \
  --type-arn "arn:aws:cloudformation:us-west-2:123456789012:type/hook/MyOrg-Security-ComplianceHook" \
  --region us-west-2