Ative um Hook proativo baseado em controle em sua conta - AWS CloudFormation
Ative um Hook proativo baseado em controle (console)Ative um Hook proativo baseado em controle ()AWS CLI

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Ative um Hook proativo baseado em controle em sua conta

O tópico a seguir mostra como ativar um Hook proativo baseado em controle em sua conta, o que o torna utilizável na conta e na região em que foi ativado.

Ative um Hook proativo baseado em controle (console)

Para ativar um Hook proativo baseado em controle para uso em sua conta

  1. Faça login no AWS Management Console e abra o AWS CloudFormation console em https://console.aws.amazon.com/cloudformation.

  2. Na barra de navegação na parte superior da tela, escolha Região da AWS onde você deseja criar o Hook in.

  3. No painel de navegação à esquerda, escolha Ganchos.

  4. Na página Ganchos, escolha Criar um gancho e, em seguida, escolha Com o catálogo de controle.

  5. Na página Selecionar controles, em Controles proativos, selecione um ou mais controles proativos para usar.

    Esses controles serão aplicados automaticamente sempre que recursos especificados forem criados ou atualizados. Sua seleção determina quais tipos de recursos o Hook avaliará.

  6. Escolha Próximo.

  7. Em Nome do gancho, escolha uma das seguintes opções:

    • Forneça um nome curto e descritivo que será adicionado depoisPrivate::Controls::. Por exemplo, se você inserirMyTestHook, o nome completo do Hook seráPrivate::Controls::MyTestHook.

    • Forneça o nome completo do Hook (também chamado de alias) usando este formato:Provider::ServiceName::HookName.

  8. Para o modo Hook, escolha como o Hook responde quando os controles falham em sua avaliação:

    • Avisar — Emite avisos aos usuários, mas permite que as ações continuem. Isso é útil para validações não críticas ou verificações de informações.

    • Falha — Impede que a ação prossiga. Isso é útil para aplicar políticas rígidas de conformidade ou segurança.

  9. Escolha Próximo.

  10. (Opcional) Para filtros Hook, faça o seguinte:

    1. Em Critérios de filtragem, escolha a lógica para aplicar filtros de nome e função da pilha:

      • Todos os nomes e funções da pilha — O Hook só será invocado quando todos os filtros especificados corresponderem.

      • Qualquer nome de pilha e função de pilha — O Hook será invocado se pelo menos um dos filtros especificados corresponder.

    2. Para nomes de pilhas, inclua ou exclua pilhas específicas das invocações de Hook.

      • Em Incluir, especifique os nomes das pilhas a serem incluídas. Use isso quando você tiver um pequeno conjunto de pilhas específicas que deseja atingir. Somente as pilhas especificadas nesta lista invocarão o Hook.

      • Em Excluir, especifique os nomes das pilhas a serem excluídas. Use isso quando quiser invocar o Hook na maioria das pilhas, mas exclua algumas específicas. Todas as pilhas, exceto as listadas aqui, invocarão o Hook.

    3. Para funções do Stack, inclua ou exclua pilhas específicas das invocações do Hook com base nas funções do IAM associadas.

      • Em Include, especifique uma ou mais funções do IAM ARNs para direcionar as pilhas associadas a essas funções. Somente as operações de pilha iniciadas por essas funções invocarão o Hook.

      • Em Excluir, especifique uma ou mais funções do IAM ARNs para as pilhas que você deseja excluir. O Hook será invocado em todas as pilhas, exceto aquelas iniciadas pelas funções especificadas.

  11. Escolha Próximo.

  12. Na página Revisar e ativar, revise suas escolhas. Para fazer alterações, escolha Editar na seção relacionada.

  13. Quando estiver pronto para continuar, escolha Ativar gancho.

Ative um Hook proativo baseado em controle ()AWS CLI

Antes de continuar, confirme que você identificou os controles proativos que você usará com este Hook. Para obter mais informações, consulte o Catálogo AWS Control Tower de Controle.

Para ativar um Hook proativo baseado em controle para uso em sua conta ()AWS CLI

  1. Para começar a ativar um Hook, use o activate-typecomando a seguir, substituindo os espaços reservados por seus valores específicos.

    aws cloudformation activate-type --type HOOK \
  --type-name AWS::ControlTower::Hook  \
  --publisher-id aws-hooks \
  --type-name-alias MyOrg::Security::ComplianceHook \
  --region us-west-2

  2. Para finalizar a ativação do Hook, você deve configurá-lo usando um arquivo de configuração JSON.

    Use o cat comando para criar um arquivo JSON com a estrutura a seguir. Para obter mais informações, consulte Referência de sintaxe de esquema de configuração de hook.

    O exemplo a seguir configura um Hook que invoca recursos específicos do IAM EC2, Amazon e Amazon S3 durante as operações. CREATE UPDATE Ele aplica três controles proativos (CT.IAM.PR.5,CT.EC2.PR.17,CT.S3.PR.12) para validar esses recursos em relação aos padrões de conformidade. O gancho opera no WARN modo, o que significa que ele sinalizará recursos não compatíveis com avisos, mas não bloqueará as implantações.

    $ cat > config.json
{
  "CloudFormationConfiguration": {
    "HookConfiguration": {
      "HookInvocationStatus": "ENABLED",
      "TargetOperations": ["RESOURCE"],
      "FailureMode": "WARN",
      "Properties": {
        "ControlsToApply": "CT.IAM.PR.5,CT.EC2.PR.17,CT.S3.PR.12"
      },
      "TargetFilters": {
        "Actions": [
          "CREATE",
          "UPDATE"
        ]
      }
    }
  }
}

    • HookInvocationStatus: Defina como ENABLED para ativar o Hook.

    • TargetOperations: Defina RESOURCE como esse é o único valor compatível com um Hook proativo baseado em controle.

    • FailureMode: defina como FAIL ou WARN.

    • ControlsToApply: especifique o controle IDs dos controles proativos a serem usados. Para obter mais informações, consulte o Catálogo AWS Control Tower de Controle.

    • (Opcional)TargetFilters: ParaActions, você pode especificar CREATE ouUPDATE, ou ambos (padrão), controlar quando o Hook é invocado. A especificação CREATE por si só limita o Hook apenas às CREATE operações. Outras TargetFilters propriedades não têm efeito.

  3. Use o set-type-configurationcomando a seguir, junto com o arquivo JSON que você criou, para aplicar a configuração. Substitua os espaços reservados por seus valores específicos.

    aws cloudformation set-type-configuration \
  --configuration file://config.json \
  --type-arn "arn:aws:cloudformation:us-west-2:123456789012:type/hook/MyOrg-Security-ComplianceHook" \
  --region us-west-2