在您的帳戶中啟用主動控制型勾點 - AWS CloudFormation
啟用主動控制型勾點 (主控台)啟用主動控制型勾點 (AWS CLI)

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在您的帳戶中啟用主動控制型勾點

下列主題說明如何在您的 帳戶中啟用主動控制型勾點,使其可在其啟用的帳戶和區域中使用。

啟用主動控制型勾點 (主控台)

啟用主動控制型勾點,以便在您的帳戶中使用

  1. 登入 AWS Management Console ,並在 https://https://console.aws.amazon.com/cloudformation 開啟 AWS CloudFormation 主控台。

  2. 在畫面頂端的導覽列上,選擇您要建立連接所在的 AWS 區域 。

  3. 在左側導覽窗格中,選擇勾點

  4. 勾點頁面上,選擇建立勾點,然後選擇使用控制目錄

  5. 選取控制項頁面上,針對主動控制項,選取要使用的一或多個主動控制項。

    這些控制項會在建立或更新指定的資源時自動套用。您的選擇會決定勾點將評估哪些資源類型。

  6. 選擇下一步

  7. 針對勾點名稱,選擇下列其中一個選項:

    • 提供將在 之後新增的簡短描述性名稱Private::Controls::。例如,如果您輸入 MyTestHook,則完整的勾點名稱會變成 Private::Controls::MyTestHook

    • 使用此格式提供完整的勾點名稱 (也稱為別名):Provider::ServiceName::HookName

  8. 針對勾點模式,選擇當控制項評估失敗時勾點如何回應:

    • 警告 — 向使用者發出警告,但允許動作繼續。這適用於非關鍵驗證或資訊檢查。

    • 失敗 — 防止動作繼續。這有助於強制執行嚴格的合規或安全政策。

  9. 選擇下一步

  10. (選用) 對於勾點篩選條件,請執行下列動作:

    1. 針對篩選條件,選擇套用堆疊名稱和堆疊角色篩選條件的邏輯:

      • 所有堆疊名稱和堆疊角色 – 只有在所有指定的篩選條件相符時,才會叫用勾點。

      • 任何堆疊名稱和堆疊角色 – 如果至少一個指定的篩選條件相符,則會叫用勾點。

    2. 對於堆疊名稱,請在勾點調用中包含或排除特定堆疊。

      • 針對包含,指定要包含的堆疊名稱。當您有一小組想要鎖定的特定堆疊時,請使用此選項。只有此清單中指定的堆疊會叫用勾點。

      • 針對排除,指定要排除的堆疊名稱。當您想要在大多數堆疊上叫用勾點,但排除幾個特定堆疊時,請使用此選項。除了此處列出的堆疊之外,所有堆疊都會叫用勾點。

    3. 對於堆疊角色,請根據特定堆疊相關聯的 IAM 角色,從勾點調用中包含或排除特定堆疊。

      • 針對包含,指定一或多個 IAM 角色 ARNs 至與這些角色相關聯的目標堆疊。只有這些角色啟動的堆疊操作才會叫用勾點。

      • 針對排除,為您要排除的堆疊指定一或多個 IAM 角色 ARNs。將在所有堆疊上叫用勾點,但由指定角色啟動的堆疊除外。

  11. 選擇下一步

  12. 檢閱和啟用頁面上,檢閱您的選擇。若要進行變更,請在相關區段中選擇編輯

  13. 當您準備好繼續時,請選擇啟用勾點

啟用主動控制型勾點 (AWS CLI)

繼續之前,請確認您已識別要與此勾點搭配使用的主動控制。如需詳細資訊,請參閱 AWS Control Tower Control Catalog

啟用主動控制型勾點以用於您的帳戶 (AWS CLI)

  1. 若要開始啟用勾點,請使用下列activate-type命令,將預留位置取代為您的特定值。

    aws cloudformation activate-type --type HOOK \
  --type-name AWS::ControlTower::Hook  \
  --publisher-id aws-hooks \
  --type-name-alias MyOrg::Security::ComplianceHook \
  --region us-west-2

  2. 若要完成啟用勾點,您必須使用 JSON 組態檔案進行設定。

    使用 cat命令建立具有下列結構的 JSON 檔案。如需詳細資訊,請參閱勾點組態結構描述語法參考

    下列範例會設定在 CREATEUPDATE操作期間調用特定 IAM、Amazon EC2 和 Amazon S3 資源的勾點。它套用三個主動控制 (CT.IAM.PR.5CT.EC2.PR.17CT.S3.PR.12),以根據合規標準驗證這些資源。勾點在 WARN 模式下運作,這表示它會使用警告標記不合規的資源,但不會封鎖部署。

    $ cat > config.json
{
  "CloudFormationConfiguration": {
    "HookConfiguration": {
      "HookInvocationStatus": "ENABLED",
      "TargetOperations": ["RESOURCE"],
      "FailureMode": "WARN",
      "Properties": {
        "ControlsToApply": "CT.IAM.PR.5,CT.EC2.PR.17,CT.S3.PR.12"
      },
      "TargetFilters": {
        "Actions": [
          "CREATE",
          "UPDATE"
        ]
      }
    }
  }
}

    • HookInvocationStatus:將 設定為 ENABLED 以啟用 勾點。

    • TargetOperations:設定為 ,RESOURCE因為這是主動控制型勾點唯一支援的值。

    • FailureMode:設為 FAILWARN

    • ControlsToApply:指定要使用的主動控制控制 IDs。如需詳細資訊,請參閱 AWS Control Tower Control Catalog

    • (選用) TargetFilters:對於 Actions,您可以指定 CREATEUPDATE或兩者 (預設),以控制何時叫用勾點。CREATE 僅指定 會將勾點限制為僅限 CREATE 操作。其他TargetFilters屬性沒有效果。

  3. 使用下列set-type-configuration命令以及您建立的 JSON 檔案來套用組態。將預留位置取代為您的特定值。

    aws cloudformation set-type-configuration \
  --configuration file://config.json \
  --type-arn "arn:aws:cloudformation:us-west-2:123456789012:type/hook/MyOrg-Security-ComplianceHook" \
  --region us-west-2