本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

什麼是 AWS CloudFormation 勾點？

AWS CloudFormation 勾點功能可協助確保您的 CloudFormation 資源、堆疊和變更集符合組織的安全性、營運和成本最佳化最佳實務。CloudFormation Hooks 也可以確保 AWS 雲端控制 API 資源的相同合規層級。使用 CloudFormation Hooks，您可以提供程式碼，在佈建之前主動檢查 AWS 資源的組態。如果找到不合規的資源，則 AWS CloudFormation 操作會失敗，並防止資源佈建或發出警告，並允許佈建操作繼續。

您可以使用勾點來強制執行各種需求和指導方針。例如，與安全相關的勾點可以驗證安全群組是否具有適用於 Amazon VPC 的傳入和傳出流量規則。成本相關的勾點可以限制開發環境只使用較小的 Amazon EC2 執行個體類型。專為資料可用性而設計的勾點可以強制執行 Amazon RDS 的自動備份。

勾點實作選項

CloudFormation 提供多種實作勾點的選項，讓您靈活地選擇最適合您需求的方法。

AWS Control Tower 主動控制

Control AWS Control Tower Catalog 提供標準化的主動控制，您可以實作為勾點。此方法可節省設定時間，並協助您根據整個組織的 AWS 最佳實務驗證資源組態，而無需撰寫程式碼。

防護規則

AWS CloudFormation Guard 是一種policy-as-code評估工具，提供用於撰寫 Hooks 自訂評估邏輯的網域特定語言。此方法可讓您使用 Guard 的宣告式語法來定義合規檢查，讓您輕鬆地建立和維護評估邏輯，而無需廣泛的程式設計知識。

Lambda 函數

您也可以使用 Lambda 函數實作勾點，讓您將 Lambda 的完整功能和彈性用於評估邏輯。您可以使用任何 Lambda 支援的執行時間語言，並視需要與其他 AWS 服務整合。

自訂勾點

對於進階使用案例，您可以使用 CloudFormation CLI 支援的程式設計語言撰寫自己的評估邏輯。此方法可為實作組織特定的控管要求提供最大的彈性。做為 AWS CloudFormation 登錄檔中支援的延伸類型，您的自訂勾點可以公開和私密地分發和啟用。