Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Aktifkan Hook berbasis kontrol proaktif di akun Anda
Topik berikut menunjukkan kepada Anda cara mengaktifkan Hook berbasis kontrol proaktif di akun Anda, yang membuatnya dapat digunakan di akun dan Wilayah tempat pengaktifannya.
**penting**
Sebelum melanjutkan, verifikasi bahwa Anda memiliki izin yang diperlukan untuk bekerja dengan Hooks dan melihat kontrol proaktif dari konsol. CloudFormation Untuk informasi selengkapnya, lihat [Berikan izin IAM untuk Hooks CloudFormation](grant-iam-permissions-for-hooks.md).
**Topics**
+ [Aktifkan Hook berbasis kontrol proaktif (konsol)](#proactive-controls-hooks-activate-hook-console)
+ [Aktifkan Hook () berbasis kontrol proaktif AWS CLI](#proactive-controls-hooks-activate-hooks-cli)
## Aktifkan Hook berbasis kontrol proaktif (konsol)
**Untuk mengaktifkan Hook berbasis kontrol proaktif untuk digunakan di akun Anda**
1. Masuk ke Konsol Manajemen AWS dan buka CloudFormation konsol di [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/).
1. Pada bilah navigasi di bagian atas layar, pilih Wilayah AWS tempat Anda ingin membuat Hook.
1. Di panel navigasi di sebelah kiri, pilih **Hooks**.
1. Pada halaman **Hooks**, pilih **Create a Hook**, lalu pilih **With the Control Catalog**.
1. Pada halaman **Pilih kontrol**, untuk **kontrol Proaktif**, pilih satu atau beberapa kontrol proaktif untuk digunakan.
Kontrol ini akan secara otomatis berlaku setiap kali sumber daya tertentu dibuat atau diperbarui. Pilihan Anda menentukan jenis sumber daya mana yang akan dievaluasi oleh Hook.
1. Pilih **Berikutnya**.
1. Untuk **nama Hook**, pilih salah satu opsi berikut:
+ Berikan nama deskriptif singkat yang akan ditambahkan setelahnya`Private::Controls::`. Misalnya, jika Anda masuk{{`MyTestHook`}}, nama Hook lengkap menjadi`Private::Controls::{{MyTestHook}}`.
+ Berikan nama Hook lengkap (juga disebut alias) menggunakan format ini:`{{Provider}}::{{ServiceName}}::{{HookName}}`.
1. Untuk **mode Hook**, pilih bagaimana Hook merespons saat kontrol gagal dalam evaluasinya:
+ **Peringatkan** — Mengeluarkan peringatan kepada pengguna tetapi memungkinkan tindakan untuk dilanjutkan. Ini berguna untuk validasi non-kritis atau pemeriksaan informasi.
+ **Gagal** — Mencegah tindakan dari melanjutkan. Ini berguna untuk menegakkan kepatuhan yang ketat atau kebijakan keamanan.
1. Pilih **Berikutnya**.
1. (Opsional) Untuk **filter Hook**, lakukan hal berikut:
1. Untuk **kriteria Pemfilteran**, pilih logika untuk menerapkan nama tumpukan dan filter peran tumpukan:
+ **Semua nama tumpukan dan peran tumpukan** — Hook hanya akan dipanggil ketika semua filter yang ditentukan cocok.
+ **Setiap nama tumpukan dan peran tumpukan** — Hook akan dipanggil jika setidaknya salah satu filter yang ditentukan cocok.
1. Untuk **nama Stack**, sertakan atau kecualikan tumpukan tertentu dari pemanggilan Hook.
+ Untuk **Sertakan**, tentukan nama tumpukan yang akan disertakan. Gunakan ini ketika Anda memiliki satu set kecil tumpukan spesifik yang ingin Anda targetkan. Hanya tumpukan yang ditentukan dalam daftar ini yang akan memanggil Hook.
+ Untuk **Kecualikan**, tentukan nama tumpukan yang akan dikecualikan. Gunakan ini ketika Anda ingin memanggil Hook di sebagian besar tumpukan tetapi mengecualikan beberapa yang spesifik. Semua tumpukan kecuali yang tercantum di sini akan memanggil Hook.
1. Untuk **peran Stack**, sertakan atau kecualikan tumpukan tertentu dari pemanggilan Hook berdasarkan peran IAM terkait.
+ Untuk **Sertakan**, tentukan satu atau beberapa peran IAM ARNs untuk menargetkan tumpukan yang terkait dengan peran ini. Hanya operasi tumpukan yang diprakarsai oleh peran ini yang akan memanggil Hook.
+ Untuk **Kecualikan**, tentukan satu atau beberapa peran IAM ARNs untuk tumpukan yang ingin Anda kecualikan. Hook akan dipanggil pada semua tumpukan kecuali yang diprakarsai oleh peran yang ditentukan.
1. Pilih **Berikutnya**.
1. Pada halaman **Tinjau dan aktifkan**, tinjau pilihan Anda. Untuk membuat perubahan, pilih **Edit** pada bagian terkait.
1. Saat Anda siap untuk melanjutkan, pilih **Activate Hook**.
## Aktifkan Hook () berbasis kontrol proaktif AWS CLI
Sebelum melanjutkan, konfirmasikan bahwa Anda telah mengidentifikasi kontrol proaktif yang akan Anda gunakan dengan Hook ini. Untuk informasi selengkapnya, lihat [Katalog AWS Control Tower Kontrol](https://docs.aws.amazon.com/controltower/latest/controlreference/controls-reference.html).
**Untuk mengaktifkan Hook berbasis kontrol proaktif untuk digunakan di akun Anda ()AWS CLI**
1. Untuk mulai mengaktifkan Hook, gunakan [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/activate-type.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/activate-type.html)perintah berikut, ganti placeholder dengan nilai spesifik Anda.
```
aws cloudformation activate-type --type HOOK \
--type-name AWS::ControlTower::Hook \
--publisher-id aws-hooks \
--type-name-alias {{MyOrg::Security::ComplianceHook}} \
--region {{us-west-2}}
```
1. Untuk menyelesaikan pengaktifan Hook, Anda harus mengkonfigurasinya menggunakan file konfigurasi JSON.
Gunakan **cat** perintah untuk membuat file JSON dengan struktur berikut. Untuk informasi selengkapnya, lihat [Referensi sintaks skema konfigurasi hook](hook-configuration-schema.md).
Contoh berikut ini mengonfigurasi Hook yang memanggil sumber daya IAM, Amazon EC2, dan Amazon S3 tertentu selama dan operasi. `CREATE` `UPDATE` Ini menerapkan tiga kontrol proaktif (`CT.IAM.PR.5`,`CT.EC2.PR.17`,`CT.S3.PR.12`) untuk memvalidasi sumber daya ini terhadap standar kepatuhan. Hook beroperasi dalam `WARN` mode, artinya akan menandai sumber daya yang tidak sesuai dengan peringatan tetapi tidak akan memblokir penerapan.
```
$ cat > config.json
{
"CloudFormationConfiguration": {
"HookConfiguration": {
"HookInvocationStatus": "{{ENABLED}}",
"TargetOperations": ["RESOURCE"],
"FailureMode": "{{WARN}}",
"Properties": {
"ControlsToApply": "{{CT.IAM.PR.5,CT.EC2.PR.17,CT.S3.PR.12}}"
},
"TargetFilters": {
"Actions": [
"{{CREATE}}",
"{{UPDATE}}"
]
}
}
}
}
```
+ `HookInvocationStatus`: Setel `ENABLED` untuk mengaktifkan Hook.
+ `TargetOperations`: Setel ke `RESOURCE` karena ini adalah satu-satunya nilai yang didukung untuk Hook berbasis kontrol proaktif.
+ `FailureMode`: Setel ke salah satu `FAIL` atau`WARN`.
+ `ControlsToApply`: Tentukan kontrol kontrol IDs proaktif yang akan digunakan. Untuk informasi selengkapnya, lihat [Katalog AWS Control Tower Kontrol](https://docs.aws.amazon.com/controltower/latest/controlreference/controls-reference.html).
+ (Opsional)`TargetFilters`: Untuk`Actions`, Anda dapat menentukan `CREATE` atau`UPDATE`, atau keduanya (default), untuk mengontrol kapan Hook dipanggil. Menentukan `CREATE` sendiri membatasi Hook hanya untuk `CREATE` operasi. `TargetFilters`Properti lain tidak berpengaruh.
1. Gunakan [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/set-type-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/set-type-configuration.html)perintah berikut, bersama dengan file JSON yang Anda buat, untuk menerapkan konfigurasi. Ganti placeholder dengan nilai spesifik Anda.
```
aws cloudformation set-type-configuration \
--configuration {{file://config.json}} \
--type-arn {{"arn:aws:cloudformation:us-west-2:123456789012:type/hook/MyOrg-Security-ComplianceHook"}} \
--region {{us-west-2}}
```