As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Ative um Hook proativo baseado em controle em sua conta
O tópico a seguir mostra como ativar um Hook proativo baseado em controle em sua conta, o que o torna utilizável na conta e na região em que foi ativado.
**Importante**
Antes de continuar, verifique se você tem as permissões necessárias para trabalhar com Hooks e visualizar os controles proativos no CloudFormation console. Para obter mais informações, consulte [Conceda permissões do IAM para CloudFormation Hooks](grant-iam-permissions-for-hooks.md).
**Topics**
+ [Ative um Hook proativo baseado em controle (console)](#proactive-controls-hooks-activate-hook-console)
+ [Ative um Hook proativo baseado em controle ()AWS CLI](#proactive-controls-hooks-activate-hooks-cli)
## Ative um Hook proativo baseado em controle (console)
**Para ativar um Hook proativo baseado em controle para uso em sua conta**
1. Faça login no Console de gerenciamento da AWS e abra o CloudFormation console em [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/).
1. Na barra de navegação na parte superior da tela, escolha Região da AWS onde você deseja criar o Hook in.
1. No painel de navegação à esquerda, escolha **Ganchos**.
1. Na página **Ganchos**, escolha **Criar um gancho** e, em seguida, escolha **Com o catálogo de controle**.
1. Na página **Selecionar controles**, em **Controles proativos**, selecione um ou mais controles proativos para usar.
Esses controles serão aplicados automaticamente sempre que recursos especificados forem criados ou atualizados. Sua seleção determina quais tipos de recursos o Hook avaliará.
1. Escolha **Próximo**.
1. Em **Nome do gancho**, escolha uma das seguintes opções:
+ Forneça um nome curto e descritivo que será adicionado depois`Private::Controls::`. Por exemplo, se você inserir{{`MyTestHook`}}, o nome completo do Hook será`Private::Controls::{{MyTestHook}}`.
+ Forneça o nome completo do Hook (também chamado de alias) usando este formato:`{{Provider}}::{{ServiceName}}::{{HookName}}`.
1. Para o **modo Hook**, escolha como o Hook responde quando os controles falham em sua avaliação:
+ **Avisar** — Emite avisos aos usuários, mas permite que as ações continuem. Isso é útil para validações não críticas ou verificações de informações.
+ **Falha** — Impede que a ação prossiga. Isso é útil para aplicar políticas rígidas de conformidade ou segurança.
1. Escolha **Próximo**.
1. (Opcional) Para **filtros Hook**, faça o seguinte:
1. Em **Critérios de filtragem**, escolha a lógica para aplicar filtros de nome e função da pilha:
+ **Todos os nomes e funções da pilha** — O Hook só será invocado quando todos os filtros especificados corresponderem.
+ **Qualquer nome de pilha e função de pilha** — O Hook será invocado se pelo menos um dos filtros especificados corresponder.
1. Para **nomes de pilhas**, inclua ou exclua pilhas específicas das invocações de Hook.
+ Em **Incluir**, especifique os nomes das pilhas a serem incluídas. Use isso quando você tiver um pequeno conjunto de pilhas específicas que deseja atingir. Somente as pilhas especificadas nesta lista invocarão o Hook.
+ Em **Excluir**, especifique os nomes das pilhas a serem excluídas. Use isso quando quiser invocar o Hook na maioria das pilhas, mas exclua algumas específicas. Todas as pilhas, exceto as listadas aqui, invocarão o Hook.
1. Para **funções do Stack**, inclua ou exclua pilhas específicas das invocações do Hook com base nas funções do IAM associadas.
+ Em **Include**, especifique uma ou mais funções do IAM ARNs para direcionar as pilhas associadas a essas funções. Somente as operações de pilha iniciadas por essas funções invocarão o Hook.
+ Em **Excluir**, especifique uma ou mais funções do IAM ARNs para as pilhas que você deseja excluir. O Hook será invocado em todas as pilhas, exceto aquelas iniciadas pelas funções especificadas.
1. Escolha **Próximo**.
1. Na página **Revisar e ativar**, revise suas escolhas. Para fazer alterações, escolha **Editar** na seção relacionada.
1. Quando estiver pronto para continuar, escolha **Ativar gancho**.
## Ative um Hook proativo baseado em controle ()AWS CLI
Antes de continuar, confirme que você identificou os controles proativos que você usará com este Hook. Para obter mais informações, consulte o [Catálogo AWS Control Tower de Controle](https://docs.aws.amazon.com/controltower/latest/controlreference/controls-reference.html).
**Para ativar um Hook proativo baseado em controle para uso em sua conta ()AWS CLI**
1. Para começar a ativar um Hook, use o [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/activate-type.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/activate-type.html)comando a seguir, substituindo os espaços reservados por seus valores específicos.
```
aws cloudformation activate-type --type HOOK \
--type-name AWS::ControlTower::Hook \
--publisher-id aws-hooks \
--type-name-alias {{MyOrg::Security::ComplianceHook}} \
--region {{us-west-2}}
```
1. Para finalizar a ativação do Hook, você deve configurá-lo usando um arquivo de configuração JSON.
Use o **cat** comando para criar um arquivo JSON com a estrutura a seguir. Para obter mais informações, consulte [Referência de sintaxe de esquema de configuração de hook](hook-configuration-schema.md).
O exemplo a seguir configura um Hook que invoca recursos específicos do IAM, do Amazon EC2 e do Amazon S3 durante as operações. `CREATE` `UPDATE` Ele aplica três controles proativos (`CT.IAM.PR.5`,`CT.EC2.PR.17`,`CT.S3.PR.12`) para validar esses recursos em relação aos padrões de conformidade. O gancho opera no `WARN` modo, o que significa que ele sinalizará recursos não compatíveis com avisos, mas não bloqueará as implantações.
```
$ cat > config.json
{
"CloudFormationConfiguration": {
"HookConfiguration": {
"HookInvocationStatus": "{{ENABLED}}",
"TargetOperations": ["RESOURCE"],
"FailureMode": "{{WARN}}",
"Properties": {
"ControlsToApply": "{{CT.IAM.PR.5,CT.EC2.PR.17,CT.S3.PR.12}}"
},
"TargetFilters": {
"Actions": [
"{{CREATE}}",
"{{UPDATE}}"
]
}
}
}
}
```
+ `HookInvocationStatus`: Defina como `ENABLED` para ativar o Hook.
+ `TargetOperations`: Defina `RESOURCE` como esse é o único valor compatível com um Hook proativo baseado em controle.
+ `FailureMode`: defina como `FAIL` ou `WARN`.
+ `ControlsToApply`: especifique o controle IDs dos controles proativos a serem usados. Para obter mais informações, consulte o [Catálogo AWS Control Tower de Controle](https://docs.aws.amazon.com/controltower/latest/controlreference/controls-reference.html).
+ (Opcional)`TargetFilters`: Para`Actions`, você pode especificar `CREATE` ou`UPDATE`, ou ambos (padrão), controlar quando o Hook é invocado. A especificação `CREATE` por si só limita o Hook apenas às `CREATE` operações. Outras `TargetFilters` propriedades não têm efeito.
1. Use o [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/set-type-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/set-type-configuration.html)comando a seguir, junto com o arquivo JSON que você criou, para aplicar a configuração. Substitua os espaços reservados por seus valores específicos.
```
aws cloudformation set-type-configuration \
--configuration {{file://config.json}} \
--type-arn {{"arn:aws:cloudformation:us-west-2:123456789012:type/hook/MyOrg-Security-ComplianceHook"}} \
--region {{us-west-2}}
```