在您的账户中激活 Lambda 挂钩 - AWS CloudFormation

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在您的账户中激活 Lambda 挂钩

以下主题向您展示了如何在您的账户中激活 Lambda Hook,从而使其在激活该挂钩的账户和区域中可用。

激活 Lambda 挂钩(控制台)

激活 Lambda 挂钩以在您的账户中使用
  1. 登录 AWS Management Console 并在 https://console.aws.amazon.com/cloudformat ion 上打开 AWS CloudFormation 控制台。

  2. 在屏幕顶部的导航栏上,选择要创建 Hook in AWS 区域 的位置。

  3. 如果您尚未为挂钩创建 Lambda 函数,请执行以下操作:

    如果您已经创建了 Lambda 函数,请继续执行下一步。

  4. Hook 名称中,选择以下选项之一:

    • 提供一个简短的描述性名称,该名称将在之后Private::Lambda::添加。例如,如果输入MyTestHook,则完整的 Hook 名称变为Private::Lambda::MyTestHook

    • 使用以下格式提供完整的 Hook 名称(也称为别名):Provider::ServiceName::HookName

  5. 对于 Lambda 函数,请提供用于此挂钩的 Lambda 函数。您可以使用:

    • 不带后缀的完整亚马逊资源名称 (ARN)。

    • ARN带有版本或别名后缀的限定。

  6. 对于 Hook 目标,请选择要评估的内容:

    • 堆栈-在用户创建、更新或删除堆栈时评估堆栈模板。

    • 资源-在用户更新堆栈时评估各个资源的变化。

    • 更改集-在用户创建更改集时评估计划的更新。

    • 云控制 API-评估云控制API启动的创建、更新或删除操作。

  7. 在 “操作” 中,选择哪些操作(创建、更新、删除)将调用您的 Hook。

  8. 对于挂钩模式,选择挂钩调用的 Lambda 函数返回响应时挂钩的响应方式:FAILED

    • 警告-向用户发出警告,但允许继续执行操作。这对于非关键验证或信息检查很有用。

    • 失败-阻止操作继续进行。这有助于执行严格的合规或安全政策。

  9. 对于执行角色,选择挂钩在调用您的 Lambda 函数时IAM扮演的角色。您可以 CloudFormation 允许自动为您创建执行角色,也可以指定已创建的角色。

  10. 选择下一步

  11. (可选)对于 Hook 过滤器,请执行以下操作:

    1. 资源筛选器中,指定哪些资源类型可以调用 Hook。这样可以确保仅针对相关资源调用 Hook。

    2. 筛选条件中,选择应用堆栈名称和堆栈角色筛选器的逻辑:

      • 所有堆栈名称和堆栈角色 — 只有当所有指定的过滤器都匹配时,才会调用 Hook。

      • 任何堆栈名称和堆栈角色 — 如果指定的过滤器中至少有一个匹配,则将调用 Hook。

      注意

      对于 Cloud Control API 操作,所有堆栈名称堆栈角色筛选器都将被忽略。

    3. 对于堆栈名称,在 Hook 调用中包含或排除特定堆栈。

      • 对于 “包含”,指定要包含的堆栈名称。当你想要瞄准一小部分特定的堆栈时,请使用此选项。只有此列表中指定的堆栈才会调用 Hook。

      • 对于排除,请指定要排除的堆栈名称。当你想在大多数堆栈上调用 Hook 但排除一些特定的堆栈时,请使用此选项。除此处列出的堆栈外,所有堆栈都将调用 Hook。

    4. 对于堆栈角色,请根据其关联角色在 Hook 调用中包含或排除特定堆栈。IAM

      • 对于 In clude,指定一个或多个IAM角色ARNs来定位与这些角色关联的堆栈。只有由这些角色启动的堆栈操作才会调用 Hook。

      • 在 “排除” 中,ARNs为要排除的堆栈指定一个或多个IAM角色。Hook 将在除指定角色启动的堆栈之外的所有堆栈上调用。

  12. 选择下一步

  13. 在 “查看并激活” 页面上,查看您的选择。要进行更改,请在相关部分选择编辑

  14. 准备好继续操作时,选择 “激活挂钩”。

激活 Lambda 挂钩 ()AWS CLI

在继续操作之前,请确认您已创建 Lambda 函数和将用于此 Hook 的执行角色。有关更多信息,请参阅创建 Lambda 函数来评估 Lambda 挂钩的资源为 Lambda 挂钩创建执行角色

激活 Lambda 挂钩以在您的账户中使用 ()AWS CLI
  1. 要开始激活 Hook,请使用以下命令 activate-type命令,用您的特定值替换占位符。此命令授权 Hook 使用您的 AWS 账户指定执行角色。

    aws cloudformation activate-type --type HOOK \ --type-name AWS::Hooks::LambdaHook \ --publisher-id aws-hooks \ --execution-role arn:aws:iam::123456789012:role/my-execution-role \ --type-name-alias Private::Lambda::MyTestHook \ --region us-west-2
  2. 要完成激活 Hook,必须使用配置文件对其进行JSON配置。

    使用cat命令创建具有以下结构的JSON文件。有关更多信息,请参阅 挂钩配置架构语法参考

    $ cat > config.json { "CloudFormationConfiguration": { "HookConfiguration": { "HookInvocationStatus": "ENABLED", "TargetOperations": [ "CLOUD_CONTROL" ], "FailureMode": "WARN", "Properties": { "LambdaFunction": "arn:aws:lambda:us-west-2:123456789012:function:MyFunction" } } } }
    • HookInvocationStatus:设置ENABLED为可启用挂钩。

    • TargetOperations:指定要对哪些操作运行 Hook。

    • FailureMode:设置为 FAILWARN

    • LambdaFunction:指定 L ARN ambda 函数的。

  3. 使用以下内容 set-type-configuration命令以及您创建JSON的文件一起应用配置。用您的特定值替换占位符。

    aws cloudformation set-type-configuration \ --configuration file://config.json \ --type-arn "arn:aws:cloudformation:us-west-2:123456789012:type/hook/MyTestHook" \ --region us-west-2

我们提供了模板示例,您可以使用这些示例来了解如何在 CloudFormation 堆栈模板中声明 Lambda Hook。有关更多信息,请参阅 AWS::CloudFormation::LambdaHook(在 AWS CloudFormation 用户指南中)。