本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 什麼是 CloudFormation 勾點？
<a name="what-is-cloudformation-hooks"></a>

CloudFormation 勾點功能可協助確保您的 CloudFormation 資源、堆疊和變更集符合組織的安全性、營運和成本最佳化最佳實務。CloudFormation Hooks 也可以確保您的 AWS 雲端控制 API 資源具有相同層級的合規。使用 CloudFormation Hooks，您可以提供程式碼，在佈建之前主動檢查 AWS 資源的組態。如果找到不合規的資源，則 CloudFormation 操作會失敗，並防止資源佈建或發出警告，並允許佈建操作繼續。

您可以使用勾點來強制執行各種需求和指導方針。例如，與安全相關的勾點可以驗證安全群組是否具有適用於 [Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) 的傳入和傳出流量規則。成本相關的勾點可以限制開發環境只使用較小的 [Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/concepts.html) 執行個體類型。專為資料可用性而設計的勾點可以強制執行 [Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Welcome.html) 的自動備份。

## 勾點實作選項
<a name="hook-implementation-options"></a>

CloudFormation 提供多種實作勾點的選項，讓您靈活地選擇最適合您需求的方法。

### AWS Control Tower 主動控制
<a name="hook-control-tower-proactive-controls"></a>

Control AWS Control Tower Catalog 提供標準化的主動控制，您可以實作為勾點。此方法可節省設定時間，並協助您根據整個組織的 AWS 最佳實務驗證資源組態，而無需撰寫程式碼。

### 防護規則
<a name="hook-guard-hooks"></a>

AWS CloudFormation Guard 是一種policy-as-code評估工具，提供用於撰寫 Hooks 自訂評估邏輯的網域特定語言。此方法可讓您使用 Guard 的宣告式語法來定義合規檢查，讓您輕鬆地建立和維護評估邏輯，而無需廣泛的程式設計知識。

### Lambda 函式
<a name="hook-lambda-hooks"></a>

您也可以使用 Lambda 函數實作勾點，讓您將 Lambda 的完整功能和彈性用於評估邏輯。您可以使用任何 Lambda 支援的執行時間語言，並視需要與其他 AWS 服務整合。

### 自訂勾點
<a name="hook-custom-hooks"></a>

對於進階使用案例，您可以使用 [CloudFormation CLI ](https://docs.aws.amazon.com/cloudformation-cli/latest/userguide/what-is-cloudformation-cli.html)支援的程式設計語言撰寫自己的評估邏輯。此方法可為實作組織特定的控管要求提供最大的彈性。做為 [CloudFormation 登錄](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/registry.html)檔中支援的延伸類型，您的自訂勾點可以公開和私密地分發和啟用。