Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Activa un Hook proactivo basado en el control en tu cuenta
En el siguiente tema, se muestra cómo activar un Hook proactivo basado en el control en tu cuenta, de forma que se pueda utilizar en la cuenta y la región en la que se activó.
**importante**
Antes de continuar, comprueba que tienes los permisos necesarios para trabajar con Hooks y ver los controles proactivos desde la CloudFormation consola. Para obtener más información, consulte [Otorgue permisos de IAM para Hooks CloudFormation](grant-iam-permissions-for-hooks.md).
**Topics**
+ [Activa un Hook (consola) proactivo basado en el control](#proactive-controls-hooks-activate-hook-console)
+ [Activa un Hook proactivo basado en el control ()AWS CLI](#proactive-controls-hooks-activate-hooks-cli)
## Activa un Hook (consola) proactivo basado en el control
**Para activar un Hook proactivo basado en el control para usarlo en tu cuenta**
1. Inicia sesión en Consola de administración de AWS [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/) y abre la CloudFormation consola.
1. En la barra de navegación de la parte superior de la pantalla, elige el Región de AWS lugar donde quieres crear el Hook in.
1. En el panel de navegación de la izquierda, selecciona **Hooks**.
1. En la página **Hooks**, selecciona **Crear un Hook** y, a continuación, selecciona **Con el catálogo de controles**.
1. En la página **Seleccionar controles**, en **Controles proactivos**, seleccione uno o más controles proactivos para usarlos.
Estos controles se aplicarán automáticamente siempre que se creen o actualicen recursos específicos. Tu selección determina qué tipos de recursos evaluará el Hook.
1. Elija **Siguiente**.
1. En **Nombre del gancho**, elige una de las siguientes opciones:
+ Proporcione un nombre breve y descriptivo que se añadirá después`Private::Controls::`. Por ejemplo, si escribes{{`MyTestHook`}}, el nombre completo de Hook pasa a ser`Private::Controls::{{MyTestHook}}`.
+ Proporcione el nombre completo de Hook (también denominado alias) con este formato:`{{Provider}}::{{ServiceName}}::{{HookName}}`.
1. Para el **modo Hook**, elige cómo responde el Hook cuando los controles no pasen su evaluación:
+ **Advertir**: emite advertencias a los usuarios, pero permite que las acciones continúen. Esto resulta útil para validaciones o comprobaciones informativas no críticas.
+ **Error**: impide que la acción continúe. Esto resulta útil para aplicar políticas estrictas de cumplimiento o seguridad.
1. Elija **Siguiente**.
1. (Opcional) Para **los filtros Hook**, haga lo siguiente:
1. En cuanto a **los criterios de filtrado**, elija la lógica para aplicar los filtros de nombre y rol de la pila:
+ **Todos los nombres y roles de las pilas**: The Hook solo se invocará cuando coincidan todos los filtros especificados.
+ **Cualquier nombre y función de pila**: se invocará el Hook si al menos uno de los filtros especificados coincide.
1. En el **caso de los nombres de pila**, incluye o excluye pilas específicas de las invocaciones de Hook.
+ En **Include**, especifique los nombres de las pilas que desee incluir. Úselo cuando desee segmentar un conjunto pequeño de pilas específicas. Solo las pilas especificadas en esta lista invocarán el Hook.
+ En **Exclude**, especifique los nombres de las pilas que se van a excluir. Úselo cuando quiera invocar el Hook en la mayoría de las pilas, pero excluya algunas específicas. Todas las acumulaciones, excepto las que aparecen aquí, invocarán el Hook.
1. En el caso de **las funciones de Stack**, incluya o excluya pilas específicas de las invocaciones de Hook en función de sus funciones de IAM asociadas.
+ En **Include**, especifique una o más funciones de IAM ARNs para centrarse en las pilas asociadas a estas funciones. Solo las operaciones de apilamiento iniciadas por estos roles invocarán el Hook.
+ En **Excluir**, especifique una o más funciones de IAM ARNs para las pilas que desee excluir. El Hook se invocará en todas las pilas, excepto en las iniciadas por los roles especificados.
1. Elija **Siguiente**.
1. En la página **Revisar y activar**, revisa tus opciones. Para realizar cambios, elija **Editar** en la sección correspondiente.
1. Cuando estés listo para continuar, selecciona **Activar Hook**.
## Activa un Hook proactivo basado en el control ()AWS CLI
Antes de continuar, confirme que ha identificado los controles proactivos que utilizará con este Hook. Para obtener más información, consulte el [catálogo AWS Control Tower de controles](https://docs.aws.amazon.com/controltower/latest/controlreference/controls-reference.html).
**Para activar un Hook proactivo basado en el control para usarlo en su cuenta ()AWS CLI**
1. Para empezar a activar un Hook, usa el siguiente [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/activate-type.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/activate-type.html)comando y reemplaza los marcadores de posición por tus valores específicos.
```
aws cloudformation activate-type --type HOOK \
--type-name AWS::ControlTower::Hook \
--publisher-id aws-hooks \
--type-name-alias {{MyOrg::Security::ComplianceHook}} \
--region {{us-west-2}}
```
1. Para terminar de activar el Hook, debes configurarlo mediante un archivo de configuración JSON.
Usa el **cat** comando para crear un archivo JSON con la siguiente estructura. Para obtener más información, consulte [Referencia a la sintaxis del esquema de la configuración del enlace](hook-configuration-schema.md).
El siguiente ejemplo configura un Hook que invoca recursos específicos de IAM, Amazon EC2 y Amazon S3 durante las operaciones y operaciones. `CREATE` `UPDATE` Aplica tres controles proactivos (`CT.IAM.PR.5`,`CT.EC2.PR.17`,`CT.S3.PR.12`) para validar estos recursos con respecto a las normas de conformidad. El enlace funciona en `WARN` modo, lo que significa que marcará los recursos que no cumplan con los requisitos con advertencias, pero no bloqueará las implementaciones.
```
$ cat > config.json
{
"CloudFormationConfiguration": {
"HookConfiguration": {
"HookInvocationStatus": "{{ENABLED}}",
"TargetOperations": ["RESOURCE"],
"FailureMode": "{{WARN}}",
"Properties": {
"ControlsToApply": "{{CT.IAM.PR.5,CT.EC2.PR.17,CT.S3.PR.12}}"
},
"TargetFilters": {
"Actions": [
"{{CREATE}}",
"{{UPDATE}}"
]
}
}
}
}
```
+ `HookInvocationStatus`: Configúrelo en `ENABLED` para habilitar el Hook.
+ `TargetOperations`: `RESOURCE` Establézcalo como el único valor admitido para un Hook proactivo basado en el control.
+ `FailureMode`: se establece en `FAIL` o `WARN`.
+ `ControlsToApply`: Especifique el control IDs de los controles proactivos que se van a utilizar. Para obtener más información, consulte el [catálogo AWS Control Tower de controles](https://docs.aws.amazon.com/controltower/latest/controlreference/controls-reference.html).
+ (Opcional)`TargetFilters`: Para ello`Actions`, puedes especificar `CREATE` o `UPDATE` ambas opciones (predeterminado) para controlar cuándo se invoca el Hook. Si `CREATE` solo se especifica, el Hook se limita únicamente a `CREATE` las operaciones. El resto de `TargetFilters` propiedades no tienen ningún efecto.
1. Use el siguiente [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/set-type-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/set-type-configuration.html)comando, junto con el archivo JSON que creó, para aplicar la configuración. Sustituya los marcadores de posición por sus valores específicos.
```
aws cloudformation set-type-configuration \
--configuration {{file://config.json}} \
--type-arn {{"arn:aws:cloudformation:us-west-2:123456789012:type/hook/MyOrg-Security-ComplianceHook"}} \
--region {{us-west-2}}
```