Richten Sie ein Konfigurationspaket ein für SCPs oder RCPs - AWS Control Tower
Schritt 1: Bearbeiten Sie die Datei manifest.yamlSchritt 2: Erstellen Sie eine Ordnerstruktur

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Richten Sie ein Konfigurationspaket ein für SCPs oder RCPs

In diesem Abschnitt wird erklärt, wie Sie ein Konfigurationspaket für Dienststeuerungsrichtlinien (SCPs) oder Ressourcensteuerungsrichtlinien (RCPs) erstellen. Die beiden Hauptteile dieses Prozesses sind (1) die Vorbereitung der CFCT-Manifestdatei und (2) die Vorbereitung Ihrer Ordnerstruktur.

Schritt 1: Bearbeiten Sie die Datei manifest.yaml

Verwenden Sie die manifest.yaml Beispieldatei als Ausgangspunkt. Geben Sie alle erforderlichen Konfigurationen ein. Fügen Sie die resource_file und deployment_targets Details hinzu.

Das folgende Snippet zeigt die Standard-Manifestdatei.

---
region: us-east-1
version: 2021-03-15

resources: []

Der Wert für region wird bei der Bereitstellung automatisch hinzugefügt. Er muss mit der Region übereinstimmen, in der Sie CfCT bereitgestellt haben. Diese Region muss mit der AWS Control Tower Tower-Region identisch sein.

Um ein benutzerdefiniertes SCP oder RCP zu dem example-configuration Ordner im Zip-Paket hinzuzufügen, das im Amazon S3 S3-Bucket gespeichert ist, öffnen Sie die example-manifest.yaml Datei und beginnen Sie mit der Bearbeitung.

---
region: your-home-region
version: 2021-03-15

resources:
  - name: test-preventive-controls
    description: To prevent from deleting or disabling resources in member accounts
    resource_file: policies/preventive-controls.json
    deploy_method: scp | rcp
    #Apply to the following OU(s)
    deployment_targets:
      organizational_units: #array of strings
        - OUName1
        - OUName2 

…truncated…

Der folgende Ausschnitt zeigt ein Beispiel für eine benutzerdefinierte Manifestdatei. Sie können mit einer einzigen Änderung mehr als eine Richtlinie hinzufügen.

---
region: us-east-1
version: 2021-03-15

resources:
  - name: block-s3-public-access
    description: To S3 buckets to have public access
    resource_file: policies/block-s3-public.json
    deploy_method: scp | rcp
    #Apply to the following OU(s)
    deployment_targets:
      organizational_units: #array of strings
        - OUName1
        - OUName2

Schritt 2: Erstellen Sie eine Ordnerstruktur

Sie können diesen Schritt überspringen, wenn Sie eine Amazon S3 S3-URL für die Ressourcendatei verwenden und Parameter mit key/value Paaren verwenden.

Sie müssen eine SCP- oder RCP-Richtlinie im JSON-Format angeben, um das Manifest zu unterstützen, da die Manifestdatei auf die JSON-Datei verweist. Stellen Sie sicher, dass die Dateipfade mit den Pfadinformationen in der Manifestdatei übereinstimmen.

  • Eine JSON-Richtliniendatei enthält das SCPs oder RCPs , für das die Bereitstellung erfolgen soll OUs.

Der folgende Ausschnitt zeigt die Ordnerstruktur für die Beispiel-Manifestdatei.

- manifest.yaml
- policies/
   - block-s3-public.json

Der folgende Ausschnitt ist ein Beispiel für eine Richtliniendatei. block-s3-public.json

JSON
{
   "Version":"2012-10-17"		 	 	 ,
   "Statement":[
      {
         "Sid":"GuardPutAccountPublicAccessBlock",
         "Effect":"Deny",
         "Action":"s3:PutAccountPublicAccessBlock",
         "Resource":"arn:aws:s3:::*"
      }
   ]
}