Configurez un package de configuration pour SCPs ou RCPs - AWS Control Tower
Étape 1 : Modifier le fichier manifest.yamlÉtape 2 : Création d'une structure de dossiers

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configurez un package de configuration pour SCPs ou RCPs

Cette section explique comment créer un package de configuration pour les politiques de contrôle des services (SCPs) ou les politiques de contrôle des ressources (RCPs). Les deux parties principales de ce processus sont (1) la préparation du fichier manifeste CFct et (2) la préparation de la structure de dossiers.

Étape 1 : Modifier le fichier manifest.yaml

Utilisez le manifest.yaml fichier d'exemple comme point de départ. Entrez toutes les configurations nécessaires. Ajoutez les deployment_targets détails resource_file et.

L'extrait suivant montre le fichier manifeste par défaut.

---
region: us-east-1
version: 2021-03-15

resources: []

La valeur pour region est ajoutée automatiquement lors du déploiement. Il doit correspondre à la région dans laquelle vous avez déployé CfCT. Cette région doit être identique à la région AWS Control Tower.

Pour ajouter un SCP ou un RCP personnalisé dans le example-configuration dossier du package zip stocké dans le compartiment Amazon S3, ouvrez le example-manifest.yaml fichier et commencez à le modifier.

---
region: your-home-region
version: 2021-03-15

resources:
  - name: test-preventive-controls
    description: To prevent from deleting or disabling resources in member accounts
    resource_file: policies/preventive-controls.json
    deploy_method: scp | rcp
    #Apply to the following OU(s)
    deployment_targets:
      organizational_units: #array of strings
        - OUName1
        - OUName2 

…truncated…

L'extrait suivant montre un exemple de fichier manifeste personnalisé. Vous pouvez ajouter plusieurs politiques lors d'une seule modification.

---
region: us-east-1
version: 2021-03-15

resources:
  - name: block-s3-public-access
    description: To S3 buckets to have public access
    resource_file: policies/block-s3-public.json
    deploy_method: scp | rcp
    #Apply to the following OU(s)
    deployment_targets:
      organizational_units: #array of strings
        - OUName1
        - OUName2

Étape 2 : Création d'une structure de dossiers

Vous pouvez ignorer cette étape si vous utilisez une URL Amazon S3 pour le fichier de ressources et si vous utilisez des paramètres par key/value paires.

Vous devez inclure une politique SCP ou une politique RCP au format JSON pour prendre en charge le manifeste, car le fichier manifeste fait référence au fichier JSON. Assurez-vous que les chemins des fichiers correspondent aux informations de chemin fournies dans le fichier manifeste.

  • Un fichier JSON de politique contient le SCPs ou RCPs vers lequel le déploiement doit être effectué OUs.

L'extrait suivant montre la structure des dossiers de l'exemple de fichier manifeste.

- manifest.yaml
- policies/
   - block-s3-public.json

L'extrait de code suivant est un exemple de fichier de régulationblock-s3-public.json.

JSON
{
   "Version":"2012-10-17"		 	 	 ,
   "Statement":[
      {
         "Sid":"GuardPutAccountPublicAccessBlock",
         "Effect":"Deny",
         "Action":"s3:PutAccountPublicAccessBlock",
         "Resource":"arn:aws:s3:::*"
      }
   ]
}