Mettre en place un package de configuration pour les stratégies de contrôle des services - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Mettre en place un package de configuration pour les stratégies de contrôle des services

Cette section explique comment créer un package de configuration pour les politiques de contrôle des services (SCP). Les deux parties principales de ce processus sont (1) la préparation du fichier manifeste et (2) la préparation de la structure de votre dossier.

Étape 1 : Modifiez le fichier manifest.yaml

Utilisation de l'exemplemanifest.yamlfichier comme point de départ. Saisissez toutes les configurations nécessaires. Additionresource_fileetdeployment_targetsDétails.

L'extrait suivant montre le fichier manifeste par défaut.

--- region: us-east-1 version: 2021-03-15 resources: []

La valeur pourregionest ajouté automatiquement pendant le déploiement. Elle doit correspondre à la région dans laquelle vous avez déployé CFCT. Cette région doit être la même que celle de la AWS Control Tower.

Pour ajouter un point de service personnalisé dans le pluginexample-configurationdans le package zip stocké dans le compartiment Amazon S3, ouvrez le dossierexample-manifest.yamlet commencez à modifier.

--- region: your-home-region version: 2021-03-15 resources: - name: test-preventive-guardrails description: To prevent from deleting or disabling resources in member accounts resource_file: policies/preventive-guardrails.json deploy_method: scp #Apply to the following OU(s) deployment_targets: organizational_units: #array of strings - OUName1 - OUName2 …truncated…

L'extrait suivant montre un exemple de fichier manifeste personnalisé. Vous pouvez ajouter plusieurs politiques en une seule modification.

--- region: us-east-1 version: 2021-03-15 resources: - name: block-s3-public-access description: To S3 buckets to have public access resource_file: policies/block-s3-public.json deploy_method: scp #Apply to the following OU(s) deployment_targets: organizational_units: #array of strings - OUName1 - OUName2

Étape 2 : Création d'une structure de dossiers

Vous pouvez ignorer cette étape si vous utilisez une URL Amazon S3 pour le fichier de ressources et que vous utilisezparamètresavec paires clé-valeur.

Vous devez inclure une stratégie SCP au format JSON pour prendre en charge le manifeste, car le fichier manifeste fait référence au fichier JSON. Assurez-vous que les chemins d'accès aux fichiers correspondent aux informations de chemin fournies dans le fichier manifeste.

  • UNpolitiqueLe fichier JSON contient les SCP à déployer sur les unités d'organisation.

L'extrait de code suivant présente la structure de dossier pour l'exemple de fichier manifeste.

- manifest.yaml - policies/ - block-s3-public.json

L'extrait suivant représente un exemple deblock-s3-public.jsonfichier de stratégie.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GuardPutAccountPublicAccessBlock", "Effect": "Deny", "Action": "s3:PutAccountPublicAccessBlock", "Resource": "arn:aws:s3:::*" ] }