Section ressources du fichier manifeste - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Section ressources du fichier manifeste

Cette rubrique décrit les entrées pour leressourcesdu fichier manifeste en détail, dans laquelle vous allez définir les ressources requises pour vos personnalisations.

Cette section du fichier manifeste commence par le mot-cléressources, et elle continue jusqu'à la fin du fichier.

Leressourcesdu fichier manifeste spécifie leAWS CloudFormation StackSets ouAWS OrganizationsSCP que CFct déploie automatiquement, au moyen du pipeline de code. Vous pouvez répertorier les unités d'organisation et les comptes et, éventuellement, les régions, dans lesquelles déployer des instances de pile.

Les instances de pile sont déployées au niveau du compte plutôt qu'au niveau de l'unité d'organisation. Les points de connexion de service sont déployés au niveau de l'unité d'organisation. Reportez-vous àCréez vos propres personnalisationspour de plus amples informations

L'exemple de code qui suit est un pseudo modèle, qui résume les entrées possibles disponibles pour leressourcessection du fichier manifeste.

resources: # List of resources - name: [String] resource_file: [String] [Local File Path, S3 URL] deployment_targets: # account and/or organizational unit names accounts: # array of strings, [0-9]{12} - 012345678912 - AccountName1 organizational_units: #array of strings - OuName1 - OuName2 deploy_method: scp | stack_set parameters: # List of parameters [SSM, Alfred, Values] - parameter_key: [String] parameter_value: [String] export_outputs: # list of ssm parameters to store output values - name: /org/member/test-ssm/app-id value: $[output_ApplicationId] regions: #list of strings - [String]

Le reste de cette rubrique fournit des définitions détaillées pour les mots-clés présentés dans l'exemple de code précédent.

nom— Le nom associé auAWS CloudFormation StackSets. La chaîne que vous fournissez attribue un nom plus convivial à un ensemble de piles.

  • Type : Chaîne

  • Obligatoire : Oui

  • Valeurs valides:a-z, A-Z, 0-9 et un trait de soulignement (_). Tout autre caractère est automatiquement remplacé par un trait de soulignement (_).

description— Description pour la ressource.

  • Type : Chaîne

  • Obligatoire : Non

fichier_ressource— Ce fichier peut être spécifié comme suit : (1) l'emplacement relatif du fichier manifeste, (2) une URL Amazon S3 qui pointe vers unAWS CloudFormationmodèle ouAWS Organizationsstratégie de contrôle des services en JSON pour la créationAWS CloudFormationressources ou SCP, respectivement.

  • Type : Chaîne

  • Obligatoire : Oui

  1. L'exemple suivant montre le pluginresource_file, donné en tant qu'emplacement relatif du fichier de ressources dans le package de configuration.

    resources: - name: SecurityRoles resource_file: templates/custom-security.template
  2. L'exemple suivant montre le fichier de ressources fourni sous forme d'URL Amazon S3.

    resources: - name: SecurityRoles resource_file: s3://my-bucket/[key-name]
  3. L'exemple suivant montre le fichier de ressources fourni sous la forme d'une URL HTTPS Amazon S3.

    resources: - name: SecurityRoles resource_file: https://bucket-name.s3.Region.amazonaws.com/key-name
    Note

    Si vous fournissez une URL Amazon S3, vérifiez que la stratégie de compartiment autorise l'accès en lecture pour le compte de gestion AWS Control Tower à partir duquel vous déployez CFCT. Si vous fournissez une URL HTTPS Amazon S3, vérifiez que le chemin utilise la notation par points. Par exemple, S3.us-west-1. CFct ne prend pas en charge les points de terminaison qui contiennent un tiret entre S3 et la région, tels queS3‐us-west-2.

  4. L'exemple suivant montre une politique de compartiment Amazon S3 et un ARN dans lequel les ressources sont stockées.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::AccountId:root"}, "Action": "s3:GetObject", "Resource": "arn:aws:s3:::my-bucket/*” } ] }



    Vous allez remplacer leAccountIdvariable illustrée dans l'exemple avec la variableAWSID de compte du compte de gestion qui déploie CFCT. Pour plus d'exemples, consultezExemples de stratégie de compartimentdans le manuel Amazon Simple Storage Service User Guide.

paramètres— Spécifie le nom et la valeur deAWS CloudFormationparamètres.

  • Type : MapList

  • Obligatoire : Non

La section des paramètres contient des paires de paramètres clé/valeur. Le pseudo-modèle suivant illustre leparamètresSection.

parameters: - parameter_key: [String] parameter_value: [String]
  • parameter_key: clé associée au paramètre.

    • Type : Chaîne

    • Obligatoire : Oui (sous la propriété parameters)

    • Valeurs valides:a à z, A à Z et 0 à 9

  • parameter_value— Valeur d'entrée associée au paramètre.

    • Type : Chaîne

    • Obligatoire : Oui (sous la propriété parameters)

deploy_method: méthode de déploiement pour déployer la ou les ressources dans le compte. Actuellement,deploy_methodprend en charge le déploiement de ressources viastack_setoption pour le déploiement des ressources viaAWS CloudFormation StackSets, ou lescpsi vous déployez des points de connexion de service.

  • Type : Chaîne

  • Valeurs valides: stack_set | scp

  • Obligatoire : Oui

deployment_targets— Liste des comptes ou unités d'organisation (OU), dans lesquels CFCT déploiera leAWS CloudFormationressources, spécifiées en tant quecomptesouorganizational_units.

  • Type : Liste d'éléments Stringaccount nameouaccount numberpour indiquer que cette ressource sera déployée dans la liste de comptes donnée, ouOU namespour indiquer que cette ressource sera déployée dans la liste d'unités d'organisation donnée.

  • Obligatoire : Au moins l'un descomptesouorganizational_units

    • comptes :

      Type : Liste d'éléments Stringaccount nameouaccount numberpour indiquer que cette ressource sera déployée dans la liste de comptes donnée.

    • organizational_units :

      Type : Liste de chaînesOU namespour indiquer que cette ressource sera déployée dans une liste d'unités d'organisation donnée. Si vous fournissez une unité d'organisation qui ne contient pas de comptes et lecomptesn'est pas ajoutée, CFct crée uniquement l'ensemble de piles.

      Note

      L'ID du compte de gestion de l'organisation n'est pas une valeur autorisée. CFct ne prend pas en charge le déploiement d'instances de pile dans le compte de gestion de l'organisation.

export_outputs— Liste des paires nom-valeur qui indiquent des clés de paramètre SSM. Ces clés de paramètres SSM vous permettent de stocker les sorties du modèle dans le magasin de paramètres SSM. La sortie est destinée à être référencée par d'autres ressources, définies précédemment dans le fichier manifeste.

export_outputs: # List of SSM parameters - name: [String] value: [String]
  • Type : Liste denometvaleurPaires de clés. Lenomcontient lenamechaîne d'une clé de magasin de paramètres SSM, etvaleurcontient le paramètrevalueChaîne.

  • Valeurs valides : Toute chaîne ou le plugin$[output_CfnOutput-Logical-ID]Variable oùCfnOutput-ID logiquecorrespond à la variable de sortie du modèle. Pour plus d'informations sur la section Sorties dans unAWS CloudFormationmodèle, voirOutputsdans leAWS CloudFormationGuide de l'utilisateur.

  • Obligatoire : Non

Par exemple, l'extrait de code suivant stocke le modèleVPCIDvariable de sortie dans la clé de paramètre SSM nommée/org/member/audit/vpc_id.

export_outputs: # List of SSM parameters - name: /org/member/audit/VPC-ID value: $[output_VPCID]
Note

Leexport_outputskey name peut contenir une valeur autre queoutput. Par exemple, si le pluginnomest/org/environment-name, levaleurpeut êtreproduction.

régions— Liste des régions dans lesquelles CFCT déploiera leAWS CloudFormationInstances de piles.

  • Type : N'importe quelle liste deAWSles noms des régions commerciales, pour indiquer que cette ressource sera déployée dans la liste des régions donnée. Si ce mot-clé n'existe pas dans le fichier manifeste, les ressources sont déployées uniquement dans la région d'origine.

  • Obligatoire : Non