Siapkan paket konfigurasi untuk SCPs atau RCPs - AWS Control Tower
Langkah 1: Edit file manifest.yamlLangkah 2: Buat struktur folder

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Siapkan paket konfigurasi untuk SCPs atau RCPs

Bagian ini menjelaskan cara membuat paket konfigurasi untuk kebijakan kontrol layanan (SCPs) atau kebijakan kontrol sumber daya (RCPs). Dua bagian utama dari proses ini adalah (1) siapkan file manifes CFCT, dan (2) siapkan struktur folder Anda.

Langkah 1: Edit file manifest.yaml

Gunakan manifest.yaml file sampel sebagai titik awal Anda. Masukkan semua konfigurasi yang diperlukan. Tambahkan resource_file dan deployment_targets detailnya.

Cuplikan berikut menunjukkan file manifes default.

---
region: us-east-1
version: 2021-03-15

resources: []

Nilai untuk region ditambahkan secara otomatis selama penerapan. Itu harus cocok dengan Wilayah tempat Anda menggunakan CFCT. Wilayah ini harus sama dengan wilayah AWS Control Tower.

Untuk menambahkan SCP atau RCP khusus di example-configuration folder dalam paket zip yang disimpan di bucket Amazon S3, buka file dan mulai example-manifest.yaml mengedit.

---
region: your-home-region
version: 2021-03-15

resources:
  - name: test-preventive-controls
    description: To prevent from deleting or disabling resources in member accounts
    resource_file: policies/preventive-controls.json
    deploy_method: scp | rcp
    #Apply to the following OU(s)
    deployment_targets:
      organizational_units: #array of strings
        - OUName1
        - OUName2 

…truncated…

Cuplikan berikut menunjukkan contoh file manifes yang disesuaikan. Anda dapat menambahkan lebih dari satu kebijakan dalam satu perubahan.

---
region: us-east-1
version: 2021-03-15

resources:
  - name: block-s3-public-access
    description: To S3 buckets to have public access
    resource_file: policies/block-s3-public.json
    deploy_method: scp | rcp
    #Apply to the following OU(s)
    deployment_targets:
      organizational_units: #array of strings
        - OUName1
        - OUName2

Langkah 2: Buat struktur folder

Anda dapat melewati langkah ini jika Anda menggunakan URL Amazon S3 untuk file sumber daya dan menggunakan parameter dengan key/value pasangan.

Anda harus menyertakan kebijakan SCP atau kebijakan RCP dalam format JSON untuk mendukung manifes, karena file manifes mereferensikan file JSON. Pastikan bahwa jalur file cocok dengan informasi jalur yang disediakan dalam file manifes.

  • File JSON kebijakan berisi SCPs atau RCPs yang akan digunakan. OUs

Cuplikan berikut menunjukkan struktur folder untuk file manifes sampel.

- manifest.yaml
- policies/
   - block-s3-public.json

Cuplikan berikut adalah contoh file block-s3-public.json kebijakan.

JSON
{
   "Version":"2012-10-17"		 	 	 ,
   "Statement":[
      {
         "Sid":"GuardPutAccountPublicAccessBlock",
         "Effect":"Deny",
         "Action":"s3:PutAccountPublicAccessBlock",
         "Resource":"arn:aws:s3:::*"
      }
   ]
}