Imposta un pacchetto di configurazione per SCPs o RCPs - AWS Control Tower
Passaggio 1: modifica il file manifest.yamlFase 2: Creare una struttura di cartelle

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Imposta un pacchetto di configurazione per SCPs o RCPs

Questa sezione spiega come creare un pacchetto di configurazione per le politiche di controllo dei servizi (SCPs) o le politiche di controllo delle risorse (RCPs). Le due parti principali di questo processo sono (1) preparare il file manifest cFCT e (2) preparare la struttura delle cartelle.

Passaggio 1: modifica il file manifest.yaml

Usa il manifest.yaml file di esempio come punto di partenza. Immettete tutte le configurazioni necessarie. Aggiungi i deployment_targets dettagli resource_file e.

Il seguente frammento mostra il file manifesto predefinito.

---
region: us-east-1
version: 2021-03-15

resources: []

Il valore di region viene aggiunto automaticamente durante la distribuzione. Deve corrispondere alla regione in cui è stato distribuito cFCT. Questa regione deve essere la stessa della regione AWS Control Tower.

Per aggiungere un SCP o RCP personalizzato example-configuration nella cartella del pacchetto zip archiviato nel bucket Amazon S3, apri example-manifest.yaml il file e inizia a modificarlo.

---
region: your-home-region
version: 2021-03-15

resources:
  - name: test-preventive-controls
    description: To prevent from deleting or disabling resources in member accounts
    resource_file: policies/preventive-controls.json
    deploy_method: scp | rcp
    #Apply to the following OU(s)
    deployment_targets:
      organizational_units: #array of strings
        - OUName1
        - OUName2 

…truncated…

Il seguente frammento mostra un esempio di file manifest personalizzato. È possibile aggiungere più di una politica in una singola modifica.

---
region: us-east-1
version: 2021-03-15

resources:
  - name: block-s3-public-access
    description: To S3 buckets to have public access
    resource_file: policies/block-s3-public.json
    deploy_method: scp | rcp
    #Apply to the following OU(s)
    deployment_targets:
      organizational_units: #array of strings
        - OUName1
        - OUName2

Fase 2: Creare una struttura di cartelle

Puoi saltare questo passaggio se utilizzi un URL Amazon S3 per il file di risorse e utilizzi parametri con coppie chiave/valore.

È necessario includere una policy SCP o una policy RCP in formato JSON per supportare il manifest, poiché il file manifest fa riferimento al file JSON. Assicuratevi che i percorsi dei file corrispondano alle informazioni sul percorso fornite nel file manifest.

  • Un file JSON di policy contiene SCPs o RCPs su cui distribuire. OUs

Il seguente frammento mostra la struttura delle cartelle per il file manifest di esempio.

- manifest.yaml
- policies/
   - block-s3-public.json

Il seguente frammento è un esempio di file di policy. block-s3-public.json

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"GuardPutAccountPublicAccessBlock",
         "Effect":"Deny",
         "Action":"s3:PutAccountPublicAccessBlock",
         "Resource":"arn:aws:s3:::*"
      }
   ]
}