翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
SCPs または RCPs の設定パッケージを設定する
このセクションでは、サービスコントロールポリシー (SCPsまたはリソースコントロールポリシー (RCPs) の設定パッケージを作成する方法について説明します。このプロセスの主な 2 つは、(1) CfCT マニフェストファイルを準備し、(2) フォルダ構造を準備することです。
ステップ 1: manifest.yaml ファイルを編集する
サンプル manifest.yaml ファイルを出発点として使用します。必要な設定をすべて入力します。resource_file および deployment_targets の詳細を追加します。
次のスニペットは、デフォルトマニフェストファイルを示しています。
--- region: us-east-1 version: 2021-03-15 resources: []
region の値は、デプロイ時に自動的に追加されます。これは CfCT をデプロイしたリージョンと一致する必要があります。このリージョンは AWS Control Tower リージョンと同じものにする必要があります。
Amazon S3 バケットに保存されている zip パッケージの example-configurationフォルダにカスタム SCP または RCP を追加するには、 example-manifest.yaml ファイルを開いて編集を開始します。
--- region:your-home-regionversion: 2021-03-15 resources: - name: test-preventive-controls description: To prevent from deleting or disabling resources in member accounts resource_file: policies/preventive-controls.json deploy_method:scp | rcp#Apply to the following OU(s) deployment_targets: organizational_units: #array of strings - OUName1 - OUName2 …truncated…
次のスニペットは、カスタマイズされたマニフェストファイルの例を示しています。1 回の変更で複数のポリシーを追加できます。
--- region: us-east-1 version: 2021-03-15 resources: - name: block-s3-public-access description: To S3 buckets to have public access resource_file: policies/block-s3-public.json deploy_method:scp | rcp#Apply to the following OU(s) deployment_targets: organizational_units: #array of strings - OUName1 - OUName2
ステップ 2: フォルダ構造を作成する
リソースファイルに Simple Storage Service (Amazon S3) URL を使用していて、キーと値のペアの parameters を使用している場合、このステップを省略できます。
マニフェストファイルは JSON ファイルを参照するため、マニフェストをサポートするには SCP ポリシーまたは RCP ポリシーを JSON 形式で含める必要があります。マニフェストファイルに指定されたパス情報とファイルパスが一致していることを確認します。
-
ポリシー JSON ファイルには、OUs にデプロイする SCPs または RCPs が含まれています。
次のスニペットは、サンプルマニフェストファイルのフォルダ構造を示しています。
- manifest.yaml - policies/ - block-s3-public.json
以下のスニペットは、block-s3-public.json ポリシーファイルの一例です。
