서비스 제어 정책에 대한 구성 패키지 설정

이 단원에서는 서비스 제어 정책 (SCP) 에 대한 구성 패키지를 만드는 방법에 대해 설명합니다. 이 프로세스의 두 가지 주요 부분은 (1) 매니페스트 파일을 준비하고 (2) 폴더 구조를 준비하는 것입니다.

1단계: 매니페스트.yaml 파일 편집

샘플 사용manifest.yaml파일을 시작점으로 사용하십시오. 필요한 모든 구성을 입력합니다. 를 추가합니다resource_file과deployment_targets세부 정보

다음 조각은 기본 매니페스트 파일을 보여줍니다.

---
region: us-east-1
version: 2021-03-15

resources: []

에 대한 가치region는 배포 중에 배포 중에 자동으로 추가됩니다. 이는 CFCT를 배포한 리전과 일치해야 합니다. 이 리전은 AWS Control Tower 리전과 동일해야 합니다.

에 사용자 지정 SCP를 추가하려면example-configurationAmazon S3 버킷에 저장된 zip 패키지의 폴더를 엽니다.example-manifest.yaml파일을 만들고 편집을 시작합니다.

---
region: your-home-region
version: 2021-03-15

resources:
  - name: test-preventive-guardrails
    description: To prevent from deleting or disabling resources in member accounts
    resource_file: policies/preventive-guardrails.json
    deploy_method: scp
    #Apply to the following OU(s)
    deployment_targets:
      organizational_units: #array of strings
        - OUName1
        - OUName2 

…truncated…

다음 조각은 사용자 지정된 매니페스트 파일의 예제를 보여줍니다. 한 번의 변경으로 두 개 이상의 정책을 추가할 수 있습니다.

---
region: us-east-1
version: 2021-03-15

resources:
  - name: block-s3-public-access
    description: To S3 buckets to have public access
    resource_file: policies/block-s3-public.json
    deploy_method: scp
    #Apply to the following OU(s)
    deployment_targets:
      organizational_units: #array of strings
        - OUName1
        - OUName2 

2단계: 폴더 구조 생성

Amazon S3 URL을 리소스 파일에 사용하고 있는 경우 이 단계를 건너뛸 수 있습니다.매개 변수키/값 페어를 포함합니다.

매니페스트 파일이 JSON 파일을 참조하므로 매니페스트를 지원하려면 SCP 정책을 JSON 형식으로 포함해야 합니다. 파일 경로가 매니페스트 파일에 제공된 경로 정보와 일치하는지 확인합니다.

• A정책JSON 파일에는 OU에 배포할 SCP가 포함되어 있습니다.

다음 조각은 샘플 매니페스트 파일의 폴더 구조를 보여줍니다.

- manifest.yaml
- policies/
   - block-s3-public.json

다음은 코드 조각은block-s3-public.json정책 파일.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "GuardPutAccountPublicAccessBlock",
      "Effect": "Deny",
      "Action": "s3:PutAccountPublicAccessBlock",
      "Resource": "arn:aws:s3:::*"
  ]
}