서비스 제어 정책을 위한 구성 패키지 설정 - AWS Control Tower

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

서비스 제어 정책을 위한 구성 패키지 설정

이 섹션에서는 서비스 제어 정책 (SCP) 용 구성 패키지를 만드는 방법을 설명합니다. 이 프로세스의 두 가지 주요 부분은 (1) 매니페스트 파일 준비와 (2) 폴더 구조 준비입니다.

1단계: 매니페스트.yaml 파일 편집

샘플 manifest.yaml 파일을 시작점으로 사용하십시오. 필요한 모든 구성을 입력합니다. resource_filedeployment_targets 세부 정보를 추가합니다.

다음 스니펫은 기본 매니페스트 파일을 보여줍니다.

--- region: us-east-1 version: 2021-03-15 resources: []

region 값은 배포 중에 자동으로 추가됩니다. cFCT를 배포한 지역과 일치해야 합니다. 이 지역은 AWS Control Tower 지역과 동일해야 합니다.

Amazon S3 버킷에 저장된 zip 패키지의 example-configuration 폴더에 사용자 지정 SCP를 추가하려면 example-manifest.yaml 파일을 열고 편집을 시작합니다.

--- region: your-home-region version: 2021-03-15 resources: - name: test-preventive-controls description: To prevent from deleting or disabling resources in member accounts resource_file: policies/preventive-controls.json deploy_method: scp #Apply to the following OU(s) deployment_targets: organizational_units: #array of strings - OUName1 - OUName2 …truncated…

다음 스니펫은 사용자 지정 매니페스트 파일의 예를 보여줍니다. 한 번의 변경으로 정책을 두 개 이상 추가할 수 있습니다.

--- region: us-east-1 version: 2021-03-15 resources: - name: block-s3-public-access description: To S3 buckets to have public access resource_file: policies/block-s3-public.json deploy_method: scp #Apply to the following OU(s) deployment_targets: organizational_units: #array of strings - OUName1 - OUName2

2단계: 폴더 구조 생성

리소스 파일에 Amazon S3 URL을 사용하고 키/값 쌍이 있는 파라미터를 사용하는 경우 이 단계를 건너뛸 수 있습니다.

매니페스트 파일은 JSON 파일을 참조하므로 매니페스트를 지원하려면 JSON 형식의 SCP 정책을 포함해야 합니다. 파일 경로가 매니페스트 파일에 제공된 경로 정보와 일치하는지 확인하십시오.

  • 정책 JSON 파일에는 OU에 배포할 SCP가 포함되어 있습니다.

다음 스니펫은 샘플 매니페스트 파일의 폴더 구조를 보여줍니다.

- manifest.yaml - policies/ - block-s3-public.json

다음 스니펫은 정책 파일의 예입니다. block-s3-public.json

{ "Version":"2012-10-17", "Statement":[ { "Sid":"GuardPutAccountPublicAccessBlock", "Effect":"Deny", "Action":"s3:PutAccountPublicAccessBlock", "Resource":"arn:aws:s3:::*" } ] }