Selecione suas preferências de cookies

Usamos cookies essenciais e ferramentas semelhantes que são necessárias para fornecer nosso site e serviços. Usamos cookies de desempenho para coletar estatísticas anônimas, para que possamos entender como os clientes usam nosso site e fazer as devidas melhorias. Cookies essenciais não podem ser desativados, mas você pode clicar em “Personalizar” ou “Recusar” para recusar cookies de desempenho.

Se você concordar, a AWS e terceiros aprovados também usarão cookies para fornecer recursos úteis do site, lembrar suas preferências e exibir conteúdo relevante, incluindo publicidade relevante. Para aceitar ou recusar todos os cookies não essenciais, clique em “Aceitar” ou “Recusar”. Para fazer escolhas mais detalhadas, clique em “Personalizar”.

Preferências
Entre em contato conosco
Feedback
AWS Documentation
Crie uma conta da AWS

Configurar um pacote de configuração para SCPs ou RCPs

PDF
RSS
Modo de foco
Configurar um pacote de configuração para SCPs ou RCPs - AWS Control Tower
Etapa 1: edite o arquivo manifest.yamlEtapa 2: crie uma estrutura de pastas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Esta seção explica como criar um pacote de configuração para políticas de controle de serviços (SCPs) ou políticas de controle de recursos (RCPs). As duas partes principais desse processo são (1) preparar o arquivo de manifesto e (2) preparar a estrutura de pastas.

Etapa 1: edite o arquivo manifest.yaml

Use o arquivo manifest.yaml de amostra como ponto de partida. Insira todas as configurações necessárias. Adicione detalhes de resource_file e deployment_targets.

O trecho a seguir mostra o arquivo de manifesto padrão.

---
region: us-east-1
version: 2021-03-15

resources: []

O valor de region é adicionado automaticamente durante a implantação. Ele deve corresponder à região em que você implantou o CfCT. Essa região deve ser a mesma que a região do AWS Control Tower.

Para adicionar um SCP ou RCP personalizado na example-configuration pasta do pacote zip armazenado no bucket do Amazon S3, abra o arquivo e comece example-manifest.yaml a editar.

---
region: your-home-region
version: 2021-03-15

resources:
  - name: test-preventive-controls
    description: To prevent from deleting or disabling resources in member accounts
    resource_file: policies/preventive-controls.json
    deploy_method: scp | rcp
    #Apply to the following OU(s)
    deployment_targets:
      organizational_units: #array of strings
        - OUName1
        - OUName2 

…truncated…

O trecho a seguir mostra um exemplo de um arquivo de manifesto personalizado. Você pode adicionar mais de uma política em uma única alteração.

---
region: us-east-1
version: 2021-03-15

resources:
  - name: block-s3-public-access
    description: To S3 buckets to have public access
    resource_file: policies/block-s3-public.json
    deploy_method: scp | rcp
    #Apply to the following OU(s)
    deployment_targets:
      organizational_units: #array of strings
        - OUName1
        - OUName2

Etapa 2: crie uma estrutura de pastas

Você pode pular essa etapa se estiver usando um URL do Amazon S3 para o arquivo de recursos e se estiver usando parâmetros com pares de chave/valor.

Você deve incluir uma política SCP ou uma política RCP no formato JSON para oferecer suporte ao manifesto, pois o arquivo do manifesto faz referência ao arquivo JSON. Os caminhos do arquivo devem corresponder às informações de caminho fornecidas no arquivo de manifesto.

  • Um arquivo JSON de política contém o SCPs ou RCPs para ser implantado. OUs

O trecho a seguir mostra a estrutura de pastas do arquivo de manifesto de amostra.

- manifest.yaml
- policies/
   - block-s3-public.json

O trecho a seguir é um exemplo de um arquivo de política block-s3-public.json.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"GuardPutAccountPublicAccessBlock",
         "Effect":"Deny",
         "Action":"s3:PutAccountPublicAccessBlock",
         "Resource":"arn:aws:s3:::*"
      }
   ]
}

Nesta página

PrivacidadeTermos do sitePreferências de cookies
© 2025, Amazon Web Services, Inc. ou suas afiliadas. Todos os direitos reservados.