Richten Sie ein Konfigurationspaket für Richtlinien zur Servicesteuerung ein - AWS Control Tower
Schritt 1: Bearbeiten Sie die Datei manifest.yamlSchritt 2: Erstellen Sie eine Ordnerstruktur

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Richten Sie ein Konfigurationspaket für Richtlinien zur Servicesteuerung ein

In diesem Abschnitt wird erklärt, wie Sie ein Konfigurationspaket für Dienststeuerungsrichtlinien (SCPs) erstellen. Die beiden Hauptteile dieses Prozesses sind (1) das Vorbereiten der Manifestdatei und (2) das Vorbereiten der Ordnerstruktur.

Schritt 1: Bearbeiten Sie die Datei manifest.yaml

Verwenden Sie die manifest.yaml Beispieldatei als Ausgangspunkt. Geben Sie alle erforderlichen Konfigurationen ein. Fügen Sie die resource_file und deployment_targets -Details hinzu.

Das folgende Snippet zeigt die Standard-Manifestdatei.

---
region: us-east-1
version: 2021-03-15

resources: []

Der Wert für region wird bei der Bereitstellung automatisch hinzugefügt. Er muss mit der Region übereinstimmen, in der Sie CfCT bereitgestellt haben. Diese Region muss mit der AWS Control Tower Tower-Region identisch sein.

Um dem example-configuration Ordner im Zip-Paket, das SCP im Amazon S3 S3-Bucket gespeichert ist, eine benutzerdefinierte Datei hinzuzufügen, öffnen Sie die example-manifest.yaml Datei und beginnen Sie mit der Bearbeitung.

---
region: your-home-region
version: 2021-03-15

resources:
  - name: test-preventive-controls
    description: To prevent from deleting or disabling resources in member accounts
    resource_file: policies/preventive-controls.json
    deploy_method: scp
    #Apply to the following OU(s)
    deployment_targets:
      organizational_units: #array of strings
        - OUName1
        - OUName2 

…truncated…

Der folgende Ausschnitt zeigt ein Beispiel für eine benutzerdefinierte Manifestdatei. Sie können mit einer einzigen Änderung mehr als eine Richtlinie hinzufügen.

---
region: us-east-1
version: 2021-03-15

resources:
  - name: block-s3-public-access
    description: To S3 buckets to have public access
    resource_file: policies/block-s3-public.json
    deploy_method: scp
    #Apply to the following OU(s)
    deployment_targets:
      organizational_units: #array of strings
        - OUName1
        - OUName2

Schritt 2: Erstellen Sie eine Ordnerstruktur

Sie können diesen Schritt überspringen, wenn Sie Amazon S3 URL für die Ressourcendatei verwenden und Parameter mit Schlüssel/Wert-Paaren verwenden.

Sie müssen im JSON Format zur Unterstützung des Manifests eine SCP Richtlinie angeben, da die Manifestdatei auf die JSON Datei verweist. Stellen Sie sicher, dass die Dateipfade mit den Pfadinformationen in der Manifestdatei übereinstimmen.

  • Eine JSONRichtliniendatei enthält dieSCPs, für die die Bereitstellung erfolgen sollOUs.

Der folgende Ausschnitt zeigt die Ordnerstruktur für die Beispiel-Manifestdatei.

- manifest.yaml
- policies/
   - block-s3-public.json

Der folgende Ausschnitt ist ein Beispiel für eine Richtliniendatei. block-s3-public.json

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"GuardPutAccountPublicAccessBlock",
         "Effect":"Deny",
         "Action":"s3:PutAccountPublicAccessBlock",
         "Resource":"arn:aws:s3:::*"
      }
   ]
}