Configure un paquete de configuración para SCPs o RCPs - AWS Control Tower
Paso 1: edición del archivo manifest.yamlPaso 2: creación de una estructura de carpetas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configure un paquete de configuración para SCPs o RCPs

En esta sección se explica cómo crear un paquete de configuración para las políticas de control de servicios (SCPs) o las políticas de control de recursos (RCPs). Las dos partes principales de este proceso son (1) preparar el archivo de manifiesto y (2) preparar la estructura de carpetas.

Paso 1: edición del archivo manifest.yaml

Utilice el archivo manifest.yaml de ejemplo como punto de partida. Introduzca todas las configuraciones necesarias. Añada los detalles de deployment_targets y resource_file.

En el siguiente fragmento se muestra el archivo de manifiesto predeterminado.

---
region: us-east-1
version: 2021-03-15

resources: []

El valor de la region se añade automáticamente durante la implementación. Debe coincidir con la región en la que haya implementado CfCT. Esta región debe ser la misma que la región de la Torre de AWS Control.

Para añadir un paquete personalizado SCP o RCP en la example-configuration carpeta del paquete zip almacenado en el bucket de Amazon S3, abra el example-manifest.yaml archivo y comience a editarlo.

---
region: your-home-region
version: 2021-03-15

resources:
  - name: test-preventive-controls
    description: To prevent from deleting or disabling resources in member accounts
    resource_file: policies/preventive-controls.json
    deploy_method: scp | rcp
    #Apply to the following OU(s)
    deployment_targets:
      organizational_units: #array of strings
        - OUName1
        - OUName2 

…truncated…

El siguiente fragmento es un ejemplo de archivo de manifiesto personalizado. Puede añadir más de una política en un solo cambio.

---
region: us-east-1
version: 2021-03-15

resources:
  - name: block-s3-public-access
    description: To S3 buckets to have public access
    resource_file: policies/block-s3-public.json
    deploy_method: scp | rcp
    #Apply to the following OU(s)
    deployment_targets:
      organizational_units: #array of strings
        - OUName1
        - OUName2

Paso 2: creación de una estructura de carpetas

Puede omitir este paso si utiliza Amazon S3 URL para el archivo de recursos y utiliza parámetros con pares clave/valor.

Debe incluir una SCP política o una RCP política en un JSON formato compatible con el manifiesto, ya que el archivo de manifiesto hace referencia al JSON archivo. Asegúrese de que las rutas de los archivos coincidan con la información de ruta proporcionada en el archivo de manifiesto.

  • Un JSON archivo de política contiene la SCPs o en la RCPs que se va a implementarOUs.

En el siguiente fragmento se muestra la estructura de carpetas del archivo de manifiesto de ejemplo.

- manifest.yaml
- policies/
   - block-s3-public.json

El siguiente fragmento es un ejemplo de un archivo de política block-s3-public.json.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"GuardPutAccountPublicAccessBlock",
         "Effect":"Deny",
         "Action":"s3:PutAccountPublicAccessBlock",
         "Resource":"arn:aws:s3:::*"
      }
   ]
}