Configurer un package de configuration pour les politiques de contrôle des services - AWS Control Tower
Étape 1 : Modifier le fichier manifest.yamlÉtape 2 : Création d'une structure de dossiers

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configurer un package de configuration pour les politiques de contrôle des services

Cette section explique comment créer un package de configuration pour les politiques de contrôle des services (SCPs). Les deux parties principales de ce processus sont (1) la préparation du fichier manifeste et (2) la préparation de la structure de dossiers.

Étape 1 : Modifier le fichier manifest.yaml

Utilisez le manifest.yaml fichier d'exemple comme point de départ. Entrez toutes les configurations nécessaires. Ajoutez les deployment_targets détails resource_file et.

L'extrait suivant montre le fichier manifeste par défaut.

---
region: us-east-1
version: 2021-03-15

resources: []

La valeur pour region est ajoutée automatiquement lors du déploiement. Il doit correspondre à la région dans laquelle vous avez déployé CfCT. Cette région doit être identique à la région AWS Control Tower.

Pour ajouter une personnalisation SCP dans le example-configuration dossier du package zip stocké dans le compartiment Amazon S3, ouvrez le example-manifest.yaml fichier et commencez à le modifier.

---
region: your-home-region
version: 2021-03-15

resources:
  - name: test-preventive-controls
    description: To prevent from deleting or disabling resources in member accounts
    resource_file: policies/preventive-controls.json
    deploy_method: scp
    #Apply to the following OU(s)
    deployment_targets:
      organizational_units: #array of strings
        - OUName1
        - OUName2 

…truncated…

L'extrait suivant montre un exemple de fichier manifeste personnalisé. Vous pouvez ajouter plusieurs politiques lors d'une seule modification.

---
region: us-east-1
version: 2021-03-15

resources:
  - name: block-s3-public-access
    description: To S3 buckets to have public access
    resource_file: policies/block-s3-public.json
    deploy_method: scp
    #Apply to the following OU(s)
    deployment_targets:
      organizational_units: #array of strings
        - OUName1
        - OUName2

Étape 2 : Création d'une structure de dossiers

Vous pouvez ignorer cette étape si vous utilisez un Amazon S3 URL pour le fichier de ressources et si vous utilisez des paramètres avec des paires clé/valeur.

Vous devez inclure une SCP politique dans le JSON format permettant de prendre en charge le manifeste, car le fichier manifeste fait référence au JSON fichier. Assurez-vous que les chemins des fichiers correspondent aux informations de chemin fournies dans le fichier manifeste.

  • Un JSON fichier de politique contient le fichier SCPs vers lequel le déploiement doit être effectuéOUs.

L'extrait suivant montre la structure des dossiers de l'exemple de fichier manifeste.

- manifest.yaml
- policies/
   - block-s3-public.json

L'extrait de code suivant est un exemple de fichier de régulationblock-s3-public.json.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"GuardPutAccountPublicAccessBlock",
         "Effect":"Deny",
         "Action":"s3:PutAccountPublicAccessBlock",
         "Resource":"arn:aws:s3:::*"
      }
   ]
}