Mengatur paket konfigurasi untuk kebijakan kontrol layanan - AWSControl Tower
Langkah 1: Edit file manifest.yamlLangkah 2: Buat struktur folder

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengatur paket konfigurasi untuk kebijakan kontrol layanan

Bagian ini menjelaskan cara membuat paket konfigurasi untuk kebijakan kontrol layanan (SCPs). Dua bagian utama dari proses ini adalah (1) siapkan file manifes, dan (2) siapkan struktur folder Anda.

Langkah 1: Edit file manifest.yaml

Gunakan manifest.yaml file sampel sebagai titik awal Anda. Masukkan semua konfigurasi yang diperlukan. Tambahkan resource_file dan deployment_targets detailnya.

Cuplikan berikut menunjukkan file manifes default.

---
region: us-east-1
version: 2021-03-15

resources: []

Nilai untuk region ditambahkan secara otomatis selama penerapan. Itu harus cocok dengan Wilayah tempat Anda menggunakan CFCT. Wilayah ini harus sama dengan wilayah AWS Control Tower.

Untuk menambahkan kustom SCP di example-configuration folder dalam paket zip yang disimpan di bucket Amazon S3, buka example-manifest.yaml file dan mulai mengedit.

---
region: your-home-region
version: 2021-03-15

resources:
  - name: test-preventive-controls
    description: To prevent from deleting or disabling resources in member accounts
    resource_file: policies/preventive-controls.json
    deploy_method: scp
    #Apply to the following OU(s)
    deployment_targets:
      organizational_units: #array of strings
        - OUName1
        - OUName2 

…truncated…

Cuplikan berikut menunjukkan contoh file manifes yang disesuaikan. Anda dapat menambahkan lebih dari satu kebijakan dalam satu perubahan.

---
region: us-east-1
version: 2021-03-15

resources:
  - name: block-s3-public-access
    description: To S3 buckets to have public access
    resource_file: policies/block-s3-public.json
    deploy_method: scp
    #Apply to the following OU(s)
    deployment_targets:
      organizational_units: #array of strings
        - OUName1
        - OUName2

Langkah 2: Buat struktur folder

Anda dapat melewati langkah ini jika Anda menggunakan Amazon S3 URL untuk file sumber daya dan menggunakan parameter dengan pasangan kunci/nilai.

Anda harus menyertakan SCP kebijakan dalam JSON format untuk mendukung manifes, karena file manifes mereferensikan JSON file. Pastikan bahwa jalur file cocok dengan informasi jalur yang disediakan dalam file manifes.

  • JSONFile kebijakan berisi file SCPs yang akan digunakan. OUs

Cuplikan berikut menunjukkan struktur folder untuk file manifes sampel.

- manifest.yaml
- policies/
   - block-s3-public.json

Cuplikan berikut adalah contoh file block-s3-public.json kebijakan.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"GuardPutAccountPublicAccessBlock",
         "Effect":"Deny",
         "Action":"s3:PutAccountPublicAccessBlock",
         "Resource":"arn:aws:s3:::*"
      }
   ]
}