Imposta un pacchetto di configurazione per le politiche di controllo del servizio - AWS Control Tower
Fase 1: Modifica il file manifest.yamlFase 2: Creare una struttura di cartelle

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Imposta un pacchetto di configurazione per le politiche di controllo del servizio

Questa sezione spiega come creare un pacchetto di configurazione per le politiche di controllo del servizio (SCPs). Le due parti principali di questo processo sono (1) preparare il file manifest e (2) preparare la struttura delle cartelle.

Fase 1: Modifica il file manifest.yaml

Usa il manifest.yaml file di esempio come punto di partenza. Immettete tutte le configurazioni necessarie. Aggiungi i deployment_targets dettagli resource_file e.

Il seguente frammento mostra il file manifesto predefinito.

---
region: us-east-1
version: 2021-03-15

resources: []

Il valore di region viene aggiunto automaticamente durante la distribuzione. Deve corrispondere alla regione in cui è stato distribuito cFCT. Questa regione deve essere la stessa della regione AWS Control Tower.

Per aggiungere un file personalizzato SCP nella example-configuration cartella del pacchetto zip archiviato nel bucket Amazon S3, apri il example-manifest.yaml file e inizia a modificarlo.

---
region: your-home-region
version: 2021-03-15

resources:
  - name: test-preventive-controls
    description: To prevent from deleting or disabling resources in member accounts
    resource_file: policies/preventive-controls.json
    deploy_method: scp
    #Apply to the following OU(s)
    deployment_targets:
      organizational_units: #array of strings
        - OUName1
        - OUName2 

…truncated…

Il seguente frammento mostra un esempio di file manifest personalizzato. È possibile aggiungere più di una politica in una singola modifica.

---
region: us-east-1
version: 2021-03-15

resources:
  - name: block-s3-public-access
    description: To S3 buckets to have public access
    resource_file: policies/block-s3-public.json
    deploy_method: scp
    #Apply to the following OU(s)
    deployment_targets:
      organizational_units: #array of strings
        - OUName1
        - OUName2

Fase 2: Creare una struttura di cartelle

Puoi saltare questo passaggio se utilizzi Amazon URL S3 per il file di risorse e utilizzi parametri con coppie chiave/valore.

È necessario includere una SCP policy in JSON formato per supportare il manifesto, poiché il file manifest fa riferimento al file. JSON Assicuratevi che i percorsi dei file corrispondano alle informazioni sul percorso fornite nel file manifesto.

  • Un JSON file di policy contiene SCPs il file da OUs distribuire.

Il seguente frammento mostra la struttura delle cartelle per il file manifest di esempio.

- manifest.yaml
- policies/
   - block-s3-public.json

Il seguente frammento è un esempio di file di policy. block-s3-public.json

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"GuardPutAccountPublicAccessBlock",
         "Effect":"Deny",
         "Action":"s3:PutAccountPublicAccessBlock",
         "Resource":"arn:aws:s3:::*"
      }
   ]
}