翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
サービスコントロールポリシー用に設定パッケージをセットアップする
このセクションでは、サービスコントロールポリシー () の設定パッケージを作成する方法について説明しますSCPs。このプロセスの 2 つの主要部分は、(1) マニフェストファイルの準備、(2) フォルダ構造の準備です。
ステップ 1: manifest.yaml ファイルを編集する
サンプル manifest.yaml ファイルを出発点として使用します。必要な設定をすべて入力します。resource_file および deployment_targets の詳細を追加します。
次のスニペットは、デフォルトマニフェストファイルを示しています。
--- region: us-east-1 version: 2021-03-15 resources: []
region の値は、デプロイ時に自動的に追加されます。これは CfCT をデプロイしたリージョンと一致する必要があります。このリージョンは Control Tower AWS リージョンと同じである必要があります。
Amazon S3 バケットSCPに保存されている zip パッケージの example-configurationフォルダにカスタムを追加するには、 example-manifest.yaml ファイルを開き、編集を開始します。 Amazon S3
--- region:your-home-regionversion: 2021-03-15 resources: - name: test-preventive-controls description: To prevent from deleting or disabling resources in member accounts resource_file: policies/preventive-controls.json deploy_method: scp #Apply to the following OU(s) deployment_targets: organizational_units: #array of strings - OUName1 - OUName2 …truncated…
次のスニペットは、カスタマイズされたマニフェストファイルの例を示しています。1 回の変更で複数のポリシーを追加できます。
--- region: us-east-1 version: 2021-03-15 resources: - name: block-s3-public-access description: To S3 buckets to have public access resource_file: policies/block-s3-public.json deploy_method: scp #Apply to the following OU(s) deployment_targets: organizational_units: #array of strings - OUName1 - OUName2
ステップ 2: フォルダ構造を作成する
リソースファイルに Amazon S3 を使用し、キーと値のペアでパラメータを使用している場合は、このステップURLをスキップできます。
マニフェストファイルは JSON ファイルを参照するため、マニフェストをサポートするには JSON形式の SCP ポリシーを含める必要があります。マニフェストファイルに指定されたパス情報とファイルパスが一致していることを確認します。
-
ポリシーJSONファイルにはSCPs、 にデプロイする が含まれていますOUs。
次のスニペットは、サンプルマニフェストファイルのフォルダ構造を示しています。
- manifest.yaml - policies/ - block-s3-public.json
以下のスニペットは、block-s3-public.json ポリシーファイルの一例です。
{ "Version":"2012-10-17", "Statement":[ { "Sid":"GuardPutAccountPublicAccessBlock", "Effect":"Deny", "Action":"s3:PutAccountPublicAccessBlock", "Resource":"arn:aws:s3:::*" } ] }
