マニフェストファイルの [resource] (リソース) セクション - AWS Control Tower

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

マニフェストファイルの [resource] (リソース) セクション

このトピックでは、マニフェストファイルの [リソース] セクションについて説明します。このセクションでは、カスタマイズに必要なリソースを定義します。マニフェストファイルのこのセクションは、キーワード resources から始まり、ファイルの末尾まで続きます。

マニフェストファイルのリソースセクションでは StackSets、コードパイプラインを介して CfCT が自動的にデプロイする RCPs、、 AWS Organizations SCPsを指定します AWS CloudFormation 。OUs、 アカウント、およびリージョンを一覧表示して、スタックインスタンスをデプロイできます。

スタックインスタンスは、OU レベルではなくアカウントレベルでデプロイされます。 SCPsおよび RCPsは OU レベルでデプロイされます。詳細については、「独自のカスタマイズを構築する」を参照してください。

次のサンプルテンプレートには、マニフェストファイルの [リソース] セクションで利用可能なエントリが説明されています。

resources: # List of resources
  - name: [String]
    resource_file: [String] [Local File Path, S3 URI, S3 URL] 
    deployment_targets: # account and/or organizational unit names
      accounts: # array of strings, [0-9]{12}
        - 012345678912
        - AccountName1
      organizational_units: #array of strings
        - OuName1
        - OuName2 
    deploy_method: scp | stack_set | rcp
    parameters: # List of parameters [SSM, Alfred, Values]
      - parameter_key: [String]
        parameter_value: [String]  
    export_outputs: # list of ssm parameters to store output values
      - name: /org/member/test-ssm/app-id
        value: $[output_ApplicationId]    
    regions: #list of strings
    - [String]

このトピックの残りの部分では、前のコード例で示したキーワードの詳しい定義について説明します。

name – に関連付けられている名前 AWS CloudFormation StackSets。
指定する文字列は、スタックセットにわかりやすい名前を割り当てます。

  • 型: 文字列

  • 必須: はい

  • 有効な値: a~z、A~Z、0~9、アンダースコア (_)。その他の文字は、自動的にアンダースコア (_) に置き換えられます。

説明: リソースの説明。

  • タイプ: 文字列

  • 必須: いいえ

resource_file – このファイルは、マニフェストファイル、Amazon S3、URIまたは への相対の場所として指定できます。URLこのファイルはSCPs、 AWS CloudFormation リソース、、または を作成JSONするための の AWS CloudFormation テンプレートまたは AWS Organizations サービスコントロールポリシーを指しますRCPs。

  • 型: 文字列

  • 必須: はい

  1. 次の例で示している resource_file は、設定パッケージ内のリソースファイルへの相対的な場所として指定されます。

    resources:
  - name: SecurityRoles
    resource_file: templates/custom-security.template

  2. 次の例は、Amazon S3 として指定されたリソースファイルを示しています。 URI

    resources:
  - name: SecurityRoles
    resource_file: s3://bucket-name/[key-name]

  3. 次の例は、Amazon S3 として指定されたリソースファイルを示しています。 HTTPS URL

    resources:
  - name: SecurityRoles
    resource_file: https://bucket-name.s3.Region.amazonaws.com/key-name
    注記

    Amazon S3 を提供する場合はURL、バケットポリシーが CfCT をデプロイする AWS Control Tower 管理アカウントの読み取りアクセスを許可していることを確認します。Amazon S3 HTTPS を指定する場合はURL、パスがドット表記を使用していることを確認します。例えば、S3.us-west-1 と指定します。CfCT は、S3 とリージョンの間にダッシュを含むエンドポイントをサポートしていません (S3‐us-west-2 など)。

  4. 次の例は、Amazon S3 バケットポリシーと、リソースが保存されARNている を示しています。

    {
   "Version": "2012-10-17",
   "Statement": [
       {
        "Effect": "Allow",
        "Principal": {"AWS": "arn:aws:iam::AccountId:root"},
        "Action": "s3:GetObject",
        "Resource": "arn:aws:s3:::my-bucket/*”
       }
   ]
}



    例に示すAccountId変数を、CfCT をデプロイする管理アカウントのアカウント AWS ID に置き換えます。その他の例については、「Amazon Simple Storage Service ユーザーガイド」の「バケットポリシーの例」を参照してください。

parameters — AWS CloudFormation パラメータの名前と値を指定します。

  • タイプ: MapList

  • 必須: いいえ

[parameters] (パラメータ) セクションには、キー/値パラメータのペアが含まれます。次の疑似テンプレートは、[parameters] (パラメータ) セクションの概要を示します。

parameters:
  - parameter_key: [String]
    parameter_value: [String]

  • parameter_key — パラメータに関連付けられたキー。

    • タイプ: 文字列

    • 必須: はい (パラメータプロパティの下)

    • 有効な値: a~z、A~Z、0~9

  • parameter_value - パラメータに関連付けられた入力値。

    • タイプ: 文字列

    • 必須: はい (パラメータプロパティの下)

deploy_method — アカウントにリソースをデプロイするためのデプロイ方法。現在、deploy_method は、リソースのデプロイに stack_setオプション AWS CloudFormation StackSets、 をデプロイする場合は scpオプションSCPs、 をデプロイする場合は rcpオプションを使用してリソースのデプロイをサポートしていますRCPs。

  • 型: 文字列

  • 有効な値: stack_set | scp | rcp

  • 必須: はい

deployment_targets – アカウントまたは組織単位 (OUs) のリスト。CfCT は、アカウントまたは organization_units として指定された AWS CloudFormation リソースをデプロイします。

注記

SCP または をデプロイする場合RCP、ターゲットはアカウントではなく OU である必要があります。

  • タイプ: このリソースが特定のアカウントリストにデプロイされることを示す文字列 account name または account number、あるいはこのリソースが指定された OU リストにデプロイされることを示す OU names のリスト。

  • 必須: accounts または organizational_units のうち少なくとも 1 つ

    • accounts:

      タイプ: このリソースが特定のアカウントリストにデプロイされることを示す文字列 account name または account number のリスト。

    • organizational_units:

      タイプ: このリソースが特定の OU リストにデプロイされることを示す文字列 OU names のリスト。アカウントを含まない OU を指定し、accounts プロパティを追加していない場合、CfCT はスタックセットのみを作成します。

      注記

      組織の管理アカウント ID が許可されている値ではありません。CfCT は、組織の管理アカウントへのスタックインスタンスのデプロイをサポートしていません。

export_outputs – SSMパラメータキーを示す名前と値のペアのリスト。これらのSSMパラメータキーを使用すると、テンプレート出力をSSMパラメータストアに保存できます。出力は、先にマニフェストファイルで定義済みの他のリソースから参照されることになります。

export_outputs: # List of SSM parameters
  - name: [String]
    value: [String]

  • タイプ: name および value キーペアのリスト。名前にはSSMパラメータストアキーのname文字列が含まれ、にはパラメータのvalue文字列が含まれます。

  • 有効な値: テンプレート出力$[output_CfnOutput-Logical-ID]変数CfnOutput-Logical-IDに対応する任意の文字列または変数。 AWS CloudFormation テンプレートの出力セクションの詳細については、「 AWS CloudFormation ユーザーガイド」の「出力」を参照してください。

  • 必須: いいえ

たとえば、次のコードスニペットは、テンプレートVPCID出力変数を という名前のSSMパラメータキーに保存します/org/member/audit/vpc_id

export_outputs: # List of SSM parameters
  - name: /org/member/audit/VPC-ID
    value: $[output_VPCID]
注記

export_outps キー名には、output 以外の値を含めることができます。例えば、name/org/environment-name の場合、valueproduction とすることができます。

regions – CfCT が AWS CloudFormation スタックインスタンスをデプロイするリージョンのリスト。

  • タイプ: このリソースが特定のリージョンリストにデプロイされることを示す AWS 商用リージョン名のリスト。このキーワードがマニフェストファイルに存在しない場合、リソースはホームリージョンにのみデプロイされます。

  • 必須: いいえ