为服务控制策略设置配置包 - AWS Control Tower
第 1 步:编辑清单.yaml 文件步骤 2:创建文件夹结构

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为服务控制策略设置配置包

本节介绍如何为服务控制策略创建配置包 (SCPs)。此过程的两个主要部分是 (1) 准备清单文件,以及 (2) 准备您的文件夹结构。

第 1 步:编辑清单.yaml 文件

使用示例manifest.yaml文件作为起点。输入所有必要的配置。添加resource_filedeployment_targets详细信息。

以下代码段显示了默认的清单文件。

---
region: us-east-1
version: 2021-03-15

resources: []

region值将在部署期间自动添加。它必须与您部署 cfCT 的区域相匹配。此区域必须与 Cont AWS rol Tower 区域相同。

要SCP在 Amazon S3 存储桶中存储的 zip 包的example-configuration文件夹中添加自定义,请打开example-manifest.yaml文件并开始编辑。

---
region: your-home-region
version: 2021-03-15

resources:
  - name: test-preventive-controls
    description: To prevent from deleting or disabling resources in member accounts
    resource_file: policies/preventive-controls.json
    deploy_method: scp
    #Apply to the following OU(s)
    deployment_targets:
      organizational_units: #array of strings
        - OUName1
        - OUName2 

…truncated…

以下代码段显示了自定义清单文件的示例。您可以在一次更改中添加多个策略。

---
region: us-east-1
version: 2021-03-15

resources:
  - name: block-s3-public-access
    description: To S3 buckets to have public access
    resource_file: policies/block-s3-public.json
    deploy_method: scp
    #Apply to the following OU(s)
    deployment_targets:
      organizational_units: #array of strings
        - OUName1
        - OUName2

步骤 2:创建文件夹结构

如果您使用 Amazon S3 作为资源文件并使用带键/值URL对的参数,则可以跳过此步骤。

您必须以支持清单的JSON格式加入SCP政策,因为清单文件引用了该JSON文件。确保文件路径与清单文件中提供的路径信息相匹配。

  • 策略JSON文件包含SCPs要部署到的OUs。

以下代码段显示了示例清单文件的文件夹结构。

- manifest.yaml
- policies/
   - block-s3-public.json

以下片段是block-s3-public.json策略文件的示例。

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"GuardPutAccountPublicAccessBlock",
         "Effect":"Deny",
         "Action":"s3:PutAccountPublicAccessBlock",
         "Resource":"arn:aws:s3:::*"
      }
   ]
}