为 SCPs 或设置配置包 RCPs - AWS Control Tower
步骤 1:编辑 manifest.yaml 文件步骤 2:创建文件夹结构

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为 SCPs 或设置配置包 RCPs

本节介绍如何为服务控制策略 (SCPs) 或资源控制策略 (RCPs) 创建配置包。此过程的两个主要部分是(1)准备清单文件,以及(2)准备您的文件夹结构。

步骤 1:编辑 manifest.yaml 文件

使用示例 manifest.yaml 文件作为起点。输入所有必要的配置。添加 resource_filedeployment_targets 详细信息。

以下代码段显示了默认清单文件。

---
region: us-east-1
version: 2021-03-15

resources: []

region 的值将在部署期间自动添加。它必须与您在其中部署 CfCT 的区域匹配。此区域必须与 AWS Control Tower 区域相同。

要在 Amazon S3 存储桶中存储的 zip 包中的example-configuration文件夹中添加自定义 SCP 或 RCP,请打开example-manifest.yaml文件并开始编辑。

---
region: your-home-region
version: 2021-03-15

resources:
  - name: test-preventive-controls
    description: To prevent from deleting or disabling resources in member accounts
    resource_file: policies/preventive-controls.json
    deploy_method: scp | rcp
    #Apply to the following OU(s)
    deployment_targets:
      organizational_units: #array of strings
        - OUName1
        - OUName2 

…truncated…

以下代码段显示了示例自定义清单文件。您可以通过一次更改添加多个策略。

---
region: us-east-1
version: 2021-03-15

resources:
  - name: block-s3-public-access
    description: To S3 buckets to have public access
    resource_file: policies/block-s3-public.json
    deploy_method: scp | rcp
    #Apply to the following OU(s)
    deployment_targets:
      organizational_units: #array of strings
        - OUName1
        - OUName2

步骤 2:创建文件夹结构

如果您使用 Amazon S3 URL 作为资源文件并使用带键/值对的参数,则可以跳过此步骤。

您必须包含 JSON 格式的 SCP 策略或 RCP 策略才能支持清单,因为清单文件引用了 JSON 文件。确保文件路径与清单文件中提供的路径信息相匹配。

  • 策略 JSON 文件包含 RCPs 要部署到的 SCPs 或 OUs。

以下代码段显示了示例清单文件的文件夹结构。

- manifest.yaml
- policies/
   - block-s3-public.json

以下代码段是示例 block-s3-public.json 策略文件。

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"GuardPutAccountPublicAccessBlock",
         "Effect":"Deny",
         "Action":"s3:PutAccountPublicAccessBlock",
         "Resource":"arn:aws:s3:::*"
      }
   ]
}