設定服務控制政策的組態套件 - AWS Control Tower
步驟 1:編輯清單 .yaml 文件步驟 2:建立資料夾結構

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定服務控制政策的組態套件

本節說明如何建立服務控制原則的組態套件 (SCPs)。這個過程的兩個主要部分是(1)準備清單文件,和(2)準備你的文件夾結構。

步驟 1:編輯清單 .yaml 文件

使用範例manifest.yaml檔案做為起點。輸入所有必要的組態。新增resource_filedeployment_targets詳細資訊。

下面的代碼片段顯示了默認的清單文件。

---
region: us-east-1
version: 2021-03-15

resources: []

的值會在部署期間自動加入。region它必須與您部署 CFCT 的區域相符。此區域必須與 Con AWS trol Tower 區域相同。

若要在 Amazon S3 儲存貯體SCP中儲存的 zip 套件中的example-configuration資料夾中新增自訂項目,請開啟example-manifest.yaml檔案並開始編輯。

---
region: your-home-region
version: 2021-03-15

resources:
  - name: test-preventive-controls
    description: To prevent from deleting or disabling resources in member accounts
    resource_file: policies/preventive-controls.json
    deploy_method: scp
    #Apply to the following OU(s)
    deployment_targets:
      organizational_units: #array of strings
        - OUName1
        - OUName2 

…truncated…

下列程式碼片段顯示自訂資訊清單檔案的範例。您可以在一次變更中新增多個策略。

---
region: us-east-1
version: 2021-03-15

resources:
  - name: block-s3-public-access
    description: To S3 buckets to have public access
    resource_file: policies/block-s3-public.json
    deploy_method: scp
    #Apply to the following OU(s)
    deployment_targets:
      organizational_units: #array of strings
        - OUName1
        - OUName2

步驟 2:建立資料夾結構

如果您將 Amazon S3 用於資源檔案,並將參數與鍵/值配URL對搭配使用,則可以略過此步驟。

您必須包含JSON格式的SCP策略才能支援資訊清單,因為資訊清單檔案會參考該JSON檔案。請確定檔案路徑與資訊清單檔案中提供的路徑資訊相符。

  • 原則JSON檔案包含要部署SCPs到的目標OUs。

下列程式碼片段顯示範例資訊清單檔案的資料夾結構。

- manifest.yaml
- policies/
   - block-s3-public.json

下列程式碼片段是block-s3-public.json原則檔的範例。

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"GuardPutAccountPublicAccessBlock",
         "Effect":"Deny",
         "Action":"s3:PutAccountPublicAccessBlock",
         "Resource":"arn:aws:s3:::*"
      }
   ]
}