

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# SCP または RCP の設定パッケージを設定する
<a name="cfcn-set-up-custom-scps"></a>

このセクションでは、サービスコントロールポリシー (SCP) または リソースコントロールポリシー (RCP) 用の設定パッケージを作成する方法を説明します。このプロセスの 2 つの主要部分は、(1) CfCT マニフェストファイルの準備、(2) フォルダ構造の準備です。

## ステップ 1: manifest.yaml ファイルを編集する
<a name="cfct-byo-scp-step-1"></a>

サンプル `manifest.yaml` ファイルを出発点として使用します。必要な設定をすべて入力します。`resource_file` および `deployment_targets` の詳細を追加します。

次のスニペットは、デフォルトマニフェストファイルを示しています。

```
---
region: us-east-1
version: 2021-03-15

resources: []
```

`region` の値は、デプロイ時に自動的に追加されます。これは CfCT をデプロイしたリージョンと一致する必要があります。このリージョンは AWS Control Tower リージョンと同じものにする必要があります。

Amazon S3 バケットに格納されている zip パッケージ内の `example-configuration` フォルダにカスタム SCP または RCP を追加するには、`example-manifest.yaml` ファイルを開き、編集を開始します。

```
---
region: {{your-home-region}}
version: 2021-03-15

resources:
  - name: test-preventive-controls
    description: To prevent from deleting or disabling resources in member accounts
    resource_file: policies/preventive-controls.json
    deploy_method: {{scp | rcp}}
    #Apply to the following OU(s)
    deployment_targets:
      organizational_units: #array of strings
        - OUName1
        - OUName2 

…truncated…
```

次のスニペットは、カスタマイズされたマニフェストファイルの例を示しています。1 回の変更で複数のポリシーを追加できます。

```
---
region: us-east-1
version: 2021-03-15

resources:
  - name: block-s3-public-access
    description: To S3 buckets to have public access
    resource_file: policies/block-s3-public.json
    deploy_method: {{scp | rcp}}
    #Apply to the following OU(s)
    deployment_targets:
      organizational_units: #array of strings
        - OUName1
        - OUName2
```

## ステップ 2: フォルダ構造を作成する
<a name="cfct-byo-scp-step-2"></a>

リソースファイルに Simple Storage Service (Amazon S3) URL を使用していて、キーと値のペアの **parameters** を使用している場合、このステップを省略できます。

マニフェストファイルは JSON ファイルを参照するため、マニフェストをサポートするには、SCP ポリシーまたは RCP ポリシーを JSON 形式で含める必要があります。マニフェストファイルに指定されたパス情報とファイルパスが一致していることを確認します。
+ *policy* JSON ファイルには、OU にデプロイされる SCP または RCP が含まれています。

次のスニペットは、サンプルマニフェストファイルのフォルダ構造を示しています。

```
- manifest.yaml
- policies/
   - block-s3-public.json
```

以下のスニペットは、`block-s3-public.json` ポリシーファイルの一例です。

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Sid":"GuardPutAccountPublicAccessBlock",
         "Effect":"Deny",
         "Action":"s3:PutAccountPublicAccessBlock",
         "Resource":"arn:aws:s3:::*"
      }
   ]
}
```

------