本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 为 SCPs 或设置配置包 RCPs
本节介绍如何为服务控制策略 (SCPs) 或资源控制策略 (RCPs) 创建配置包。此过程的两个主要部分是(1)准备 CfCT 清单文件,以及(2)准备您的文件夹结构。
## 步骤 1:编辑 manifest.yaml 文件
使用示例 `manifest.yaml` 文件作为起点。输入所有必要的配置。添加 `resource_file` 和 `deployment_targets` 详细信息。
以下代码段显示了默认清单文件。
```
---
region: us-east-1
version: 2021-03-15
resources: []
```
`region` 的值将在部署期间自动添加。它必须与您在其中部署 CfCT 的区域匹配。此区域必须与 AWS Control Tower 区域相同。
要在 Amazon S3 存储桶中存储的 zip 包中的 `example-configuration` 文件夹中添加自定义 SCP 或 RCP,请打开 `example-manifest.yaml` 文件并开始编辑。
```
---
region: {{your-home-region}}
version: 2021-03-15
resources:
- name: test-preventive-controls
description: To prevent from deleting or disabling resources in member accounts
resource_file: policies/preventive-controls.json
deploy_method: {{scp | rcp}}
#Apply to the following OU(s)
deployment_targets:
organizational_units: #array of strings
- OUName1
- OUName2
…truncated…
```
以下代码段显示了示例自定义清单文件。您可以通过一次更改添加多个策略。
```
---
region: us-east-1
version: 2021-03-15
resources:
- name: block-s3-public-access
description: To S3 buckets to have public access
resource_file: policies/block-s3-public.json
deploy_method: {{scp | rcp}}
#Apply to the following OU(s)
deployment_targets:
organizational_units: #array of strings
- OUName1
- OUName2
```
## 步骤 2:创建文件夹结构
如果您使用的是 Amazon S3 URL 作为资源文件并使用 key/value 成对的**参数**,则可以跳过此步骤。
您必须包含 JSON 格式的 SCP 策略或 RCP 策略才能支持清单文件,因为清单文件会引用 JSON 文件。确保文件路径与清单文件中提供的路径信息相匹配。
+ *策略* JSON 文件包含 RCPs 要部署到的 SCPs 或 OUs。
以下代码段显示了示例清单文件的文件夹结构。
```
- manifest.yaml
- policies/
- block-s3-public.json
```
以下代码段是示例 `block-s3-public.json` 策略文件。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"GuardPutAccountPublicAccessBlock",
"Effect":"Deny",
"Action":"s3:PutAccountPublicAccessBlock",
"Resource":"arn:aws:s3:::*"
}
]
}
```
------