기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 자체 사용자 지정 구축
<a name="cfcn-byo-customizations"></a>

자체 사용자 지정을 구축하려면 서비스 제어 정책(SCPs), 리소스 제어 정책(RCPs) 및 CloudFormation 리소스를 추가하거나 업데이트하여 CfCT `manifest.yaml` 파일을 수정할 수 있습니다. 배포해야 하는 리소스의 경우 계정 및 OU를 추가하거나 제거할 수 있습니다. 패키지 폴더의 템플릿을 추가하거나 수정하고, 자체 폴더를 생성하고, `manifest.yaml` 파일의 템플릿 또는 폴더를 참조할 수 있습니다.

이 섹션에서는 자체 사용자 지정을 구축하는 두 가지 주요 부분을 설명합니다.
+ 서비스 제어 정책에 대한 자체 구성 패키지를 설정하는 방법
+  AWS CloudFormation 스택 세트에 대한 자체 구성 패키지를 설정하는 방법

# SCP 또는 RCP에 대한 구성 패키지 설정
<a name="cfcn-set-up-custom-scps"></a>

이 섹션에서는 서비스 제어 정책(SCP) 또는 리소스 제어 정책(RCP)에 대한 구성 패키지를 생성하는 방법을 설명합니다. 이 프로세스의 두 가지 주요 부분은 (1) CfCT 매니페스트 파일 준비와 (2) 폴더 구조 준비입니다.

## 1단계: manifest.yaml 파일 편집
<a name="cfct-byo-scp-step-1"></a>

샘플 `manifest.yaml` 파일을 시작점으로 사용합니다. 필요한 모든 구성을 입력합니다. `resource_file` 및 `deployment_targets` 세부 정보를 추가합니다.

다음 조각은 기본 매니페스트 파일을 보여줍니다.

```
---
region: us-east-1
version: 2021-03-15

resources: []
```

`region` 값은 배포 중에 자동으로 추가됩니다. CfCT를 배포한 리전과 일치해야 합니다. 이 리전은 AWS Control Tower 리전과 동일해야 합니다.

Amazon S3 버킷에 저장된 zip 패키지의 `example-configuration` 폴더에 사용자 지정 SCP 또는 RCP를 추가하려면 `example-manifest.yaml` 파일을 열고 편집을 시작합니다.

```
---
region: your-home-region
version: 2021-03-15

resources:
  - name: test-preventive-controls
    description: To prevent from deleting or disabling resources in member accounts
    resource_file: policies/preventive-controls.json
    deploy_method: scp | rcp
    #Apply to the following OU(s)
    deployment_targets:
      organizational_units: #array of strings
        - OUName1
        - OUName2 

…truncated…
```

다음 코드 조각은 사용자 지정 매니페스트 파일의 예제를 보여줍니다. 한 번의 변경으로 정책을 두 개 이상 추가할 수 있습니다.

```
---
region: us-east-1
version: 2021-03-15

resources:
  - name: block-s3-public-access
    description: To S3 buckets to have public access
    resource_file: policies/block-s3-public.json
    deploy_method: scp | rcp
    #Apply to the following OU(s)
    deployment_targets:
      organizational_units: #array of strings
        - OUName1
        - OUName2
```

## 2단계: 폴더 구조 생성
<a name="cfct-byo-scp-step-2"></a>

리소스 파일에 Amazon S3 URL을 사용하고 키/값 페어가 있는 **파라미터**를 사용하는 경우 이 단계를 건너뛸 수 있습니다.

매니페스트 파일은 JSON 파일을 참조하기 때문에 매니페스트를 지원하려면 JSON 형식의 SCP 또는 RCP 정책을 포함해야 합니다. 파일 경로가 매니페스트 파일에 제공된 경로 정보와 일치하는지 확인합니다.
+ *정책* JSON 파일에는 OU에 배포할 SCP 또는 RCP가 포함되어 있습니다.

다음 코드 조각은 샘플 매니페스트 파일의 폴더 구조를 보여줍니다.

```
- manifest.yaml
- policies/
   - block-s3-public.json
```

다음 코드 조각은 `block-s3-public.json` 정책 파일의 예제입니다.

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Sid":"GuardPutAccountPublicAccessBlock",
         "Effect":"Deny",
         "Action":"s3:PutAccountPublicAccessBlock",
         "Resource":"arn:aws:s3:::*"
      }
   ]
}
```

------

# CloudFormation StackSets에 대한 구성 패키지 설정
<a name="cfcn-byo-cfn-stacksets"></a>

이 섹션에서는 CloudFormation StackSets에 대한 구성 패키지를 설정하는 방법을 설명합니다. 이 프로세스의 두 가지 주요 부분은 (1) 매니페스트 파일 준비와 (2) 폴더 구조 업데이트입니다.

## 1단계: 기존 매니페스트 파일 편집
<a name="cfcn-byo-cfn-stacksets-step-1"></a>

이전에 편집한 매니페스트 파일에 new CloudFormation StackSets 정보를 추가합니다.

검토를 위해 다음 코드 조각에는 이전에 SCP 또는 RCP에 대한 구성 패키지를 설정하기 위해 표시된 것과 동일한 사용자 지정 매니페스트 파일이 포함되어 있습니다. 이제 리소스에 대한 세부 정보를 포함하도록 이 파일을 추가로 편집할 수 있습니다.

```
---
region: us-east-1
version: 2021-03-15

resources:
  
  - name: block-s3-public-access
    description: To S3 buckets to have public access
    resource_file: policies/block-s3-public.json
    deploy_method: scp | rcp
    #Apply to the following OU(s)
    deployment_targets:
    organizational_units: #array of strings
    - OUName1
    - OUName2
```

다음 코드 조각은 `resources` 세부 정보가 포함된 편집된 샘플 매니페스트 파일을 보여줍니다. `resources`의 순서는 `resources` 종속성을 생성하기 위한 실행 순서를 결정합니다. 비즈니스 요구 사항에 따라 다음 예제 매니페스트 파일을 편집할 수 있습니다.

```
---
region: your-home-region
version: 2021-03-15

…truncated…

resources:
  - name: stackset-1
    resource_file: templates/create-ssm-parameter-keys-1.template
    parameters:
      - parameter_key: parameter-1
        parameter_value: value-1
    deploy_method: stack_set
    deployment_targets:
      accounts: # array of strings, [0-9]{12}
        - account number or account name
        - 123456789123
      organizational_units: #array of strings, ou ids, ou-xxxx
        - OuName1
        - OUName2 
    export_outputs:
      - name: /org/member/test-ssm/app-id
        value: $[output_ApplicationId]
    regions:
      - region-name

  - name: stackset-2
    resource_file: s3://bucket-name/key-name
    parameters:
      - parameter_key: parameter-1
        parameter_value: value-1
    deploy_method: stack_set
    deployment_targets:
      accounts: # array of strings, [0-9]{12}
        - account number or account name
        - 123456789123
      organizational_units: #array of strings
        - OuName1
        - OUName2 
regions:
  - region-name
```

다음 예제는 매니페스트 파일에 둘 이상의 CloudFormation 리소스를 추가할 수 있음을 보여줍니다.

```
---
region: us-east-1
version: 2021-03-15

resources:
  - name: block-s3-public-access
    description: To S3 buckets to have public access
    resource_file: policies/block-s3-public.json
    deploy_method: scp | rcp
    #Apply to the following OU(s)
    deployment_targets:
      organizational_units: #array of strings
        - Custom
        - Sandbox

  - name: transit-network
    resource_file: templates/transit-gateway.template
    parameter_file: parameters/transit-gateway.json
    deploy_method: stack_set
    deployment_targets:
      accounts: # array of strings, [0-9]{12}
        - Prod
        - 123456789123 #Network
      organizational_units: #array of strings
        - Custom
    export_outputs:
      - name: /org/network/transit-gateway-id
        value: $[output_TransitGatewayID]
    regions:
      - us-east-1
```

## 2단계: 폴더 구조 업데이트
<a name="cfct-byo-cfn-stacksets-step-2"></a>

폴더 구조를 업데이트할 때 모든 지원 CloudFormation 템플릿 파일과 매니페스트 파일에 있는 SCP 또는 RCP 정책 파일을 포함할 수 있습니다. 파일 경로가 매니페스트 파일에 제공된 것과 일치하는지 확인합니다.
+ *템플릿* 파일에는 OU 및 계정에 배포할 AWS 리소스가 포함되어 있습니다. OUs 
+ *정책* 파일에는 템플릿 파일에 사용되는 입력 파라미터가 포함됩니다.

다음 예제는 [1단계](#cfcn-byo-cfn-stacksets-step-1)에서 생성된 샘플 매니페스트 파일의 폴더 구조를 보여줍니다.

```
- manifest.yaml
- policies/
   - block-s3-public.json
- templates/
   - transit-gateway.template
```

# 'alfred' 헬퍼 및 CloudFormation 파라미터 파일
<a name="alfred-helper"></a>

 CfCT는 CloudFormation 템플릿에 정의된 [SSM 파라미터 스토어](https://docs.aws.amazon.com//systems-manager/latest/userguide/systems-manager-parameter-store.html) 키의 값을 가져오는 *alfred* 헬퍼라는 메커니즘을 제공합니다. *alfred* 헬퍼를 사용하면 CloudFormation 템플릿을 업데이트하지 않고도 SSM 파라미터 스토어 및에 저장된 값을 사용할 수 있습니다. 자세한 내용은 *CloudFormation 사용 설명서*의 [CloudFormation 템플릿이란 무엇입니까?](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/gettingstarted.templatebasics.html#gettingstarted.templatebasics.what)를 참조하세요.

**중요**  
 *alfred* 헬퍼에는 두 가지 제한 사항이 있습니다. 파라미터는 AWS Control Tower 관리 계정의 홈 리전에서만 사용할 수 있습니다. 스택 인스턴스별로 변경되지 않는 값을 사용하는 것이 좋습니다. 'alfred' 헬퍼가 파라미터를 검색할 때 변수를 내보내는 스택 세트에서 무작위로 스택 인스턴스를 선택합니다.

## 예제
<a name="w2aac28c41c15c13b7"></a>

 CloudFormation 스택 세트가 두 개 있다고 가정해 보겠습니다. *스택 세트 1*에는 스택 인스턴스가 하나 있으며 한 리전의 계정 하나에 배포됩니다. 이는 가용 영역에 Amazon VPC 및 서브넷을 생성하고 `VPC ID` 및 `subnet ID`는 파라미터 값으로 *스택 세트 2*에 전달되어야 합니다. `VPC ID` 및 `subnet ID`를 *스택 세트 2*에 전달하려면 먼저 `AWS:::SSM::Parameter`를 사용하여 `VPC ID` 및 `subnet ID`를 *스택 세트 1*에 저장해야 합니다. 자세한 내용은CloudFormation 사용 설명서**의 [https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-ssm-parameter.html](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-ssm-parameter.html)를 참조하세요.

**CloudFormation 스택 세트 1:**

 다음 코드 조각에서 *alfred* 헬퍼는 Parameter Store에서 `VPC ID` 및 `subnet ID`에 대한 값을 가져와 StackSet 상태 시스템에 입력으로 전달할 수 있습니다.

```
VpcIdParameter:
    Type: AWS::SSM::Parameter
    Properties:
      Name: '/stack_1/vpc/id'
      Description: Contains the VPC id
      Type: String
      Value: !Ref MyVpc

SubnetIdParameter:
    Type: AWS::SSM::Parameter
    Properties:
      Name: '/stack_1/subnet/id'
      Description: Contains the subnet id
      Type: String
      Value: !Ref MySubnet
```

**CloudFormation 스택 세트 2:**

 코드 조각은 CloudFormation 스택 2 `manifest.yaml` 파일에 지정된 파라미터를 보여줍니다.

```
parameters:
      - parameter_key: VpcId
        parameter_value: $[alfred_ssm_/stack_1/vpc/id]
      - parameter_key: SubnetId
        parameter_value: $[alfred_ssm_/stack_1/subnet/id]
```

**CloudFormation 스택 세트 2.1:**

 다음 코드 조각은 *CommaDelimitedList* 유형의 파라미터를 지원하는 `alfred_ssm` 속성을 나열할 수 있음을 보여줍니다. 자세한 내용은CloudFormation 사용 설명서**의 [https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/parameters-section-structure.html#parameters-section-structure-properties-type](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/parameters-section-structure.html#parameters-section-structure-properties-type)를 참조하세요.

```
parameters:
      - parameter_key: VpcId # Type: String
        parameter_value: $[alfred_ssm_/stack_1/vpc/id']
      - parameter_key: SubnetId # Type: String
        parameter_value: $[ alfred_ssm_/stack_1/subnet/id']
      - parameter_key: AvailablityZones # Type: CommaDelimitedList
        parameter_value:
  - "$[alfred_ssm_/availability_zone_1]"
 - "$[alfred_ssm_/availability_zone_2]"
```

**사용자 지정 패키지의 JSON 스키마**  
CfCT용 사용자 지정 패키지의 JSON 스키마는 [GitHub의 소스 코드 리포지토리](https://github.com/aws-solutions/aws-control-tower-customizations)에 있습니다. 이 스키마는 자주 사용하는 여러 개발 도구와 함께 사용할 수 있으며 자체 CfCT `manifest.yaml` 파일을 빌드할 때 오류를 줄이는 데 도움이 될 수 있습니다.