Verwaltete Richtlinien für AWS Control Tower

AWS ControlTowerAccountServiceRolePolicy – Aktualisierung auf eine bestehende Richtlinie

AWS Control Tower hat eine bestehende Richtlinie aktualisiert, um die Validierungsgenauigkeit für EventBridge Amazon-Regelbedingungen zu verbessern. Durch das Update wird die events:detail-type Bedingung von StringEquals ForAllValues:StringEquals nach verschoben, um die Kontrolle über den Abgleich von Ereignismustern zu verbessern und gleichzeitig dieselben funktionalen Berechtigungen beizubehalten.

AWS ControlTowerAccountServiceRolePolicy – Aktualisierung auf eine bestehende Richtlinie

AWS Control Tower hat eine neue Richtlinie hinzugefügt, die die folgenden Berechtigungen erweitert:

AWS ControlTowerServiceRolePolicy— Die verwaltete Richtlinie wurde aktualisiert

AWS Control Tower hat das Amazon CloudWatch Logs-Ressourcenmuster in der aktualisiert AWS ControlTowerServiceRolePolicy , um die optionale AWS CloudTrail Integration von Landing Zone 4.0 zu unterstützen. Das Muster wurde von aws-controltower/CloudTrailLogs:* zu geändert und danach wurde ein Platzhalterzeichen hinzugefügtaws-controltower/CloudTrailLogs*:*, CloudTrailLogs um die Verwaltung von Protokollgruppen mit einem beliebigen Suffix zu ermöglichen.

Dieses Update ermöglicht die optionale AWS CloudTrail Integration von Landing Zone 4.0, sodass Kunden die AWS CloudTrail Integration mehrfach aktivieren und deaktivieren können. Bei jeder Aktivierung der Integration werden Amazon CloudWatch Logs-Protokollgruppen mit eindeutigen Suffixen neu erstellt, um Namenskonflikte zu vermeiden. Das Update ist abwärtskompatibel mit bestehenden Bereitstellungen.

AWS ControlTowerCloudTrailRolePolicy— Neue verwaltete Richtlinie

AWS Control Tower führte die AWS ControlTowerCloudTrailRolePolicy verwaltete Richtlinie ein, die es ermöglicht, Protokollstreams CloudTrail zu erstellen und Protokollereignisse in von Control Tower verwalteten Amazon CloudWatch Logs-Protokollgruppen zu veröffentlichen.

Diese verwaltete Richtlinie ersetzt die zuvor von der verwendete Inline-Richtlinie AWS ControlTowerCloudTrailRole, sodass die Richtlinie ohne AWS Kundeneingriff aktualisiert werden kann. Die Richtlinie ist darauf beschränkt, Gruppen zu protokollieren, deren Namen dem Muster entsprechen. aws-controltower/CloudTrailLogs*

AWS ControlTowerIdentityCenterManagementPolicy— Eine neue Richtlinie

AWS Control Tower hat eine neue Richtlinie hinzugefügt, die es Kunden ermöglicht, IAM Identity Center-Ressourcen in Konten zu konfigurieren, die bei AWS Control Tower registriert sind, und die es AWS Control Tower ermöglicht, einige Arten von Abweichungen bei der automatischen Registrierung von Konten zu beheben.

Diese Änderung ist erforderlich, damit Kunden das IAM Identity Center in AWS Control Tower konfigurieren können und damit AWS Control Tower Abweichungen bei der automatischen Registrierung beheben kann.

AWS ControlTowerServiceRolePolicy – Aktualisierung auf eine bestehende Richtlinie

AWS Control Tower hat neue CloudFormation Berechtigungen hinzugefügt, die es AWS Control Tower ermöglichen, Stack-Set-Ressourcen abzufragen und für Mitgliedskonten bereitzustellen, wenn die Konten automatisch bei AWS Control Tower registriert werden.

AWS ControlTowerServiceRolePolicy – Aktualisierung auf eine bestehende Richtlinie

AWS Control Tower hat neue Berechtigungen hinzugefügt, die es Kunden ermöglichen, serviceverknüpfte AWS Config Regeln zu aktivieren und zu deaktivieren.

Diese Änderung ist erforderlich, damit Kunden die Kontrollen verwalten können, die durch Config-Regeln bereitgestellt werden.

AWS ControlTowerServiceRolePolicy – Aktualisierung auf eine bestehende Richtlinie

AWS Control Tower hat neue Berechtigungen hinzugefügt, die es AWS Control Tower ermöglichen, Aufrufe an den AWS CloudFormation Service APIs ActivateType,DeactivateType, undSetTypeConfiguration, zu tätigenAWS::ControlTower types.

Diese Änderung ermöglicht es Kunden, proaktive Kontrollen bereitzustellen, ohne private CloudFormation Hook-Typen einsetzen zu müssen.

AWS ControlTowerAccountServiceRolePolicy— Eine neue Richtlinie

AWS Control Tower hat eine neue servicebezogene Rolle hinzugefügt, die es AWS Control Tower ermöglicht, Ereignisregeln zu erstellen und zu verwalten und auf der Grundlage dieser Regeln die Drifterkennung für Kontrollen zu verwalten, die sich auf Security Hub CSPM beziehen.

Diese Änderung ist erforderlich, damit Kunden Drifting-Ressourcen in der Konsole sehen können, wenn diese Ressourcen mit Security Hub CSPM-Steuerungen zusammenhängen, die Teil des Security Hub CSPM Service-Managed Standard: AWS Control Tower sind.

AWS ControlTowerServiceRolePolicy – Aktualisierung auf eine bestehende Richtlinie

AWS Control Tower hat neue Berechtigungen hinzugefügt, die es AWS Control Tower ermöglichen, Anrufe an den EnableRegionListRegions, und vom AWS Account Management Service GetRegionOptStatus APIs implementiert, zu tätigen, um das Opt-In für Kundenkonten in der landing zone (Verwaltungskonto, Protokollarchivkonto, Auditkonto, OU-Mitgliedskonten) AWS-Regionen verfügbar zu machen.

Diese Änderung ist erforderlich, damit Kunden die Möglichkeit haben, die Regionsverwaltung durch AWS Control Tower auf die Opt-in-Regionen auszudehnen.

AWS ControlTowerServiceRolePolicy – Aktualisierung auf eine bestehende Richtlinie

AWS Control Tower hat neue Berechtigungen hinzugefügt, die es AWS Control Tower ermöglichen, die AWSControlTowerBlueprintAccess Rolle im Blueprint-Konto (Hub) zu übernehmen. Dabei handelt es sich um ein dediziertes Konto in einer Organisation, das vordefinierte Blueprints enthält, die in einem oder mehreren Service Catalog-Produkten gespeichert sind. AWS Control Tower übernimmt die AWSControlTowerBlueprintAccess Aufgabe, drei Aufgaben auszuführen: ein Servicekatalog-Portfolio zu erstellen, das angeforderte Blueprint-Produkt hinzuzufügen und das Portfolio zum Zeitpunkt der Kontobereitstellung für ein angefordertes Mitgliedskonto freizugeben.

Diese Änderung ist erforderlich, damit Kunden benutzerdefinierte Konten über AWS Control Tower Account Factory bereitstellen können.

AWS ControlTowerServiceRolePolicy – Aktualisierung auf eine bestehende Richtlinie

AWS Control Tower hat ab landing zone Version 3.0 neue Berechtigungen hinzugefügt, mit denen Kunden AWS CloudTrail Trails auf Organisationsebene einrichten können.

Für die organisationsbasierte CloudTrail Funktion müssen Kunden den vertrauenswürdigen Zugriff für den CloudTrail Service aktiviert haben, und der IAM-Benutzer oder die IAM-Rolle muss über die Berechtigung verfügen, im Verwaltungskonto einen Trail auf Organisationsebene zu erstellen.

AWS ControlTowerServiceRolePolicy – Aktualisierung auf eine bestehende Richtlinie

AWS Control Tower hat neue Berechtigungen hinzugefügt, die es Kunden ermöglichen, die KMS-Schlüsselverschlüsselung zu verwenden.

Die KMS-Funktion ermöglicht es Kunden, ihren eigenen KMS-Schlüssel zur Verschlüsselung ihrer CloudTrail Protokolle anzugeben. Kunden können den KMS-Schlüssel auch während der Aktualisierung oder Reparatur der landing zone ändern. Für die Aktualisierung des KMS-Schlüssels sind AWS CloudFormation Berechtigungen zum Aufrufen der AWS CloudTrail PutEventSelector API erforderlich. Die Änderung der Richtlinie besteht darin, der AWS ControlTowerAdminRolle das Aufrufen der AWS CloudTrail PutEventSelector API zu ermöglichen.

AWS Control Tower hat begonnen, Änderungen zu verfolgen

AWS Control Tower begann, Änderungen an seinen AWS verwalteten Richtlinien nachzuverfolgen.