Políticas administradas para AWS Control Tower

AWS aborda muchos casos de uso comunes dando políticas de IAM independientes creadas y administradas por AWS. Las políticas administradas conceden los permisos necesarios para casos de uso comunes, lo que le evita tener que investigar los permisos que se necesitan. Para más información, consulte Políticas administradas de AWS en la Guía del usuario de IAM.

Cambio	Descripción	Fecha
AWSControlTowerIdentityCenterManagementPolicy: una política nueva	AWS Control Tower ha agregado una nueva política que permite a los clientes configurar los recursos del IAM Identity Center en cuentas que están inscritas en AWS Control Tower y permite a AWS Control Tower corregir algunos tipos de desviación al inscribir cuentas automáticamente. Este cambio es necesario para que los clientes puedan configurar el IAM Identity Center en AWS Control Tower y para que AWS Control Tower pueda corregir la desviación de inscripción automática.	10 de octubre de 2025
AWSControlTowerServiceRolePolicy: actualización de una política actual	AWS Control Tower ha agregado nuevos permisos de CloudFormation que permiten a AWS Control Tower consultar e implementar recursos de conjuntos de pilas en cuentas de miembros al inscribir automáticamente las cuentas en AWS Control Tower.	10 de octubre de 2025
AWSControlTowerServiceRolePolicy: actualización de una política actual	AWS Control Tower ha agregado nuevos permisos que permiten a los clientes habilitar y deshabilitar reglas de AWS Config vinculadas a servicios. Este cambio es necesario para que los clientes puedan administrar controles que implementan reglas de Config.	5 de junio de 2025
AWSControlTowerServiceRolePolicy: actualización de una política actual	AWS Control Tower ha agregado nuevos permisos que permiten a AWS Control Tower realizar llamadas a las API de servicio de AWS CloudFormation `ActivateType`, `DeactivateType` y `SetTypeConfiguration` en `AWS::ControlTower types`. Este cambio permite a los clientes aprovisionar controles proactivos sin necesidad de implementar tipos de enlaces privados de CloudFormation.	10 de diciembre de 2024
AWSControlTowerAccountServiceRolePolicy: una política nueva	AWS Control Tower añadió un rol nuevo vinculado al servicio que permite a AWS Control Tower crear y administrar reglas de eventos y, en función de esas reglas, administrar la detección de desviaciones de los controles relacionados con Security Hub. Este cambio es necesario para que los clientes puedan ver los recursos desviados en la consola, cuando dichos recursos están relacionados con controles de Security Hub que forman parte del Estándar administrado por servicios de Security Hub: AWS Control Tower.	22 de mayo de 2023
AWSControlTowerServiceRolePolicy: actualización de una política actual	AWS Control Tower añadió permisos nuevos que permiten a AWS Control Tower realizar llamadas a las API `EnableRegion`, `ListRegions` y `GetRegionOptStatus` implementadas por el servicio de administración de cuentas de AWS para que las Regiones de AWS registradas estén disponibles para las cuentas de cliente en la zona de aterrizaje (cuenta de administración, cuenta de archivo de registros, cuenta de auditoría y cuentas de miembro de OU). Este cambio es necesario para que los clientes puedan tener la opción de ampliar la gobernanza de las regiones de inscripción de AWS Control Tower.	6 de abril de 2023
AWSControlTowerServiceRolePolicy: actualización de una política actual	AWS Control Tower añadió permisos nuevos para poder asumir el rol `AWSControlTowerBlueprintAccess` en la cuenta de esquema (principal), que es una cuenta dedicada en una organización que contiene esquemas predefinidos almacenados en uno o varios productos de Service Catalog. AWS Control Tower asume el rol `AWSControlTowerBlueprintAccess` para realizar tres tareas: crear una cartera de Service Catalog, añadir el producto esquema solicitado y compartir la cartera con una cuenta de miembro solicitada en el momento del aprovisionamiento de la cuenta. Este cambio es necesario para que los clientes puedan aprovisionar cuentas personalizadas a través del generador de cuentas de AWS Control Tower.	28 de octubre de 2022
AWSControlTowerServiceRolePolicy: actualización de una política actual	AWS Control Tower añadió permisos nuevos que permiten a los clientes configurar registros de seguimiento de AWS CloudTrail por organización a partir de la versión 3.0 de la zona de aterrizaje. La característica de CloudTrail basada en la organización requiere que los clientes tengan habilitado el acceso de confianza para el servicio de CloudTrail y que el usuario o rol de IAM tenga permiso para crear un registro de seguimiento por organización en la cuenta de administración.	20 de junio de 2022
AWSControlTowerServiceRolePolicy: actualización de una política actual	AWS Control Tower añadió permisos nuevos que permiten a los clientes utilizar el cifrado de claves KMS. La característica de KMS permite a los clientes proporcionar una clave de KMS propia para cifrar los registros de CloudTrail. Los clientes también pueden cambiar la clave de KMS durante la actualización o reparación de la zona de aterrizaje. Al actualizar la clave de KMS, AWS CloudFormation necesita permisos para llamar a la API `PutEventSelector` de AWS CloudTrail. El cambio en la política consiste en permitir que el rol AWSControlTowerAdmin llame a la API `PutEventSelector` de AWS CloudTrail.	28 de julio de 2021
AWS Control Tower comenzó a realizar el seguimiento de los cambios	AWS Control Tower comenzó a realizar el seguimiento de los cambios de las políticas administradas de AWS.	27 de mayo de 2021

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Permisos necesarios para utilizar la consola de AWS Control Tower

Seguridad