Políticas administradas para AWS Control Tower

AWS ControlTowerAccountServiceRolePolicy: actualización de una política actual

AWS Control Tower actualizó una política existente para mejorar la precisión de la validación de las condiciones de las EventBridge reglas de Amazon. La actualización cambia la events:detail-type condición de StringEquals a ForAllValues:StringEquals para controlar mejor la coincidencia de patrones de eventos y, al mismo tiempo, mantener los mismos permisos funcionales.

AWS ControlTowerAccountServiceRolePolicy: actualización de una política actual

AWS Control Tower agregó una nueva política que amplía los siguientes permisos:

AWS ControlTowerServiceRolePolicy— Política gestionada actualizada

AWS Control Tower actualizó el patrón de recursos de Amazon CloudWatch Logs AWS ControlTowerServiceRolePolicy para admitir la AWS CloudTrail integración opcional de Landing Zone 4.0. El patrón cambió de aws-controltower/CloudTrailLogs:* a y, despuésaws-controltower/CloudTrailLogs*:*, se agregó un carácter comodín CloudTrailLogs para permitir la administración de grupos de registros con cualquier sufijo.

Esta actualización habilita la AWS CloudTrail integración opcional de Landing Zone 4.0, que permite a los clientes activar y desactivar AWS CloudTrail la integración varias veces. Cada vez que se habilita la integración, los grupos de CloudWatch registros de Amazon Logs se vuelven a crear con sufijos únicos para evitar conflictos de nombres. La actualización es compatible con versiones anteriores de las implementaciones existentes.

AWS ControlTowerCloudTrailRolePolicy – Nueva política administrada

AWS Control Tower introdujo la política AWS ControlTowerCloudTrailRolePolicy administrada, que permite CloudTrail crear flujos de registro y publicar eventos de registro en grupos de CloudWatch registros de Amazon Logs administrados por Control Tower.

Esta política gestionada sustituye a la política en línea que utilizaba anteriormente AWS ControlTowerCloudTrailRole, lo que permite AWS actualizar la política sin la intervención del cliente. El objetivo de la política es registrar grupos con nombres que coincidan con el patrón. aws-controltower/CloudTrailLogs*

AWS ControlTowerIdentityCenterManagementPolicy: una política nueva

AWS Control Tower ha agregado una nueva política que permite a los clientes configurar los recursos del IAM Identity Center en cuentas que están inscritas en AWS Control Tower y permite a AWS Control Tower corregir algunos tipos de desviación al inscribir cuentas automáticamente.

Este cambio es necesario para que los clientes puedan configurar el IAM Identity Center en AWS Control Tower y para que AWS Control Tower pueda corregir la desviación de inscripción automática.

AWS ControlTowerServiceRolePolicy: actualización de una política actual

AWS Control Tower agregó nuevos CloudFormation permisos que permiten a AWS Control Tower consultar e implementar recursos de conjuntos apilados en las cuentas de los miembros al inscribir automáticamente las cuentas en la Torre de Control de AWS.

AWS ControlTowerServiceRolePolicy: actualización de una política actual

AWS Control Tower agregó nuevos permisos que permiten a los clientes habilitar y deshabilitar las reglas vinculadas a servicios AWS Config .

Este cambio es necesario para que los clientes puedan administrar controles que implementan reglas de Config.

AWS ControlTowerServiceRolePolicy: actualización de una política actual

AWS Control Tower agregó nuevos permisos que permiten a AWS Control Tower realizar llamadas al AWS CloudFormation servicio APIs ActivateType DeactivateTypeSetTypeConfiguration, AWS::ControlTower types etc.

Este cambio permite a los clientes aprovisionar controles proactivos sin necesidad de implementar tipos CloudFormation de enlaces privados.

AWS ControlTowerAccountServiceRolePolicy: una política nueva

AWS Control Tower agregó una nueva función vinculada a un servicio que permite a AWS Control Tower crear y administrar reglas de eventos y, en función de esas reglas, administrar la detección de desviaciones para los controles relacionados con Security Hub CSPM.

Este cambio es necesario para que los clientes puedan ver los recursos desviados en la consola, cuando esos recursos están relacionados con los controles CSPM de Security Hub que forman parte del estándar gestionado por el servicio CSPM de Security Hub: AWS Control Tower.

AWS ControlTowerServiceRolePolicy: actualización de una política actual

AWS Control Tower agregó nuevos permisos que permiten a AWS Control Tower realizar llamadas al servicio de administración de cuentas EnableRegionListRegions, e GetRegionOptStatus APIs implementados por el servicio de administración de AWS cuentas, para que la suscripción Regiones de AWS esté disponible para las cuentas de los clientes en la zona de aterrizaje (cuenta de administración, cuenta de archivo de registros, cuenta de auditoría, cuentas de miembros de la OU).

Este cambio es necesario para que los clientes puedan tener la opción de ampliar la gobernanza de las regiones de inscripción de AWS Control Tower.

AWS ControlTowerServiceRolePolicy: actualización de una política actual

AWS Control Tower añadió permisos nuevos para poder asumir el rol AWSControlTowerBlueprintAccess en la cuenta de esquema (principal), que es una cuenta dedicada en una organización que contiene esquemas predefinidos almacenados en uno o varios productos de Service Catalog. AWS Control Tower asume el rol AWSControlTowerBlueprintAccess para realizar tres tareas: crear una cartera de Service Catalog, añadir el producto esquema solicitado y compartir la cartera con una cuenta de miembro solicitada en el momento del aprovisionamiento de la cuenta.

Este cambio es necesario para que los clientes puedan aprovisionar cuentas personalizadas a través del generador de cuentas de AWS Control Tower.

AWS ControlTowerServiceRolePolicy: actualización de una política actual

AWS Control Tower agregó nuevos permisos que permiten a los clientes configurar AWS CloudTrail rutas a nivel de organización, a partir de la versión 3.0 de landing zone.

La CloudTrail función basada en la organización requiere que los clientes tengan habilitado el acceso de confianza al CloudTrail servicio y que el usuario o rol de IAM tenga permiso para crear un registro a nivel de organización en la cuenta de administración.

AWS ControlTowerServiceRolePolicy: actualización de una política actual

AWS Control Tower añadió permisos nuevos que permiten a los clientes utilizar el cifrado de claves KMS.

La función KMS permite a los clientes proporcionar su propia clave de KMS para cifrar sus registros. CloudTrail Los clientes también pueden cambiar la clave de KMS durante la actualización o reparación de la zona de aterrizaje. Al actualizar la clave KMS, AWS CloudFormation necesita permisos para llamar a la AWS CloudTrail PutEventSelector API. El cambio en la política consiste en permitir que el AWS ControlTowerAdminrol llame a la AWS CloudTrail PutEventSelector API.

AWS Control Tower comenzó a realizar el seguimiento de los cambios

AWS Control Tower comenzó a realizar un seguimiento de los cambios en sus políticas AWS administradas.