Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Menggunakan kebijakan berbasis identitas (kebijakan IAM) untuk AWS Control Tower
Topik ini memberikan contoh kebijakan berbasis identitas yang menunjukkan bagaimana administrator akun dapat melampirkan kebijakan izin ke identitas IAM (yaitu, pengguna, grup, dan peran) dan dengan demikian memberikan izin untuk melakukan operasi pada sumber daya AWS Control Tower.
**penting**
Kami menyarankan Anda terlebih dahulu meninjau topik pengantar yang menjelaskan konsep dasar dan opsi yang tersedia bagi Anda untuk mengelola akses ke sumber daya AWS Control Tower Anda. Untuk informasi selengkapnya, lihat [Gambaran umum tentang mengelola izin akses ke sumber daya AWS Control Tower Anda](access-control-overview.md).
# Izin Diperlukan untuk menggunakan konsol AWS Control Tower
AWS Control Tower membuat tiga peran secara otomatis saat Anda menyiapkan landing zone. Ketiga peran tersebut diperlukan untuk memungkinkan akses konsol. AWS Control Tower membagi izin menjadi tiga peran sebagai praktik terbaik untuk membatasi akses ke serangkaian tindakan dan sumber daya minimal.
**Tiga peran yang diperlukan untuk akses landing zone**
+ [AWS ControlTowerAdmin peran](access-control-managing-permissions.md#AWSControlTowerAdmin)
+ [AWS ControlTowerStackSetRole](access-control-managing-permissions.md#AWSControlTowerStackSetRole)
Kami menyarankan Anda membatasi akses ke kebijakan kepercayaan peran Anda untuk peran ini. Untuk informasi selengkapnya, lihat [Ketentuan opsional untuk hubungan kepercayaan peran Anda](https://docs.aws.amazon.com//controltower/latest/userguide/conditions-for-role-trust.html).
## Lihat Katalog Kontrol di konsol
Untuk melihat informasi kontrol di konsol AWS Control Tower, Anda harus menambahkan `controlcatalog` izin tambahan ke kebijakan IAM Anda. Izin ini adalah sebagai berikut:
+ `controlcatalog:GetControl`
+ `controlcatalog:ListControls`
+ `controlcatalog:ListControlMappings`
+ `controlcatalog:ListCommonControls`
Berikut adalah contoh yang menunjukkan izin yang diperbarui dalam kebijakan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"controlcatalog:GetControl",
"controlcatalog:ListControls",
"controlcatalog:ListControlMappings",
"controlcatalog:ListCommonControls"
],
"Resource": [
"*"
],
"Effect": "Allow"
}
]
}
```
------
Anda harus menambahkan izin ini karena AWS Control Tower memanggil `controlcatalog` APIs untuk mengambil metadata kontrol tertentu, sehingga izin AWS Control Tower tidak cukup.
Untuk menemukan informasi selengkapnya tentang cara memperbarui izin, lihat [Membuat peran dan menetapkan](https://docs.aws.amazon.com//controltower/latest/userguide/assign-permissions.html) izin.
Untuk menemukan informasi selengkapnya tentang tindakan `controlcatalog` IAM, lihat [Tindakan, sumber daya, dan kunci kondisi untuk Katalog Kontrol](https://docs.aws.amazon.com//service-authorization/latest/reference/list_awscontrolcatalog.html).
**catatan**
Informasi kontrol tersedia melalui [Katalog Kontrol APIs](https://docs.aws.amazon.com/controlcatalog/latest/APIReference/Welcome.html).
## AWS ControlTowerAdmin peran
Peran ini memberi AWS Control Tower akses ke infrastruktur yang penting untuk mempertahankan landing zone. `AWS ControlTowerAdmin`Peran tersebut membutuhkan kebijakan terkelola terlampir dan kebijakan kepercayaan peran untuk peran IAM. *Kebijakan kepercayaan peran adalah kebijakan* berbasis sumber daya, yang menentukan prinsip mana yang dapat mengambil peran tersebut.
Berikut contoh cuplikan untuk kebijakan kepercayaan peran ini:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "controltower.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Untuk membuat peran ini dari AWS CLI, dan memasukkannya ke dalam file bernama`trust.json`, berikut adalah contoh perintah CLI:
```
aws iam create-role --role-name AWSControlTowerAdmin --path /service-role/ --assume-role-policy-document file://trust.json
```
Peran ini membutuhkan dua kebijakan IAM.
1. Kebijakan inline, misalnya:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:DescribeAvailabilityZones",
"Resource": "*"
}
]
}
```
------
1. Kebijakan terkelola yang mengikuti, yaitu`AWS ControlTowerServiceRolePolicy`.
## AWS ControlTowerServiceRolePolicy
**AWS ControlTowerServiceRolePolicy**Ini adalah kebijakan AWS terkelola yang mendefinisikan izin untuk membuat dan mengelola sumber daya AWS Control Tower, seperti AWS CloudFormation stackset dan instance tumpukan, file AWS CloudTrail log, agregator konfigurasi untuk AWS Control Tower, AWS Organizations serta akun dan unit organisasi OUs () yang diatur oleh AWS Control Tower.
Pembaruan kebijakan terkelola ini dirangkum dalam tabel,[Kebijakan terkelola untuk AWS Control Tower](managed-policies-table.md).
Untuk informasi selengkapnya, lihat [AWS ControlTowerServiceRolePolicy](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSControlTowerServiceRolePolicy.html)di *Panduan Referensi Kebijakan AWS Terkelola*.
Kebijakan kepercayaan peran:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"controltower.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Kebijakan inline adalah`AWS ControlTowerAdminPolicy`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": "ec2:DescribeAvailabilityZones",
"Resource": "*",
"Effect": "Allow"
}
]
}
```
------
## AWS ControlTowerIdentityCenterManagementPolicy
Kebijakan ini memberikan izin untuk mengonfigurasi sumber daya Pusat Identitas IAM (IDC) di akun anggota yang terdaftar dengan AWS Control Tower. Saat Anda memilih Pusat Identitas IAM sebagai penyedia identitas Anda selama penyiapan (atau pembaruan) landing zone di AWS Control Tower, kebijakan ini dilampirkan ke `AWS ControlTowerAdmin` peran tersebut.
Untuk melihat detail selengkapnya tentang kebijakan, termasuk versi terbaru dari dokumen kebijakan JSON, lihat [AWS ControlTowerIdentityCenterManagementPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSControlTowerIdentityCenterManagementPolicy.html)di *Panduan Referensi Kebijakan AWS Terkelola*.
## AWS ControlTowerStackSetRole
CloudFormation mengasumsikan peran ini untuk menerapkan set tumpukan di akun yang dibuat oleh AWS Control Tower. Kebijakan Inline:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"sts:AssumeRole"
],
"Resource": [
"arn:aws:iam::*:role/AWSControlTowerExecution"
],
"Effect": "Allow"
}
]
}
```
------
**Kebijakan kepercayaan**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cloudformation.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
## AWS ControlTowerCloudTrailRolePolicy
AWS Control Tower memungkinkan CloudTrail sebagai praktik terbaik dan menyediakan peran ini CloudTrail. CloudTrail mengasumsikan peran ini untuk membuat dan menerbitkan CloudTrail log.
**Kebijakan Terkelola:** `AWS ControlTowerCloudTrailRolePolicy`
Peran ini menggunakan kebijakan yang AWS dikelola`AWS ControlTowerCloudTrailRolePolicy`, yang memberikan CloudTrail izin yang diperlukan untuk mempublikasikan CloudWatch log audit ke Amazon Logs atas nama AWS Control Tower. Kebijakan terkelola ini menggantikan kebijakan inline yang sebelumnya digunakan untuk peran ini, memungkinkan AWS untuk memperbarui kebijakan tanpa campur tangan pelanggan.
Untuk informasi selengkapnya, lihat [AWS ControlTowerCloudTrailRolePolicy](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSControlTowerCloudTrailRolePolicy.html)di *Panduan Referensi Kebijakan AWS Terkelola*.
Pembaruan kebijakan terkelola ini dirangkum dalam tabel,[Kebijakan terkelola untuk AWS Control Tower](managed-policies-table.md).
**catatan**
Sebelum memperkenalkan kebijakan terkelola, peran ini menggunakan kebijakan inline dengan izin yang setara. Kebijakan inline telah digantikan oleh kebijakan terkelola untuk mengaktifkan pembaruan yang mulus.
**Kebijakan Inline Sebelumnya (untuk referensi):**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": "logs:CreateLogStream",
"Resource": "arn:aws:logs:*:*:log-group:aws-controltower/CloudTrailLogs:*",
"Effect": "Allow"
},
{
"Action": "logs:PutLogEvents",
"Resource": "arn:aws:logs:*:*:log-group:aws-controltower/CloudTrailLogs:*",
"Effect": "Allow"
}
]
}
```
------
**Kebijakan kepercayaan**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
## AWS ControlTowerBlueprintAccess persyaratan peran
AWS Control Tower mengharuskan Anda untuk membuat `AWS ControlTowerBlueprintAccess` peran di akun hub cetak biru yang ditentukan, dalam organisasi yang sama.
**Nama peran**
Nama peran harus`AWS ControlTowerBlueprintAccess`.
**Kebijakan kepercayaan peran**
Peran harus diatur untuk mempercayai prinsip-prinsip berikut:
+ Prinsipal yang menggunakan AWS Control Tower di akun manajemen.
+ `AWS ControlTowerAdmin`Peran dalam akun manajemen.
Contoh berikut menunjukkan kebijakan kepercayaan hak istimewa paling sedikit. Saat Anda membuat kebijakan sendiri, ganti istilah *YourManagementAccountId* dengan ID acccount aktual akun manajemen AWS Control Tower Anda, dan ganti istilah tersebut *YourControlTowerUserRole* dengan pengenal peran IAM untuk akun manajemen Anda.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/service-role/AWSControlTowerAdmin",
"arn:aws:iam::111122223333:role/YourControlTowerUserRole"
]
},
"Action": "sts:AssumeRole",
"Condition": {}
}
]
}
```
------
**Izin peran**
Anda diminta untuk melampirkan kebijakan yang dikelola **AWSServiceCatalogAdminFullAccess**ke peran tersebut.
## AWSServiceRoleForAWSControlMenara
Peran ini memberi AWS Control Tower akses ke akun Arsip Log, akun Audit, dan akun anggota, untuk operasi yang penting untuk mempertahankan landing zone, seperti memberi tahu Anda tentang sumber daya yang hanyut.
`AWS ServiceRoleFor AWS ControlTower`Peran tersebut membutuhkan kebijakan terkelola terlampir dan kebijakan kepercayaan peran untuk peran IAM.
**Kebijakan terkelola untuk peran ini:** `AWS ControlTowerAccountServiceRolePolicy`
Kebijakan kepercayaan peran:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "controltower.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
## AWS ControlTowerAccountServiceRolePolicy
Kebijakan yang AWS dikelola ini memungkinkan AWS Control Tower memanggil AWS layanan yang menyediakan konfigurasi akun otomatis dan tata kelola terpusat atas nama Anda.
Kebijakan ini berisi izin minimum AWS Control Tower untuk menerapkan penerusan AWS Security Hub CSPM temuan untuk sumber daya yang dikelola oleh kontrol CSPM Security Hub yang merupakan bagian dari **Standar yang dikelola Layanan CSPM Security Hub: AWS Control Tower**, dan mencegah perubahan yang membatasi kemampuan mengelola akun pelanggan. Ini adalah bagian dari proses deteksi AWS Security Hub CSPM drift latar belakang yang tidak secara langsung diprakarsai oleh pelanggan.
Kebijakan ini memberikan izin untuk membuat EventBridge aturan Amazon, khususnya untuk kontrol CSPM Security Hub, di setiap akun anggota, dan aturan ini harus menentukan persisnya. EventPattern Selain itu, aturan hanya dapat beroperasi berdasarkan aturan yang dikelola oleh prinsipal layanan kami.
**Prinsipal layanan:** `controltower.amazonaws.com`
Untuk informasi selengkapnya, lihat [AWS ControlTowerAccountServiceRolePolicy](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSControlTowerAccountServiceRolePolicy.html)di *Panduan Referensi Kebijakan AWS Terkelola*.
Pembaruan kebijakan terkelola ini dirangkum dalam tabel,[Kebijakan terkelola untuk AWS Control Tower](managed-policies-table.md).
# Kebijakan terkelola untuk AWS Control Tower
AWS mengatasi banyak kasus penggunaan umum dengan menyediakan kebijakan IAM mandiri yang dibuat dan dikelola oleh. AWS Kebijakan terkelola memberikan izin yang diperlukan untuk kasus penggunaan umum sehingga Anda tidak perlu menyelidiki izin apa yang diperlukan. Untuk informasi selengkapnya, lihat [Kebijakan Terkelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dalam *Panduan Pengguna IAM*.
| Ubah | Deskripsi | Tanggal |
| --- | --- | --- |
| [AWS ControlTowerAccountServiceRolePolicy](access-control-managing-permissions.md#account-service-role-policy) — Permbaruan ke kebijakan yang sudah ada | AWS Control Tower menambahkan izin baru yang memungkinkan AWS Control Tower melakukan panggilan ke API AWS CloudFormation layanan `BatchDescribeTypeConfigurations` untuk peningkatan internal pada kait terkait layanan. | Maret 23, 2026 |
| [AWS ControlTowerAccountServiceRolePolicy](access-control-managing-permissions.md#account-service-role-policy) – Pembaruan ke kebijakan yang ada | AWS Control Tower memperbarui kebijakan yang ada untuk meningkatkan presisi validasi untuk kondisi EventBridge aturan Amazon. Pembaruan memindahkan `events:detail-type` kondisi dari `StringEquals` ke `ForAllValues:StringEquals` untuk kontrol pencocokan pola peristiwa yang lebih baik sambil mempertahankan izin fungsional yang sama. | Desember 30, 2025 |
| [AWS ControlTowerAccountServiceRolePolicy](access-control-managing-permissions.md#account-service-role-policy) – Pembaruan ke kebijakan yang ada | AWS Control Tower menambahkan kebijakan baru yang memperluas izin berikut: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/controltower/latest/userguide/managed-policies-table.html) | November 10, 2025 |
| [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy)— Kebijakan terkelola yang diperbarui | AWS Control Tower memperbarui pola sumber daya Amazon CloudWatch Logs AWS ControlTowerServiceRolePolicy untuk mendukung AWS CloudTrail integrasi opsional Landing Zone 4.0. Pola berubah dari `aws-controltower/CloudTrailLogs:*` ke`aws-controltower/CloudTrailLogs*:*`, menambahkan karakter wildcard setelahnya `CloudTrailLogs` untuk memungkinkan pengelolaan grup log dengan akhiran apa pun. Pembaruan ini memungkinkan AWS CloudTrail integrasi opsional Landing Zone 4.0, yang memungkinkan pelanggan untuk mengaktifkan dan menonaktifkan AWS CloudTrail integrasi beberapa kali. Setiap kali integrasi diaktifkan, grup CloudWatch log Amazon Logs dibuat ulang dengan sufiks unik untuk menghindari konflik penamaan. Pembaruan kompatibel ke belakang dengan penerapan yang ada. | Oktober 31, 2025 |
| [AWS ControlTowerCloudTrailRolePolicy](access-control-managing-permissions.md#AWSControlTowerCloudTrailRolePolicy)— Kebijakan terkelola baru | AWS Control Tower memperkenalkan kebijakan AWS ControlTowerCloudTrailRolePolicy terkelola, yang memungkinkan CloudTrail untuk membuat aliran log dan mempublikasikan peristiwa log ke grup log CloudWatch Amazon Logs yang dikelola Menara Kontrol. Kebijakan terkelola ini menggantikan kebijakan inline yang sebelumnya digunakan oleh AWS ControlTowerCloudTrailRole, memungkinkan AWS untuk memperbarui kebijakan tanpa campur tangan pelanggan. Kebijakan ini dicakup untuk log grup dengan nama yang cocok dengan pola. `aws-controltower/CloudTrailLogs*` | Oktober 31, 2025 |
| [AWS ControlTowerIdentityCenterManagementPolicy](access-control-managing-permissions.md#AWSControlTowerIdentityCenterManagementPolicy)— Kebijakan baru | AWS Control Tower menambahkan kebijakan baru yang memungkinkan pelanggan mengonfigurasi sumber daya Pusat Identitas IAM di akun yang terdaftar di AWS Control Tower, dan memungkinkan AWS Control Tower untuk memulihkan beberapa jenis drift saat mendaftarkan akun secara otomatis. Perubahan ini diperlukan agar pelanggan dapat mengonfigurasi IAM Identity Center di AWS Control Tower, sehingga AWS Control Tower dapat memulihkan penyimpangan pendaftaran otomatis. | Oktober 10, 2025 |
| [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy) – Pembaruan ke kebijakan yang ada | AWS Control Tower menambahkan CloudFormation izin baru yang memungkinkan AWS Control Tower melakukan kueri dan menerapkan sumber daya set tumpukan ke akun anggota saat mendaftarkan akun secara otomatis ke AWS Control Tower. | Oktober 10, 2025 |
| [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy) – Pembaruan ke kebijakan yang ada | AWS Control Tower menambahkan izin baru yang memungkinkan pelanggan mengaktifkan dan menonaktifkan aturan terkait layanan AWS Config . Perubahan ini diperlukan agar pelanggan dapat mengelola kontrol yang diterapkan oleh aturan Config. | Juni 5, 2025 |
| [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy) – Pembaruan ke kebijakan yang ada | AWS Control Tower menambahkan izin baru yang memungkinkan AWS Control Tower melakukan panggilan ke AWS CloudFormation layanan APIs `ActivateType`,`DeactivateType`, dan`SetTypeConfiguration`, aktif. `AWS::ControlTower types` Perubahan ini memungkinkan pelanggan untuk menyediakan kontrol proaktif tanpa penerapan tipe CloudFormation Hook pribadi. | Desember 10, 2024 |
| [AWS ControlTowerAccountServiceRolePolicy](access-control-managing-permissions.md#account-service-role-policy)— Kebijakan baru | AWS Control Tower menambahkan peran terkait layanan baru yang memungkinkan AWS Control Tower membuat dan mengelola aturan peristiwa, dan berdasarkan aturan tersebut, untuk mengelola deteksi drift untuk kontrol yang terkait dengan Security Hub CSPM. Perubahan ini diperlukan agar pelanggan dapat melihat sumber daya yang hanyut di konsol, ketika sumber daya tersebut terkait dengan kontrol CSPM Security Hub yang merupakan bagian dari Security Hub CSPM Service-managed **Standard: AWS Control Tower**. | 22 Mei 2023 |
| [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy) – Pembaruan ke kebijakan yang ada | AWS Control Tower menambahkan izin baru yang memungkinkan AWS Control Tower melakukan panggilan ke`EnableRegion`,`ListRegions`, dan `GetRegionOptStatus` APIs diimplementasikan oleh layanan Manajemen AWS Akun, agar keikutsertaan Wilayah AWS tersedia untuk akun pelanggan di landing zone (Akun manajemen, akun arsip log, akun Audit, akun anggota OU). Perubahan ini diperlukan agar pelanggan dapat memiliki opsi untuk memperluas tata kelola Wilayah oleh AWS Control Tower ke dalam Wilayah keikutsertaan. | 6 April 2023 |
| [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy) – Pembaruan ke kebijakan yang ada | AWS Control Tower menambahkan izin baru yang memungkinkan AWS Control Tower `AWSControlTowerBlueprintAccess` berperan dalam akun blueprint (hub), yang merupakan akun khusus dalam suatu organisasi, yang berisi cetak biru yang telah ditentukan sebelumnya yang disimpan dalam satu atau beberapa Produk Service Catalog. AWS Control Tower mengambil `AWSControlTowerBlueprintAccess` peran untuk melakukan tiga tugas: membuat Portofolio Service Catalog, menambahkan cetak biru Produk yang diminta, dan membagikan Portofolio ke akun anggota yang diminta pada waktu penyediaan akun. Perubahan ini diperlukan agar pelanggan dapat menyediakan akun yang disesuaikan melalui AWS Control Tower Account Factory. | 28 Oktober 2022 |
| [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy) – Pembaruan ke kebijakan yang ada | AWS Control Tower menambahkan izin baru yang memungkinkan pelanggan menyiapkan AWS CloudTrail jejak tingkat organisasi, mulai dari landing zone versi 3.0. CloudTrail Fitur berbasis organisasi mengharuskan pelanggan untuk mengaktifkan akses tepercaya untuk CloudTrail layanan, dan pengguna atau peran IAM harus memiliki izin untuk membuat jejak tingkat organisasi di akun manajemen. | Juni 20, 2022 |
| [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy) – Pembaruan ke kebijakan yang ada | AWS Control Tower menambahkan izin baru yang memungkinkan pelanggan menggunakan enkripsi kunci KMS. Fitur KMS memungkinkan pelanggan untuk menyediakan kunci KMS mereka sendiri untuk mengenkripsi log mereka. CloudTrail Pelanggan juga dapat mengubah kunci KMS selama pembaruan atau perbaikan landing zone. Saat memperbarui kunci KMS, AWS CloudFormation perlu izin untuk memanggil API. AWS CloudTrail `PutEventSelector` Perubahan kebijakan adalah mengizinkan **AWS ControlTowerAdmin**peran memanggil AWS CloudTrail `PutEventSelector` API. | 28 Juli 2021 |
| AWS Control Tower mulai melacak perubahan | AWS Control Tower mulai melacak perubahan untuk kebijakan yang AWS dikelola. | 27 Mei 2021 |