Kebijakan terkelola untuk AWS Control Tower

AWS mengatasi banyak kasus penggunaan umum dengan menyediakan kebijakan IAM mandiri yang dibuat dan dikelola oleh. AWS Kebijakan terkelola memberikan izin yang diperlukan untuk kasus penggunaan umum sehingga Anda tidak perlu menyelidiki izin apa yang diperlukan. Untuk informasi selengkapnya, lihat Kebijakan Terkelola AWS dalam Panduan Pengguna IAM.

Ubah	Deskripsi	Tanggal
AWS ControlTowerAccountServiceRolePolicy — Permbaruan ke kebijakan yang sudah ada	AWS Control Tower memperbarui kebijakan yang ada untuk meningkatkan presisi validasi untuk kondisi EventBridge aturan Amazon. Pembaruan memindahkan `events:detail-type` kondisi dari `StringEquals` ke `ForAllValues:StringEquals` untuk kontrol pencocokan pola peristiwa yang lebih baik sambil mempertahankan izin fungsional yang sama.	Desember 30, 2025
AWS ControlTowerAccountServiceRolePolicy – Pembaruan ke kebijakan yang ada	AWS Control Tower menambahkan kebijakan baru yang memperluas izin berikut: AWS Config izin untuk membuat, menandai, menghapus, mengelola, dan membaca agregator konfigurasi terkait layanan AWS Config izin untuk mendeskripsikan semua agregator konfigurasi AWS Organizations izin untuk membuat daftar administrator yang didelegasikan untuk AWS Config AWS Organizations izin untuk mendeskripsikan organisasi CloudFormation izin untuk mengelola kait terkait layanan	November 10, 2025
AWS ControlTowerServiceRolePolicy— Kebijakan terkelola yang diperbarui	AWS Control Tower memperbarui pola sumber daya Amazon CloudWatch Logs AWS ControlTowerServiceRolePolicy untuk mendukung AWS CloudTrail integrasi opsional Landing Zone 4.0. Pola berubah dari `aws-controltower/CloudTrailLogs:` ke`aws-controltower/CloudTrailLogs:*`, menambahkan karakter wildcard setelahnya `CloudTrailLogs` untuk memungkinkan pengelolaan grup log dengan akhiran apa pun. Pembaruan ini memungkinkan AWS CloudTrail integrasi opsional Landing Zone 4.0, yang memungkinkan pelanggan untuk mengaktifkan dan menonaktifkan AWS CloudTrail integrasi beberapa kali. Setiap kali integrasi diaktifkan, grup CloudWatch log Amazon Logs dibuat ulang dengan sufiks unik untuk menghindari konflik penamaan. Pembaruan kompatibel ke belakang dengan penerapan yang ada.	Oktober 31, 2025
AWS ControlTowerCloudTrailRolePolicy— Kebijakan terkelola baru	AWS Control Tower memperkenalkan kebijakan AWS ControlTowerCloudTrailRolePolicy terkelola, yang memungkinkan CloudTrail untuk membuat aliran log dan mempublikasikan peristiwa log ke grup log CloudWatch Amazon Logs yang dikelola Menara Kontrol. Kebijakan terkelola ini menggantikan kebijakan inline yang sebelumnya digunakan oleh AWS ControlTowerCloudTrailRole, memungkinkan AWS untuk memperbarui kebijakan tanpa campur tangan pelanggan. Kebijakan ini dicakup untuk log grup dengan nama yang cocok dengan pola. `aws-controltower/CloudTrailLogs*`	Oktober 31, 2025
AWS ControlTowerIdentityCenterManagementPolicy— Kebijakan baru	AWS Control Tower menambahkan kebijakan baru yang memungkinkan pelanggan mengonfigurasi sumber daya Pusat Identitas IAM di akun yang terdaftar di AWS Control Tower, dan memungkinkan AWS Control Tower untuk memulihkan beberapa jenis drift saat mendaftarkan akun secara otomatis. Perubahan ini diperlukan agar pelanggan dapat mengonfigurasi IAM Identity Center di AWS Control Tower, sehingga AWS Control Tower dapat memulihkan penyimpangan pendaftaran otomatis.	Oktober 10, 2025
AWS ControlTowerServiceRolePolicy – Pembaruan ke kebijakan yang ada	AWS Control Tower menambahkan CloudFormation izin baru yang memungkinkan AWS Control Tower melakukan kueri dan menerapkan sumber daya set tumpukan ke akun anggota saat mendaftarkan akun secara otomatis ke AWS Control Tower.	Oktober 10, 2025
AWS ControlTowerServiceRolePolicy – Pembaruan ke kebijakan yang ada	AWS Control Tower menambahkan izin baru yang memungkinkan pelanggan mengaktifkan dan menonaktifkan aturan terkait layanan AWS Config . Perubahan ini diperlukan agar pelanggan dapat mengelola kontrol yang diterapkan oleh aturan Config.	Juni 5, 2025
AWS ControlTowerServiceRolePolicy – Pembaruan ke kebijakan yang ada	AWS Control Tower menambahkan izin baru yang memungkinkan AWS Control Tower melakukan panggilan ke AWS CloudFormation layanan APIs `ActivateType`,`DeactivateType`, dan`SetTypeConfiguration`, aktif. `AWS::ControlTower types` Perubahan ini memungkinkan pelanggan untuk menyediakan kontrol proaktif tanpa penerapan tipe CloudFormation Hook pribadi.	Desember 10, 2024
AWS ControlTowerAccountServiceRolePolicy— Kebijakan baru	AWS Control Tower menambahkan peran terkait layanan baru yang memungkinkan AWS Control Tower membuat dan mengelola aturan peristiwa, dan berdasarkan aturan tersebut, untuk mengelola deteksi drift untuk kontrol yang terkait dengan Security Hub CSPM. Perubahan ini diperlukan agar pelanggan dapat melihat sumber daya yang hanyut di konsol, ketika sumber daya tersebut terkait dengan kontrol CSPM Security Hub yang merupakan bagian dari Security Hub CSPM Service-managed Standard: AWS Control Tower.	22 Mei 2023
AWS ControlTowerServiceRolePolicy – Pembaruan ke kebijakan yang ada	AWS Control Tower menambahkan izin baru yang memungkinkan AWS Control Tower melakukan panggilan ke`EnableRegion`,`ListRegions`, dan `GetRegionOptStatus` APIs diimplementasikan oleh layanan Manajemen AWS Akun, agar keikutsertaan Wilayah AWS tersedia untuk akun pelanggan di landing zone (Akun manajemen, akun arsip log, akun Audit, akun anggota OU). Perubahan ini diperlukan agar pelanggan dapat memiliki opsi untuk memperluas tata kelola Wilayah oleh AWS Control Tower ke dalam Wilayah keikutsertaan.	6 April 2023
AWS ControlTowerServiceRolePolicy – Pembaruan ke kebijakan yang ada	AWS Control Tower menambahkan izin baru yang memungkinkan AWS Control Tower `AWSControlTowerBlueprintAccess` berperan dalam akun blueprint (hub), yang merupakan akun khusus dalam suatu organisasi, yang berisi cetak biru yang telah ditentukan sebelumnya yang disimpan dalam satu atau beberapa Produk Service Catalog. AWS Control Tower mengambil `AWSControlTowerBlueprintAccess` peran untuk melakukan tiga tugas: membuat Portofolio Service Catalog, menambahkan cetak biru Produk yang diminta, dan membagikan Portofolio ke akun anggota yang diminta pada waktu penyediaan akun. Perubahan ini diperlukan agar pelanggan dapat menyediakan akun yang disesuaikan melalui AWS Control Tower Account Factory.	28 Oktober 2022
AWS ControlTowerServiceRolePolicy – Pembaruan ke kebijakan yang ada	AWS Control Tower menambahkan izin baru yang memungkinkan pelanggan menyiapkan AWS CloudTrail jejak tingkat organisasi, mulai dari landing zone versi 3.0. CloudTrail Fitur berbasis organisasi mengharuskan pelanggan untuk mengaktifkan akses tepercaya untuk CloudTrail layanan, dan pengguna atau peran IAM harus memiliki izin untuk membuat jejak tingkat organisasi di akun manajemen.	Juni 20, 2022
AWS ControlTowerServiceRolePolicy – Pembaruan ke kebijakan yang ada	AWS Control Tower menambahkan izin baru yang memungkinkan pelanggan menggunakan enkripsi kunci KMS. Fitur KMS memungkinkan pelanggan untuk menyediakan kunci KMS mereka sendiri untuk mengenkripsi log mereka. CloudTrail Pelanggan juga dapat mengubah kunci KMS selama pembaruan atau perbaikan landing zone. Saat memperbarui kunci KMS, AWS CloudFormation perlu izin untuk memanggil API. AWS CloudTrail `PutEventSelector` Perubahan kebijakan adalah mengizinkan AWS ControlTowerAdminperan memanggil AWS CloudTrail `PutEventSelector` API.	28 Juli 2021
AWS Control Tower mulai melacak perubahan	AWS Control Tower mulai melacak perubahan untuk kebijakan yang AWS dikelola.	27 Mei 2021

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Izin Diperlukan untuk menggunakan konsol AWS Control Tower

Keamanan