Policy gestite per AWS Control Tower

AWS ControlTowerAccountServiceRolePolicy: aggiornamento a una policy esistente

AWS Control Tower ha aggiornato una policy esistente per migliorare la precisione di convalida delle condizioni delle EventBridge regole di Amazon. L'aggiornamento sposta la events:detail-type condizione da 1 StringEquals a 1 ForAllValues:StringEquals per un migliore controllo della corrispondenza dei modelli di evento mantenendo le stesse autorizzazioni funzionali.

AWS ControlTowerAccountServiceRolePolicy: aggiornamento di una policy esistente

AWS Control Tower ha aggiunto una nuova policy che estende le seguenti autorizzazioni:

AWS ControlTowerServiceRolePolicy— Politica gestita aggiornata

AWS Control Tower ha aggiornato il pattern di risorse Amazon CloudWatch Logs AWS ControlTowerServiceRolePolicy per supportare l' AWS CloudTrail integrazione opzionale di Landing Zone 4.0. Il modello è cambiato da aws-controltower/CloudTrailLogs:* aaws-controltower/CloudTrailLogs*:*, aggiungendo successivamente un carattere jolly CloudTrailLogs per consentire la gestione di gruppi di log con qualsiasi suffisso.

Questo aggiornamento abilita AWS CloudTrail l'integrazione opzionale di Landing Zone 4.0, che consente ai clienti di abilitare e disabilitare AWS CloudTrail l'integrazione più volte. Ogni volta che l'integrazione è abilitata, i gruppi di log di Amazon CloudWatch Logs vengono ricreati con suffissi unici per evitare conflitti di denominazione. L'aggiornamento è retrocompatibile con le distribuzioni esistenti.

AWS ControlTowerCloudTrailRolePolicy— Nuova politica gestita

AWS Control Tower ha introdotto la policy AWS ControlTowerCloudTrailRolePolicy gestita, che consente di CloudTrail creare flussi di log e pubblicare eventi di log in gruppi di log CloudWatch Amazon Logs gestiti da Control Tower.

Questa policy gestita sostituisce la policy in linea precedentemente utilizzata da AWS ControlTowerCloudTrailRole, permettendo di aggiornare la policy senza l'intervento del AWS cliente. La policy si applica ai gruppi di log con nomi che corrispondono allo schema. aws-controltower/CloudTrailLogs*

AWS ControlTowerIdentityCenterManagementPolicy— Una nuova politica

AWS Control Tower ha aggiunto una nuova policy che consente ai clienti di configurare le risorse IAM Identity Center negli account registrati in AWS Control Tower e consente ad AWS Control Tower di porre rimedio ad alcuni tipi di deviazioni durante la registrazione automatica degli account.

Questa modifica è necessaria per consentire ai clienti di configurare IAM Identity Center in AWS Control Tower e per far sì che AWS Control Tower possa porre rimedio alla deriva della registrazione automatica.

AWS ControlTowerServiceRolePolicy: aggiornamento di una policy esistente

AWS Control Tower ha aggiunto nuove CloudFormation autorizzazioni che consentono ad AWS Control Tower di interrogare e distribuire risorse dello stack set negli account dei membri durante la registrazione automatica degli account in AWS Control Tower.

AWS ControlTowerServiceRolePolicy: aggiornamento di una policy esistente

AWS Control Tower ha aggiunto nuove autorizzazioni che consentono ai clienti di abilitare e disabilitare le regole collegate ai servizi AWS Config .

Questa modifica è necessaria per consentire ai clienti di gestire i controlli implementati dalle regole di Config.

AWS ControlTowerServiceRolePolicy: aggiornamento di una policy esistente

AWS Control Tower ha aggiunto nuove autorizzazioni che consentono ad AWS Control Tower di effettuare chiamate al AWS CloudFormation servizio APIs ActivateType e SetTypeConfiguration così viaAWS::ControlTower types. DeactivateType

Questa modifica consente ai clienti di fornire controlli proattivi senza la distribuzione di tipi di CloudFormation Hook privati.

AWS ControlTowerAccountServiceRolePolicy— Una nuova politica

AWS Control Tower ha aggiunto un nuovo ruolo collegato ai servizi che consente ad AWS Control Tower di creare e gestire regole relative agli eventi e, sulla base di tali regole, di gestire il rilevamento delle deviazioni per i controlli correlati a Security Hub CSPM.

Questa modifica è necessaria per consentire ai clienti di visualizzare le risorse alla deriva nella console, quando tali risorse sono correlate ai controlli CSPM di Security Hub che fanno parte del Security Hub CSPM Service-managed Standard: AWS Control Tower.

AWS ControlTowerServiceRolePolicy: aggiornamento di una policy esistente

AWS Control Tower ha aggiunto nuove autorizzazioni che consentono ad AWS Control Tower di effettuare chiamate al servizio di gestione degli AWS account e EnableRegionListRegions, GetRegionOptStatus APIs implementate dal servizio, per rendere Regioni AWS disponibile l'opt-in per gli account dei clienti nella landing zone (account di gestione, account di archivio dei log, account di audit, account membri dell'OU).

Questa modifica è necessaria in modo che i clienti possano avere la possibilità di espandere la governance della regione tramite AWS Control Tower alle regioni opt-in.

AWS ControlTowerServiceRolePolicy: aggiornamento di una policy esistente

AWS Control Tower ha aggiunto nuove autorizzazioni che consentono ad AWS Control Tower di assumere il AWSControlTowerBlueprintAccess ruolo nell'account blueprint (hub), che è un account dedicato in un'organizzazione, contenente blueprint predefiniti archiviati in uno o più prodotti Service Catalog. AWS Control Tower si assume il AWSControlTowerBlueprintAccess ruolo di svolgere tre attività: creare un Service Catalog Portfolio, aggiungere il prodotto blueprint richiesto e condividere il portafoglio con un account membro richiesto al momento del provisioning dell'account.

Questa modifica è necessaria per consentire ai clienti di effettuare il provisioning di account personalizzati tramite AWS Control Tower Account Factory.

AWS ControlTowerServiceRolePolicy: aggiornamento di una policy esistente

AWS Control Tower ha aggiunto nuove autorizzazioni che consentono ai clienti di configurare AWS CloudTrail percorsi a livello di organizzazione, a partire dalla versione 3.0 della landing zone.

La CloudTrail funzionalità basata sull'organizzazione richiede che i clienti abbiano abilitato l'accesso affidabile per il CloudTrail servizio e l'utente o il ruolo IAM deve avere l'autorizzazione per creare un percorso a livello di organizzazione nell'account di gestione.

AWS ControlTowerServiceRolePolicy: aggiornamento di una policy esistente

AWS Control Tower ha aggiunto nuove autorizzazioni che consentono ai clienti di utilizzare la crittografia a chiave KMS.

La funzionalità KMS consente ai clienti di fornire la propria chiave KMS per crittografare i propri log. CloudTrail I clienti possono anche modificare la chiave KMS durante l'aggiornamento o la riparazione della landing zone. Quando si aggiorna la chiave KMS, sono AWS CloudFormation necessarie le autorizzazioni per chiamare l'API. AWS CloudTrail PutEventSelector La modifica alla politica consente al AWS ControlTowerAdminruolo di chiamare l' AWS CloudTrail PutEventSelectorAPI.

AWS Control Tower ha iniziato a tracciare le modifiche

AWS Control Tower ha iniziato a tracciare le modifiche per le sue policy AWS gestite.