AWS Control Tower のマネージドポリシー

AWS ControlTowerServiceRolePolicy – 管理ポリシーの更新

AWS Control Tower は、AWS ControlTowerServiceRolePolicy の Amazon CloudWatch Logs リソースパターンを更新し、ランディングゾーン 4.0 のオプションAWS CloudTrailの統合をサポートしました。パターンが から aws-controltower/CloudTrailLogs:*に変更されaws-controltower/CloudTrailLogs*:*、 の後にワイルドカード文字が追加されCloudTrailLogs、任意のサフィックスを持つロググループを管理できるようになりました。

この更新により、ランディングゾーン 4.0 のオプションAWS CloudTrailの統合が有効になり、お客様はAWS CloudTrail統合を複数回有効または無効にできます。統合を有効にするたびに、Amazon CloudWatch Logs ロググループは一意のサフィックスで再作成され、命名競合を回避します。更新は、既存のデプロイと下位互換性があります。

AWS ControlTowerCloudTrailRolePolicy – 新しいマネージドポリシー

AWS Control Tower はAWS ControlTowerCloudTrailRolePolicy マネージドポリシーを導入しました。これにより、CloudTrail はログストリームを作成し、Control Tower が管理する Amazon CloudWatch Logs ロググループにログイベントを発行できます。

この管理ポリシーは、AWS ControlTowerCloudTrailRole で以前に使用されていたインラインポリシーを置き換え、お客様の介入なしにポリシーAWSを更新できるようにします。ポリシーは、パターン に一致する名前を持つロググループに限定されますaws-controltower/CloudTrailLogs*。

AWS ControlTowerAccountServiceRolePolicy – 既存ポリシーへの更新

AWS Control Tower は、次のアクセス許可を拡張する新しいポリシーを追加しました。

AWS ControlTowerIdentityCenterManagementPolicy - 新しいポリシー

AWS Control Tower は、お客様が AWS Control Tower に登録されているアカウントで IAM Identity Center リソースを設定できるようにする新しいポリシーを導入し、アカウントの自動登録時に AWS Control Tower が一部のタイプのドリフトを修正できるようにします。

この変更は、お客様が AWS Control Tower で IAM アイデンティティセンターを設定し、AWS Control Tower が自動登録ドリフトを修正できるようにするために必要です。

AWS ControlTowerServiceRolePolicy – 既存ポリシーへの更新

AWS Control Tower は、アカウントを AWS Control Tower に自動登録するときに、AWS Control Tower がスタックセットリソースをクエリしてメンバーアカウントにデプロイできるようにする新しいCloudFormationアクセス許可を追加しました。

AWS ControlTowerServiceRolePolicy – 既存ポリシーへの更新

AWS Control Tower に、お客様がサービスにリンクされたAWS Configルールを有効または無効にできる新しいアクセス許可が追加されました。

この変更は、お客様が Config ルールによってデプロイされるコントロールを管理できるようにするために必要です。

AWS ControlTowerServiceRolePolicy – 既存ポリシーへの更新

AWS Control Tower は、AWS Control Tower が でAWS CloudFormationサービス APIs ActivateType、、DeactivateTypeおよび を呼び出すことを許可する新しいアクセス許可を追加SetTypeConfigurationしましたAWS::ControlTower types。

この変更により、お客様はプライベートCloudFormationフックタイプのデプロイなしでプロアクティブコントロールをプロビジョニングできます。

AWS ControlTowerAccountServiceRolePolicy - 新しいポリシー

AWS Control Tower は、AWS Control Tower がイベントルールを作成および管理し、それらのルールに基づいて Security Hub CSPM に関連するコントロールのドリフト検出を管理できるようにする新しいサービスにリンクされたロールを追加しました。

この変更は、これらのリソースが Security Hub CSPM サービスマネージドスタンダード: AWS Control Tower の一部である Security Hub CSPM コントロールに関連している場合に、ドリフトしたリソースをコンソールで表示できるようにするために必要です。

AWS ControlTowerServiceRolePolicy – 既存ポリシーへの更新

AWS Control Tower は、ランディングゾーンの顧客アカウント (管理アカウント、ログアーカイブアカウント、監査アカウント、OU メンバーアカウント) がオプトインAWS リージョンを利用できるように、AWS Control Tower がAWSアカウント管理サービスにより実装された EnableRegion、ListRegions、およびGetRegionOptStatus API を呼び出すための新しい権限を追加されました。

この変更は、お客様が AWS Control Tower によるリージョン管理をオプトインリージョンに拡張するために必要です。

AWS ControlTowerServiceRolePolicy – 既存ポリシーへの更新

AWS Control Tower では、AWS Control Tower がブループリント (ハブ) アカウントで AWSControlTowerBlueprintAccess ロールを引き受けることができる新しいアクセス許可が追加されました。ブループリント (ハブ) アカウントは、組織内の専用アカウントであり、1 つ以上の Service Catalog 製品に保存されている事前定義済みのブループリントを含みます。AWS Control Tower は、Service Catalog ポートフォリオの作成、リクエストされたブループリント製品の追加、およびアカウントプロビジョニング時にリクエストされたメンバーアカウントへのポートフォリオの共有という 3 つのタスクを実行するために AWSControlTowerBlueprintAccess ロールを引き受けます。

この変更は、お客様が AWS Control Tower Account Factory を通じてカスタマイズされたアカウントをプロビジョニングするために必要です。

AWS ControlTowerServiceRolePolicy – 既存ポリシーへの更新

AWS Control Tower は、ランディングゾーンバージョン 3.0 以降、お客様が組織レベルのAWS CloudTrail証跡を設定できるようにする新しいアクセス許可を追加しました。

組織ベースの CloudTrail 機能を使用するには、お客様が CloudTrail サービスに対して信頼されたアクセスを有効にする必要があります。また、IAM ユーザーまたはロールが、管理アカウントで組織レベルの追跡を作成するアクセス許可を持っていることが必要です。

AWS ControlTowerServiceRolePolicy – 既存のポリシーを更新します

AWS Control Tower では、お客様が KMS キー暗号化を使用できるようにする新しいアクセス許可が追加されました。

KMS 機能を使用すると、お客様独自の KMS キーを提供して AWS CloudTrail ログを暗号化できます。また、お客様は、ランディングゾーンの更新または修復中に KMS キーを変更することもできます。KMS キーを更新する場合、AWS CloudFormation にはAWS CloudTrailPutEventSelector API を呼び出すためのアクセス許可が必要です。ポリシーの変更は、AWS ControlTowerAdmin ロールが API を呼び出せるようにすることですAWS CloudTrailPutEventSelector。

AWS Control Tower は変更の追跡を開始しました

AWS Control Tower は、AWS管理ポリシーの変更の追跡を開始しました。