翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # AWS Control Tower のマネージドポリシー AWS は、 によって作成および管理されるスタンドアロン IAM ポリシーを提供することで、多くの一般的なユースケースに対処します AWS。マネージドポリシーは、一般的ユースケースに必要な許可を付与することで、どの許可が必要なのかをユーザーが調査する必要をなくすることができます。詳細については、「*IAM ユーザーガイド*」の「[AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。 | 変更 | 説明 | 日付 | | --- | --- | --- | | [AWS ControlTowerAccountServiceRolePolicy](access-control-managing-permissions.md#account-service-role-policy) - 既存ポリシーへの更新 | AWS Control Tower は、サービスにリンクされたフックの内部改善`BatchDescribeTypeConfigurations`のために、AWS Control Tower が AWS CloudFormation サービス API を呼び出すことを可能にする新しいアクセス許可を追加しました。 | 2026 年 3 月 23 日 | | [AWS ControlTowerAccountServiceRolePolicy](access-control-managing-permissions.md#account-service-role-policy) – 既存ポリシーへの更新 | AWS Control Tower は、Amazon EventBridge ルール条件の検証精度を向上させるために既存のポリシーを更新しました。更新により`events:detail-type`、条件が から に移動`StringEquals`され`ForAllValues:StringEquals`、同じ機能アクセス許可を維持しながら、イベントパターンマッチングの制御が向上します。 | 2025 年 12 月 30 日 | | [AWS ControlTowerAccountServiceRolePolicy](access-control-managing-permissions.md#account-service-role-policy) – 既存ポリシーへの更新 | AWS Control Tower は、次のアクセス許可を拡張する新しいポリシーを追加しました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/managed-policies-table.html) | 2025 年 11 月 10 日 | | [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy) – 管理ポリシーの更新 | AWS Control Tower は、 AWS ControlTowerServiceRolePolicy の Amazon CloudWatch Logs リソースパターンを更新し、ランディングゾーン 4.0 のオプション AWS CloudTrail の統合をサポートしました。パターンが から `aws-controltower/CloudTrailLogs:*`に変更され`aws-controltower/CloudTrailLogs*:*`、 の後にワイルドカード文字が追加され`CloudTrailLogs`、任意のサフィックスを持つロググループを管理できるようになりました。 この更新により、ランディングゾーン 4.0 のオプション AWS CloudTrail の統合が有効になり、お客様は AWS CloudTrail 統合を複数回有効または無効にできます。統合を有効にするたびに、Amazon CloudWatch Logs ロググループは一意のサフィックスで再作成され、命名競合を回避します。更新は、既存のデプロイと下位互換性があります。 | 2025 年 10 月 31 日 | | [AWS ControlTowerCloudTrailRolePolicy](access-control-managing-permissions.md#AWSControlTowerCloudTrailRolePolicy) – 新しいマネージドポリシー | AWS Control Tower は AWS ControlTowerCloudTrailRolePolicy マネージドポリシーを導入しました。これにより、CloudTrail はログストリームを作成し、Control Tower が管理する Amazon CloudWatch Logs ロググループにログイベントを発行できます。 この管理ポリシーは、 AWS ControlTowerCloudTrailRole で以前に使用されていたインラインポリシーを置き換え、お客様の介入なしにポリシーを更新 AWS できるようにします。ポリシーは、パターン に一致する名前を持つロググループに限定されます`aws-controltower/CloudTrailLogs*`。 | 2025 年 10 月 31 日 | | [AWS ControlTowerIdentityCenterManagementPolicy](access-control-managing-permissions.md#AWSControlTowerIdentityCenterManagementPolicy) - 新しいポリシー | AWS Control Tower は、お客様が AWS Control Tower に登録されているアカウントで IAM Identity Center リソースを設定できるようにする新しいポリシーを導入し、アカウントの自動登録時に AWS Control Tower が一部のタイプのドリフトを修正できるようにします。 この変更は、お客様が AWS Control Tower で IAM アイデンティティセンターを設定し、AWS Control Tower が自動登録ドリフトを修正できるようにするために必要です。 | 2025 年 10 月 10 日 | | [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy) – 既存ポリシーへの更新 | AWS Control Tower は、アカウントを AWS Control Tower に自動登録するときに、AWS Control Tower がスタックセットリソースをクエリしてメンバーアカウントにデプロイできるようにする新しい CloudFormation アクセス許可を追加しました。 | 2025 年 10 月 10 日 | | [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy) – 既存ポリシーへの更新 | AWS Control Tower は、お客様がサービスにリンクされた AWS Config ルールを有効または無効にできるようにする新しいアクセス許可を追加しました。 この変更は、お客様が Config ルールによってデプロイされるコントロールを管理できるようにするために必要です。 | 2025 年 6 月 5 日 | | [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy) – 既存ポリシーへの更新 | AWS Control Tower は、AWS Control Tower が で AWS CloudFormation サービス APIs `ActivateType`、、`DeactivateType`および を呼び出すことを許可する新しいアクセス許可を追加`SetTypeConfiguration`しました`AWS::ControlTower types`。 この変更により、お客様はプライベート CloudFormation フックタイプのデプロイなしでプロアクティブコントロールをプロビジョニングできます。 | 2024 年 12 月 10 日 | | [AWS ControlTowerAccountServiceRolePolicy](access-control-managing-permissions.md#account-service-role-policy) - 新しいポリシー | AWS Control Tower は、AWS Control Tower がイベントルールを作成および管理し、それらのルールに基づいて Security Hub CSPM に関連するコントロールのドリフト検出を管理できるようにする新しいサービスにリンクされたロールを追加しました。 この変更は、これらのリソースが Security Hub CSPM **サービスマネージドスタンダード: AWS Control Tower の一部である Security Hub CSPM **コントロールに関連している場合に、ドリフトしたリソースをコンソールで表示できるようにするために必要です。 | 2023 年 5 月 22 日 | | [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy) – 既存ポリシーへの更新 | AWS Control Tower は、ランディングゾーンの顧客アカウント (管理アカウント、ログアーカイブアカウント、監査アカウント、OU メンバーアカウント) がオプトイン AWS リージョン を利用できるように、AWS Control Tower が AWS アカウント管理サービスにより実装された `EnableRegion`、`ListRegions`、および`GetRegionOptStatus` API を呼び出すための新しい権限を追加されました。 この変更は、お客様が AWS Control Tower によるリージョン管理をオプトインリージョンに拡張するために必要です。 | 2023 年 4 月 6 日 | | [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy) – 既存ポリシーへの更新 | AWS Control Tower では、AWS Control Tower がブループリント (ハブ) アカウントで `AWSControlTowerBlueprintAccess` ロールを引き受けることができる新しいアクセス許可が追加されました。ブループリント (ハブ) アカウントは、組織内の専用アカウントであり、1 つ以上の Service Catalog 製品に保存されている事前定義済みのブループリントを含みます。AWS Control Tower は、Service Catalog ポートフォリオの作成、リクエストされたブループリント製品の追加、およびアカウントプロビジョニング時にリクエストされたメンバーアカウントへのポートフォリオの共有という 3 つのタスクを実行するために `AWSControlTowerBlueprintAccess` ロールを引き受けます。 この変更は、お客様が AWS Control Tower Account Factory を通じてカスタマイズされたアカウントをプロビジョニングするために必要です。 | 2022 年 10 月 28 日 | | [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy) – 既存ポリシーへの更新 | AWS Control Tower は、ランディングゾーンバージョン 3.0 以降、お客様が組織レベルの AWS CloudTrail 証跡を設定できるようにする新しいアクセス許可を追加しました。 組織ベースの CloudTrail 機能を使用するには、お客様が CloudTrail サービスに対して信頼されたアクセスを有効にする必要があります。また、IAM ユーザーまたはロールが、管理アカウントで組織レベルの追跡を作成するアクセス許可を持っていることが必要です。 | 2022 年 6 月 20 日 | | [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy) – 既存のポリシーを更新します | AWS Control Tower では、お客様が KMS キー暗号化を使用できるようにする新しいアクセス許可が追加されました。 KMS 機能を使用すると、お客様独自の KMS キーを提供して AWS CloudTrail ログを暗号化できます。また、お客様は、ランディングゾーンの更新または修復中に KMS キーを変更することもできます。KMS キーを更新する場合、 AWS CloudFormation には AWS CloudTrail `PutEventSelector` API を呼び出すためのアクセス許可が必要です。ポリシーの変更は、**AWS ControlTowerAdmin** ロールが API を呼び出せるようにすることです AWS CloudTrail `PutEventSelector`。 | 2021 年 7 月 28 日 | | AWS Control Tower は変更の追跡を開始しました | AWS Control Tower は、 AWS 管理ポリシーの変更の追跡を開始しました。 | 2021 年 5 月 27 日 |