AWS Control Tower에 대한 관리형 정책

AWSControlTowerIdentityCenterManagementPolicy - 새 정책

AWS Control Tower는 고객이 AWS Control Tower에 등록된 계정에서 IAM Identity Center 리소스를 구성할 수 있도록 허용하는 새로운 정책을 추가했으며, 이를 통해 AWS Control Tower는 계정을 자동 등록할 때 일부 유형의 드리프트를 해결할 수 있습니다.

이 변경은 고객이 AWS Control Tower에서 IAM Identity Center를 구성하고 AWS Control Tower가 자동 등록 드리프트를 해결할 수 있도록 하기 위해 필요합니다.

AWSControlTowerServiceRolePolicy -기존 정책 업데이트

AWS Control Tower는 AWS Control Tower에 계정을 자동 등록할 때 AWS Control Tower가 스택 세트 리소스를 쿼리하고 멤버 계정에 배포할 수 있는 새로운 CloudFormation 권한을 추가했습니다.

AWSControlTowerServiceRolePolicy -기존 정책 업데이트

AWS Control Tower는 고객이 서비스에 연결된 AWS Config 규칙을 활성화 및 비활성화할 수 있는 새로운 권한을 추가했습니다.

이 변경은 Config 규칙에서 배포한 제어를 고객이 관리할 수 있도록 하기 위해 필요합니다.

AWSControlTowerServiceRolePolicy -기존 정책 업데이트

AWS Control Tower는 AWS Control Tower가 AWS::ControlTower types에서 AWS CloudFormation 서비스 API인 ActivateType, DeactivateType 및 SetTypeConfiguration을 직접 호출할 수 있는 새로운 권한을 추가했습니다.

이 변경을 통해 고객은 프라이빗 CloudFormation 후크 유형을 배포하지 않고도 사전 예방적 제어를 프로비저닝할 수 있습니다.

AWSControlTowerAccountServiceRolePolicy - 새 정책

AWS Control Tower는 AWS Control Tower가 이벤트 규칙을 생성 및 관리하고, 해당 규칙에 따라 Security Hub와 관련된 제어에 대한 드리프트 탐지를 관리할 수 있는 새로운 서비스 연결 역할을 추가했습니다.

이러한 리소스가 Security Hub 서비스 관리형 표준: AWS Control Tower의 일부인 Security Hub 제어와 관련된 경우 고객이 콘솔에서 드리프트된 리소스를 볼 수 있도록 이러한 변경이 필요합니다.

AWSControlTowerServiceRolePolicy -기존 정책 업데이트

AWS Control Tower는 AWS Control Tower가 AWS Account Management 서비스에서 구현한 EnableRegion, ListRegions 및 GetRegionOptStatus API를 직접 호출하여 랜딩 존(관리 계정, 로그 아카이브 계정, 감사 계정, OU 멤버 계정)의 고객 계정에 옵트인 AWS 리전을 사용할 수 있도록 새로운 권한을 추가했습니다.

이 변경은 고객이 AWS Control Tower의 리전 거버넌스를 옵트인 리전으로 확장할 수 있는 옵션을 갖도록 하기 위해 필요합니다.

AWSControlTowerServiceRolePolicy -기존 정책 업데이트

AWS Control Tower는 AWS Control Tower가 조직 내 전용 계정인 블루프린트(허브) 계정의 AWSControlTowerBlueprintAccess 역할을 수임할 수 있는 새로운 권한을 추가했으며, 이 권한에는 하나 이상의 Service Catalog 제품에 저장된 사전 정의된 블루프린트가 포함되어 있습니다. AWS Control Tower는 AWSControlTowerBlueprintAccess 역할을 수임하여 Service Catalog 포트폴리오 생성, 요청된 블루프린트 제품 추가, 계정 프로비저닝 시 요청된 멤버 계정에 포트폴리오 공유라는 세 가지 태스크를 수행합니다.

이 변경은 고객이 AWS Control Tower Account Factory를 통해 사용자 지정 계정을 프로비저닝할 수 있도록 하기 위해 필요합니다.

AWSControlTowerServiceRolePolicy -기존 정책 업데이트

AWS Control Tower는 고객이 랜딩 존 버전 3.0부터 조직 수준 AWS CloudTrail 추적을 설정할 수 있는 새로운 권한을 추가했습니다.

조직 기반 CloudTrail 기능을 사용하려면 고객이 CloudTrail 서비스에 대해 신뢰할 수 있는 액세스를 활성화해야 하며, IAM 사용자 또는 역할에는 관리 계정에서 조직 수준 추적을 생성할 수 있는 권한이 있어야 합니다.

AWSControlTowerServiceRolePolicy -기존 정책 업데이트

AWS Control Tower는 고객이 KMS 키 암호화를 사용할 수 있는 새로운 권한을 추가했습니다.

KMS 기능을 사용하면 고객이 자신의 KMS 키를 제공하여 CloudTrail 로그를 암호화할 수 있습니다. 고객은 랜딩존 업데이트 또는 복구 중에 KMS 키를 변경할 수도 있습니다. KMS 키를 업데이트할 때 AWS CloudFormation은 AWS CloudTrail PutEventSelector API를 직접 호출할 권한이 필요합니다. 정책 변경은 AWSControlTowerAdmin 역할이 AWS CloudTrail PutEventSelector API를 직접 호출할 수 있도록 허용하는 것입니다.

AWS Control Tower에서 변경 내용 추적 시작

AWS Control Tower가 AWS 관리형 정책에 대한 변경 내용 추적을 시작했습니다.