Políticas gerenciadas para o AWS Control Tower

AWS A aborda muitos casos de uso comuns fornecendo políticas autônomas do IAM que são criadas e administradas pela AWS. As políticas gerenciadas concedem permissões necessárias para casos de uso comuns, de maneira que você possa evitar a necessidade de investigar quais permissões são necessárias. Para obter mais informações, consulte Políticas gerenciadas pela AWS no Guia do usuário do IAM.

Alteração	Descrição	Data
AWSControlTowerIdentityCenterManagementPolicy: uma nova política	O AWS Control Tower adicionou uma nova política que permite aos clientes configurar recursos do Centro de Identidade do IAM em contas inscritas no AWS Control Tower e permite que o AWS Control Tower corrija alguns tipos de desvio ao inscrever contas automaticamente. Essa mudança é necessária para que os clientes possam configurar o Centro de Identidade do IAM no AWS Control Tower e para que o AWS Control Tower possa corrigir o desvio de inscrição automática.	10.º de outubro de 2025
AWSControlTowerServiceRolePolicy: atualização para uma política existente	O AWS Control Tower adicionou novas permissões do CloudFormation para que o AWS Control Tower possa consultar e implantar recursos de conjuntos de pilhas nas contas de membros ao inscrever automaticamente as contas no AWS Control Tower.	10.º de outubro de 2025
AWSControlTowerServiceRolePolicy: atualização para uma política existente	O AWS Control Tower adicionou novas permissões que autorizam os clientes a habilitar e desabilitar regras vinculadas ao serviço do AWS Config. Essa alteração é necessária para que os clientes possam gerenciar os controles que são implantados pelas regras do Config.	5 de junho de 2025
AWSControlTowerServiceRolePolicy: atualização para uma política existente	O AWS Control Tower adicionou novas permissões que permitem que o AWS Control Tower faça chamadas para as APIs do serviço do AWS CloudFormation `ActivateType`, `DeactivateType` e `SetTypeConfiguration` no `AWS::ControlTower types`. Essa mudança permite que os clientes provisionem controles proativos sem a implantação de tipos de hook do CloudFormation privados.	10 de dezembro de 2024
AWSControlTowerAccountServiceRolePolicy: uma nova política	O AWS Control Tower adicionou um novo perfil vinculado ao serviço que permite que o AWS Control Tower crie e gerencie regras de eventos e, com base nessas regras, gerencie a detecção de desvios para controles relacionados ao Security Hub. Essa mudança é necessária para que os clientes possam visualizar recursos com desvio no console, quando esses recursos estão relacionados aos controles do Security Hub que fazem parte do padrão gerenciado pelo serviço do Security Hub: AWS Control Tower.	22 de maio de 2023
AWSControlTowerServiceRolePolicy: atualização para uma política existente	O AWS Control Tower adicionou novas permissões que autorizam o AWS Control Tower a fazer chamadas para as APIs `EnableRegion`, `ListRegions` e `GetRegionOptStatus` implementadas pelo serviço de AWS Account Management, para disponibilizar as Regiões da AWS opcionais para contas de clientes na zona de pouso (conta de gerenciamento, conta de arquivamento de logs, conta de auditoria, contas-membros da UO). Essa mudança é necessária para que os clientes tenham a opção de expandir a governança de região do AWS Control Tower para as regiões opcionais.	6 de abril de 2023
AWSControlTowerServiceRolePolicy: atualização para uma política existente	O AWS Control Tower adicionou novas permissões que autorizam o AWS Control Tower a assumir o perfil `AWSControlTowerBlueprintAccess` na conta de esquema (hub), que é uma conta dedicada em uma organização, contendo esquemas predefinidos armazenados em um ou mais produtos do Service Catalog. O AWS Control Tower assume o perfil `AWSControlTowerBlueprintAccess` para realizar três tarefas: criar um portfólio do Service Catalog, adicionar o produto do esquema solicitado e compartilhar o portfólio com uma conta-membro solicitada no momento do provisionamento da conta. Essa alteração é necessária para que os clientes possam provisionar contas personalizadas por meio do Account Factory do AWS Control Tower.	28 de outubro de 2022
AWSControlTowerServiceRolePolicy: atualização para uma política existente	O AWS Control Tower adicionou novas permissões que autorizam os clientes a configurar trilhas do AWS CloudTrail no nível da organização, começando na versão 3.0 da zona de pouso. O recurso do CloudTrail baseado na organização exige que os clientes tenham acesso confiável habilitado para o serviço CloudTrail, e o usuário ou perfil do IAM deve ter permissão para criar uma trilha no nível da organização na conta de gerenciamento.	20 de junho de 2022
AWSControlTowerServiceRolePolicy: atualização para uma política existente	O AWS Control Tower adicionou novas permissões que autorizam os clientes a usar a criptografia de chaves do KMS. O recurso do KMS permite que os clientes forneçam sua própria chave do KMS para criptografar logs do CloudTrail. Os clientes também podem alterar a chave do KMS durante a atualização ou o reparo da zona de pouso. Ao atualizar a chave do KMS, o AWS CloudFormation precisa de permissões para chamar a API `PutEventSelector` do AWS CloudTrail. A mudança na política é permitir que o perfil AWSControlTowerAdmin chame a API `PutEventSelector` do AWS CloudTrail.	28 de julho de 2021
AWS Control Tower começou a monitorar alterações	O AWS Control Tower começou a monitorar as alterações nas políticas gerenciadas pela AWS.	27 de maio de 2021

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Permissões obrigatórias para usar o console do AWS Control Tower

Segurança