Políticas gerenciadas para o AWS Control Tower

AWS ControlTowerAccountServiceRolePolicy: atualizar para uma política existente

O AWS Control Tower atualizou uma política existente para melhorar a precisão da validação das condições das EventBridge regras da Amazon. A atualização move a events:detail-type condição de ForAllValues:StringEquals para StringEquals para um melhor controle de correspondência de padrões de eventos, mantendo as mesmas permissões funcionais.

AWS ControlTowerAccountServiceRolePolicy – atualização para uma política existente

O AWS Control Tower adicionou uma nova política que estende as seguintes permissões:

AWS ControlTowerServiceRolePolicy— Política gerenciada atualizada

O AWS Control Tower atualizou o padrão de recursos do Amazon CloudWatch Logs no AWS ControlTowerServiceRolePolicy para oferecer suporte à AWS CloudTrail integração opcional da Landing Zone 4.0. O padrão mudou de aws-controltower/CloudTrailLogs:* paraaws-controltower/CloudTrailLogs*:*, adicionando um caractere curinga depois CloudTrailLogs para permitir o gerenciamento de grupos de registros com qualquer sufixo.

Essa atualização permite a AWS CloudTrail integração opcional do Landing Zone 4.0, que permite aos clientes ativar e desativar a AWS CloudTrail integração várias vezes. Sempre que a integração é ativada, os grupos de log do Amazon CloudWatch Logs são recriados com sufixos exclusivos para evitar conflitos de nomenclatura. A atualização é compatível com versões anteriores das implantações existentes.

AWS ControlTowerCloudTrailRolePolicy: Nova política gerenciada

O AWS Control Tower introduziu a política AWS ControlTowerCloudTrailRolePolicy gerenciada, que permite CloudTrail criar fluxos de log e publicar eventos de log em grupos de log do CloudWatch Amazon Logs gerenciados pela Control Tower.

Essa política gerenciada substitui a política em linha usada anteriormente pelo AWS ControlTowerCloudTrailRole, permitindo atualizar AWS a política sem a intervenção do cliente. O escopo da política é registrar grupos com nomes que correspondam ao padrãoaws-controltower/CloudTrailLogs*.

AWS ControlTowerIdentityCenterManagementPolicy: uma nova política

O AWS Control Tower adicionou uma nova política que permite aos clientes configurar recursos do Centro de Identidade do IAM em contas inscritas no AWS Control Tower e permite que o AWS Control Tower corrija alguns tipos de desvio ao inscrever contas automaticamente.

Essa mudança é necessária para que os clientes possam configurar o Centro de Identidade do IAM no AWS Control Tower e para que o AWS Control Tower possa corrigir o desvio de inscrição automática.

AWS ControlTowerServiceRolePolicy – atualização para uma política existente

A AWS Control Tower adicionou novas CloudFormation permissões que permitem que a AWS Control Tower consulte e implante recursos de conjuntos de pilhas nas contas dos membros ao inscrever automaticamente as contas na AWS Control Tower.

AWS ControlTowerServiceRolePolicy – atualização para uma política existente

O AWS Control Tower adicionou novas permissões que permitem aos clientes ativar e desativar regras vinculadas a serviços AWS Config .

Essa alteração é necessária para que os clientes possam gerenciar os controles que são implantados pelas regras do Config.

AWS ControlTowerServiceRolePolicy – atualização para uma política existente

O AWS Control Tower adicionou novas permissões que permitem que o AWS Control Tower faça chamadas para o AWS CloudFormation serviço APIs ActivateType DeactivateTypeSetTypeConfiguration, e assim por dianteAWS::ControlTower types.

Essa mudança permite que os clientes provisionem controles proativos sem a implantação de tipos de CloudFormation Hook privados.

AWS ControlTowerAccountServiceRolePolicy: uma nova política

O AWS Control Tower adicionou uma nova função vinculada ao serviço que permite que a AWS Control Tower crie e gerencie regras de eventos e, com base nessas regras, gerencie a detecção de desvios para controles relacionados ao CSPM do Security Hub.

Essa alteração é necessária para que os clientes possam visualizar recursos desviados no console, quando esses recursos estão relacionados aos controles CSPM do Security Hub que fazem parte do padrão gerenciado pelo serviço CSPM do Security Hub: AWS Control Tower.

AWS ControlTowerServiceRolePolicy – atualização para uma política existente

A AWS Control Tower adicionou novas permissões que permitem que a AWS Control Tower faça chamadas paraEnableRegion,ListRegions, e GetRegionOptStatus APIs implementadas pelo serviço de gerenciamento de AWS contas, para Regiões da AWS disponibilizar o opt-in para contas de clientes na landing zone (conta de gerenciamento, conta de arquivamento de registros, conta de auditoria, contas de membros da OU).

Essa mudança é necessária para que os clientes tenham a opção de expandir a governança de região do AWS Control Tower para as regiões opcionais.

AWS ControlTowerServiceRolePolicy – atualização para uma política existente

O AWS Control Tower adicionou novas permissões que autorizam o AWS Control Tower a assumir o perfil AWSControlTowerBlueprintAccess na conta de esquema (hub), que é uma conta dedicada em uma organização, contendo esquemas predefinidos armazenados em um ou mais produtos do Service Catalog. O AWS Control Tower assume o perfil AWSControlTowerBlueprintAccess para realizar três tarefas: criar um portfólio do Service Catalog, adicionar o produto do esquema solicitado e compartilhar o portfólio com uma conta-membro solicitada no momento do provisionamento da conta.

Essa alteração é necessária para que os clientes possam provisionar contas personalizadas por meio do Account Factory do AWS Control Tower.

AWS ControlTowerServiceRolePolicy – atualização para uma política existente

O AWS Control Tower adicionou novas permissões que permitem aos clientes configurar AWS CloudTrail trilhas em nível organizacional, começando na versão 3.0 do landing zone.

O CloudTrail recurso baseado na organização exige que os clientes tenham acesso confiável habilitado para o CloudTrail serviço, e o usuário ou função do IAM deve ter permissão para criar uma trilha em nível organizacional na conta de gerenciamento.

AWS ControlTowerServiceRolePolicy – atualização para uma política existente

O AWS Control Tower adicionou novas permissões que autorizam os clientes a usar a criptografia de chaves do KMS.

O recurso KMS permite que os clientes forneçam sua própria chave KMS para criptografar seus registros. CloudTrail Os clientes também podem alterar a chave do KMS durante a atualização ou o reparo da zona de pouso. Ao atualizar a chave KMS, AWS CloudFormation precisa de permissões para chamar a AWS CloudTrail PutEventSelector API. A mudança na política é permitir que a AWS ControlTowerAdminfunção chame a AWS CloudTrail PutEventSelector API.

AWS Control Tower começou a monitorar alterações

O AWS Control Tower começou a monitorar as mudanças em suas políticas AWS gerenciadas.