As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Políticas gerenciadas para o AWS Control Tower AWS aborda muitos casos de uso comuns fornecendo políticas autônomas do IAM que são criadas e administradas pela AWS. As políticas gerenciadas concedem permissões necessárias para casos de uso comuns, de maneira que você possa evitar a necessidade de investigar quais permissões são necessárias. Para obter mais informações, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Guia do usuário do IAM*. | Alteração | Descrição | Data | | --- | --- | --- | | [AWS ControlTowerAccountServiceRolePolicy](access-control-managing-permissions.md#account-service-role-policy): atualizar para uma política existente | A AWS Control Tower adicionou novas permissões que permitem que a AWS Control Tower faça chamadas para a API do AWS CloudFormation serviço `BatchDescribeTypeConfigurations` para uma melhoria interna dos ganchos vinculados ao serviço. | 23 de março de 2026 | | [AWS ControlTowerAccountServiceRolePolicy](access-control-managing-permissions.md#account-service-role-policy) – atualização para uma política existente | O AWS Control Tower atualizou uma política existente para melhorar a precisão da validação das condições das EventBridge regras da Amazon. A atualização move a `events:detail-type` condição de `ForAllValues:StringEquals` para `StringEquals` para um melhor controle de correspondência de padrões de eventos, mantendo as mesmas permissões funcionais. | 30 de dezembro de 2025 | | [AWS ControlTowerAccountServiceRolePolicy](access-control-managing-permissions.md#account-service-role-policy) – atualização para uma política existente | O AWS Control Tower adicionou uma nova política que estende as seguintes permissões: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/controltower/latest/userguide/managed-policies-table.html) | 10 de novembro de 2025 | | [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy)— Política gerenciada atualizada | O AWS Control Tower atualizou o padrão de recursos do Amazon CloudWatch Logs no AWS ControlTowerServiceRolePolicy para oferecer suporte à AWS CloudTrail integração opcional da Landing Zone 4.0. O padrão mudou de `aws-controltower/CloudTrailLogs:*` para`aws-controltower/CloudTrailLogs*:*`, adicionando um caractere curinga depois `CloudTrailLogs` para permitir o gerenciamento de grupos de registros com qualquer sufixo. Essa atualização permite a AWS CloudTrail integração opcional do Landing Zone 4.0, que permite aos clientes ativar e desativar a AWS CloudTrail integração várias vezes. Sempre que a integração é ativada, os grupos de log do Amazon CloudWatch Logs são recriados com sufixos exclusivos para evitar conflitos de nomenclatura. A atualização é compatível com versões anteriores das implantações existentes. | 31 de outubro de 2025 | | [AWS ControlTowerCloudTrailRolePolicy](access-control-managing-permissions.md#AWSControlTowerCloudTrailRolePolicy): Nova política gerenciada | O AWS Control Tower introduziu a política AWS ControlTowerCloudTrailRolePolicy gerenciada, que permite CloudTrail criar fluxos de log e publicar eventos de log em grupos de log do CloudWatch Amazon Logs gerenciados pela Control Tower. Essa política gerenciada substitui a política em linha usada anteriormente pelo AWS ControlTowerCloudTrailRole, permitindo atualizar AWS a política sem a intervenção do cliente. O escopo da política é registrar grupos com nomes que correspondam ao padrão`aws-controltower/CloudTrailLogs*`. | 31 de outubro de 2025 | | [AWS ControlTowerIdentityCenterManagementPolicy](access-control-managing-permissions.md#AWSControlTowerIdentityCenterManagementPolicy): uma nova política | O AWS Control Tower adicionou uma nova política que permite aos clientes configurar recursos do Centro de Identidade do IAM em contas inscritas no AWS Control Tower e permite que o AWS Control Tower corrija alguns tipos de desvio ao inscrever contas automaticamente. Essa mudança é necessária para que os clientes possam configurar o Centro de Identidade do IAM no AWS Control Tower e para que o AWS Control Tower possa corrigir o desvio de inscrição automática. | 10 de outubro de 2025 | | [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy) – atualização para uma política existente | A AWS Control Tower adicionou novas CloudFormation permissões que permitem que a AWS Control Tower consulte e implante recursos de conjuntos de pilhas nas contas dos membros ao inscrever automaticamente as contas na AWS Control Tower. | 10 de outubro de 2025 | | [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy) – atualização para uma política existente | O AWS Control Tower adicionou novas permissões que permitem aos clientes ativar e desativar regras vinculadas a serviços AWS Config . Essa alteração é necessária para que os clientes possam gerenciar os controles que são implantados pelas regras do Config. | 5 de junho de 2025 | | [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy) – atualização para uma política existente | O AWS Control Tower adicionou novas permissões que permitem que o AWS Control Tower faça chamadas para o AWS CloudFormation serviço APIs `ActivateType` `DeactivateType``SetTypeConfiguration`, e assim por diante`AWS::ControlTower types`. Essa mudança permite que os clientes provisionem controles proativos sem a implantação de tipos de CloudFormation Hook privados. | 10 de dezembro de 2024 | | [AWS ControlTowerAccountServiceRolePolicy](access-control-managing-permissions.md#account-service-role-policy): uma nova política | O AWS Control Tower adicionou uma nova função vinculada ao serviço que permite à AWS Control Tower criar e gerenciar regras de eventos e, com base nessas regras, gerenciar a detecção de desvios para controles relacionados ao CSPM do Security Hub. Essa alteração é necessária para que os clientes possam visualizar recursos desviados no console, quando esses recursos estão relacionados aos controles CSPM do Security Hub que fazem parte do padrão gerenciado pelo **serviço CSPM do Security Hub: AWS Control** Tower. | 22 de maio de 2023 | | [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy) – atualização para uma política existente | A AWS Control Tower adicionou novas permissões que permitem que a AWS Control Tower faça chamadas para`EnableRegion`,`ListRegions`, e `GetRegionOptStatus` APIs implementadas pelo serviço de gerenciamento de AWS contas, para Regiões da AWS disponibilizar o opt-in para contas de clientes na landing zone (conta de gerenciamento, conta de arquivamento de registros, conta de auditoria, contas de membros da OU). Essa mudança é necessária para que os clientes tenham a opção de expandir a governança de região do AWS Control Tower para as regiões opcionais. | 6 de abril de 2023 | | [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy) – atualização para uma política existente | O AWS Control Tower adicionou novas permissões que autorizam o AWS Control Tower a assumir o perfil `AWSControlTowerBlueprintAccess` na conta de esquema (hub), que é uma conta dedicada em uma organização, contendo esquemas predefinidos armazenados em um ou mais produtos do Service Catalog. O AWS Control Tower assume o perfil `AWSControlTowerBlueprintAccess` para realizar três tarefas: criar um portfólio do Service Catalog, adicionar o produto do esquema solicitado e compartilhar o portfólio com uma conta-membro solicitada no momento do provisionamento da conta. Essa alteração é necessária para que os clientes possam provisionar contas personalizadas por meio do Account Factory do AWS Control Tower. | 28 de outubro de 2022 | | [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy) – atualização para uma política existente | O AWS Control Tower adicionou novas permissões que permitem aos clientes configurar AWS CloudTrail trilhas em nível organizacional, começando na versão 3.0 do landing zone. O CloudTrail recurso baseado na organização exige que os clientes tenham acesso confiável habilitado para o CloudTrail serviço, e o usuário ou função do IAM deve ter permissão para criar uma trilha em nível organizacional na conta de gerenciamento. | 20 de junho de 2022 | | [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy) – atualização para uma política existente | O AWS Control Tower adicionou novas permissões que autorizam os clientes a usar a criptografia de chaves do KMS. O recurso KMS permite que os clientes forneçam sua própria chave KMS para criptografar seus registros. CloudTrail Os clientes também podem alterar a chave do KMS durante a atualização ou o reparo da zona de pouso. Ao atualizar a chave KMS, AWS CloudFormation precisa de permissões para chamar a AWS CloudTrail `PutEventSelector` API. A mudança na política é permitir que a **AWS ControlTowerAdmin**função chame a AWS CloudTrail `PutEventSelector` API. | 28 de julho de 2021 | | AWS Control Tower começou a monitorar alterações | O AWS Control Tower começou a monitorar as mudanças em suas políticas AWS gerenciadas. | 27 de maio de 2021 |