AWS Control Tower 的托管策略 - AWS Control Tower

AWS Control Tower 的托管策略

AWS 通过提供由创建和管理的独立 IAM 策略来解决许多常见用例 AWS。托管策略可针对常见使用案例授予必要权限，因此，您无需自行调查具体需要哪些权限。有关更多信息，请参阅《IAM 用户指南》中的 AWS 托管式策略。

更改	描述	日期
AWS ControlTowerAccountServiceRolePolicy：对现有策略的更新	AWS Control Tower 更新了现有政策，以提高亚马逊 EventBridge 规则条件的验证精度。此更新将`events:detail-type`条件从移`StringEquals`至，`ForAllValues:StringEquals`以便更好地控制事件模式匹配，同时保持相同的功能权限。	2025 年 12 月 30 日
AWS ControlTowerAccountServiceRolePolicy：对现有策略的更新	AWS Control Tower 添加了一项新策略，该策略扩展了以下权限： AWS Config 创建、标记、删除、管理和读取服务相关配置聚合器的权限 AWS Config 描述所有配置聚合器的权限 AWS Organizations 列出授权管理员的权限 AWS Config AWS Organizations 描述组织的权限 CloudFormation 管理服务相关挂钩的权限	2025 年 11 月 10 日
AWS ControlTowerServiceRolePolicy— 更新了托管策略	AWS Control Tower 更新了中的亚马逊 CloudWatch 日志资源模式 AWS ControlTowerServiceRolePolicy ，以支持着陆区 4.0 的可选 AWS CloudTrail 集成。模式从更改`aws-controltower/CloudTrailLogs:`为`aws-controltower/CloudTrailLogs:*`，在后面添加了一个通配符`CloudTrailLogs`，以允许管理带有任何后缀的日志组。此更新启用了 Landing Zone 4.0 的可选 AWS CloudTrail 集成，允许客户多次启用和禁用 AWS CloudTrail 集成。每次启用集成时，都会使用唯一的后缀重新创建 Amazon Log CloudWatch s 日志组，以避免命名冲突。此更新向后兼容现有部署。	2025 年 10 月 31 日
AWS ControlTowerCloudTrailRolePolicy：新托管策略	AWS Control Tower 引入了 AWS ControlTowerCloudTrailRolePolicy 托管策略，该策略允许 CloudTrail 创建日志流并将日志事件发布到控制塔管理的 Amazon CloudWatch 日志组。此托管策略取代了以前使用的内联策略 AWS ControlTowerCloudTrailRole， AWS 允许在没有客户干预的情况下更新策略。该策略的范围仅限于名称与模式`aws-controltower/CloudTrailLogs*`匹配的日志组。	2025 年 10 月 31 日
AWS ControlTowerIdentityCenterManagementPolicy - 新策略	AWS Control Tower 新增了一项策略，即，允许客户在注册了 AWS Control Tower 的账户中配置 IAM Identity Center 资源，并允许 AWS Control Tower 在自动注册账户时纠正某些类型的偏移。需要进行此更改，以便客户可以在 AWS Control Tower 中配置 IAM Identity Center，并使 AWS Control Tower 能够纠正自动注册偏移。	2025 年 10 月 10 日
AWS ControlTowerServiceRolePolicy：对现有策略的更新	AWS Control Tower 添加了新的 CloudFormation 权限，允许 AWS Control Tower 在自动向 AWS Control Tower 注册账户时查询堆栈集资源并将其部署到成员账户。	2025 年 10 月 10 日
AWS ControlTowerServiceRolePolicy：对现有策略的更新	AWS Control Tower 添加了新的权限，允许客户启用和禁用服务相关 AWS Config 规则。需要进行此项更改，以便客户可以管理由 Config 规则部署的控件。	2025 年 6 月 5 日
AWS ControlTowerServiceRolePolicy：对现有策略的更新	AWS Control Tower 添加了新的权限，允许 AWS Control Tower 调用该 AWS CloudFormation 服务 APIs `ActivateTypeDeactivateTypeSetTypeConfiguration`、和`AWS::ControlTower types`。此更改允许客户在不部署私有 CloudFormation Hook 类型的情况下提供主动控制。	2024 年 12 月 10 日
AWS ControlTowerAccountServiceRolePolicy - 新策略	AWS Control Tower 添加了一个新的服务相关角色，允许 AWS Control Tower 创建和管理事件规则，并根据这些规则管理与 Security Hub CSPM 相关的控件的偏差检测。当这些资源与 Security Hub CSPM 服务托管标准：AWS Control Tower 中的 Sec urity Hub CSPM 控件相关时，需要进行此更改，以便客户可以在控制台中查看漂移的资源。	2023 年 5 月 22 日
AWS ControlTowerServiceRolePolicy：对现有策略的更新	AWS Control Tower 添加了新的权限 `EnableRegionListRegions`，允许 AWS Control Tower 调 AWS 区域用，并由 AWS 账户管理服务`GetRegionOptStatus` APIs 实施，使登录区域中的客户账户（管理账户、日志存档账户、审计账户、OU 成员账户）可以使用选择加入。这项更改的目的是，让客户可以选择将 AWS Control Tower 的区域监管扩展到可选择加入的区域。	2023 年 4 月 6 日
AWS ControlTowerServiceRolePolicy – 对现有策略的更新	AWS Control Tower 添加了新的权限，允许 AWS Control Tower 在蓝图（中心）账户中担任 `AWSControlTowerBlueprintAccess` 角色，该账户是组织中的专用账户，包含存储在一个或多个 Service Catalog 产品中的预定义蓝图。AWS Control Tower 担任 `AWSControlTowerBlueprintAccess` 角色来执行三项任务：创建 Service Catalog 产品组合，添加请求的蓝图产品，以及在预置账户时将产品组合分享到请求的成员账户。这项更改的目的是，让客户可以通过 AWS Control Tower Account Factory 配置自定义账户。	2022 年 10 月 28 日
AWS ControlTowerServiceRolePolicy：对现有策略的更新	从着陆区版本 3.0 开始，AWS Control Tower 添加了新的权限，允许客户设置组织级别的 AWS CloudTrail 跟踪。基于组织的 CloudTrail 功能要求客户为 CloudTrail 服务启用可信访问权限，并且 IAM 用户或角色必须有权在管理账户中创建组织级跟踪。	2022 年 6 月 20 日
AWS ControlTowerServiceRolePolicy：对现有策略的更新	AWS Control Tower 添加了新的权限，允许客户使用 KMS 密钥加密。 KMS 功能允许客户提供自己的 KMS 密钥来加密 CloudTrail 日志。客户还可以在登录区更新或修复期间更改 KMS 密钥。更新 KMS 密钥时， AWS CloudFormation 需要调用 AWS CloudTrail `PutEventSelector` API 的权限。此政策的更改是允许该AWS ControlTowerAdmin角色调用 AWS CloudTrail `PutEventSelector` API。	2021 年 7 月 28 日
AWS Control Tower 开始跟踪更改	AWS Control Tower 开始跟踪其 AWS 托管策略的变更。	2021 年 5 月 27 日

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

使用 AWS Control Tower 控制台所需要的权限

安全性