AWS Control Tower 的受管政策 - AWS Control Tower

AWS Control Tower 的受管政策

AWS 透過提供由建立和管理的獨立 IAM 政策，解決許多常見的使用案例 AWS。受管政策授與常見使用案例中必要的許可，讓您免於查詢需要哪些許可。如需詳細資訊，請參閱《IAM 使用者指南》中的 AWS 受管政策。

變更	描述	Date
AWS ControlTowerAccountServiceRolePolicy – 更新現有政策	AWS Control Tower 已更新現有政策，以改善 Amazon EventBridge 規則條件的驗證精確度。更新會將`events:detail-type`條件從 `StringEquals` 移至 `ForAllValues:StringEquals`，以獲得更好的事件模式比對控制，同時維持相同的功能許可。	2025 年 12 月 30 日
AWS ControlTowerAccountServiceRolePolicy – 更新現有政策	AWS Control Tower 新增了延伸下列許可的新政策： AWS Config 建立、標記、刪除、管理和讀取服務連結組態彙總器的許可 AWS Config 描述所有組態彙總器的許可 AWS Organizations 列出委派管理員的許可 AWS Config AWS Organizations 描述組織的許可 CloudFormation 管理服務連結勾點的許可	2025 年 11 月 10 日
AWS ControlTowerServiceRolePolicy – 更新受管政策	AWS Control Tower 已更新 AWS ControlTowerServiceRolePolicy 中的 Amazon CloudWatch Logs 資源模式，以支援登陸區域 4.0 的選用 AWS CloudTrail 整合。模式從變更為 `aws-controltower/CloudTrailLogs:` `aws-controltower/CloudTrailLogs:*`，在之後新增萬用字元`CloudTrailLogs`，以允許管理具有任何尾碼的日誌群組。此更新會啟用登陸區域 4.0 的選用 AWS CloudTrail 整合，讓客戶能夠多次啟用和停用 AWS CloudTrail 整合。每次啟用整合時，都會使用唯一的尾碼重新建立 Amazon CloudWatch Logs 日誌群組，以避免命名衝突。更新與現有部署回溯相容。	2025 年 10 月 31 日
AWS ControlTowerCloudTrailRolePolicy – 新的受管政策	AWS Control Tower 推出了 AWS ControlTowerCloudTrailRolePolicy 受管政策，允許 CloudTrail 建立日誌串流並將日誌事件發佈至 Control Tower 受管 Amazon CloudWatch Logs 日誌群組。此受管政策會取代 AWS ControlTowerCloudTrailRole 先前使用的內嵌政策，讓 AWS 無需客戶介入即可更新政策。政策的範圍是記錄名稱符合模式的群組`aws-controltower/CloudTrailLogs*`。	2025 年 10 月 31 日
AWS ControlTowerIdentityCenterManagementPolicy – 新政策	AWS Control Tower 新增了一項新政策，允許客戶在已註冊 AWS Control Tower 的帳戶中設定 IAM Identity Center 資源，並允許 AWS Control Tower 在自動註冊帳戶時修復某些類型的偏離。需要此變更，客戶才能在 AWS Control Tower 中設定 IAM Identity Center，讓 AWS Control Tower 可以修復自動註冊偏離。	2025 年 10 月 10 日
AWS ControlTowerServiceRolePolicy – 更新現有政策	AWS Control Tower 新增了新的 CloudFormation 許可，允許 AWS Control Tower 在自動將帳戶註冊到 AWS Control Tower 時，查詢堆疊集資源並將其部署到成員帳戶。	2025 年 10 月 10 日
AWS ControlTowerServiceRolePolicy – 更新現有政策	AWS Control Tower 新增了允許客戶啟用和停用服務連結 AWS Config 規則的新許可。需要此變更，客戶才能管理由 Config 規則部署的控制項。	2025 年 6 月 5 日
AWS ControlTowerServiceRolePolicy – 更新現有政策	AWS Control Tower 新增了新的許可，允許 AWS Control Tower 在上呼叫 AWS CloudFormation 服務 APIs `SetTypeConfiguration`、 `ActivateTypeDeactivateType`和 `AWS::ControlTower types`。此變更可讓客戶佈建主動控制，而無需部署私有 CloudFormation 勾點類型。	2024 年 12 月 10 日
AWS ControlTowerAccountServiceRolePolicy – 新政策	AWS Control Tower 新增了新的服務連結角色，可讓 AWS Control Tower 建立和管理事件規則，並根據這些規則管理與 Security Hub CSPM 相關的控制項的偏離偵測。需要此變更，以便當這些資源與 Security Hub CSPM 控制項相關時，客戶可以在主控台中檢視漂移的資源，這些控制項屬於 Security Hub CSPM 服務受管標準：AWS Control Tower 的一部分。	2023 年 5 月 22 日
AWS ControlTowerServiceRolePolicy – 更新現有政策	AWS Control Tower 新增了新的許可，允許 AWS Control Tower 對帳戶管理服務實作 AWS 的 `EnableRegion`、 `ListRegions`和 `GetRegionOptStatus` APIs 進行呼叫，讓登陸區域中的客戶帳戶（管理帳戶、日誌封存帳戶、稽核帳戶、OU 成員帳戶）可選擇加入 AWS 區域。需要此變更，以便客戶可以選擇將 AWS Control Tower 的區域管控擴展到選擇加入區域。	2023 年 4 月 6 日
AWS ControlTowerServiceRolePolicy – 更新現有政策	AWS Control Tower 新增了新的許可，允許 AWS Control Tower 在藍圖（中樞）帳戶中擔任`AWSControlTowerBlueprintAccess`角色，這是組織中的專用帳戶，其中包含存放在一或多個 Service Catalog 產品中的預先定義藍圖。AWS Control Tower 會擔任執行三個任務`AWSControlTowerBlueprintAccess`的角色：建立 Service Catalog 產品組合、新增請求的藍圖產品，並在帳戶佈建時將產品組合分享至請求的成員帳戶。需要此變更，客戶才能透過 AWS Control Tower 帳戶工廠佈建自訂帳戶。	2022 年 10 月 28 日
AWS ControlTowerServiceRolePolicy – 更新現有政策	AWS Control Tower 新增了新的許可，允許客戶設定組織層級 AWS CloudTrail 追蹤，從登陸區域 3.0 版開始。以組織為基礎的 CloudTrail 功能要求客戶為 CloudTrail 服務啟用信任存取，且 IAM 使用者或角色必須具有在管理帳戶中建立組織層級追蹤的許可。	2022 年 6 月 20 日
AWS ControlTowerServiceRolePolicy – 更新現有政策	AWS Control Tower 新增了允許客戶使用 KMS 金鑰加密的新許可。 KMS 功能可讓客戶提供自己的 KMS 金鑰來加密其 CloudTrail 日誌。客戶也可以在登陸區域更新或修復期間變更 KMS 金鑰。更新 KMS 金鑰時， AWS CloudFormation 需要呼叫 `PutEventSelector` API 的 AWS CloudTrail 許可。政策的變更是允許 AWS ControlTowerAdmin 角色呼叫 AWS CloudTrail `PutEventSelector` API。	2021 年 7 月 28 日
AWS Control Tower 開始追蹤變更	AWS Control Tower 開始追蹤其 AWS 受管政策的變更。	2021 年 5 月 27 日

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

使用 AWS Control Tower 主控台所需的許可

安全