AWS Control Tower 的受管政策

AWS ControlTowerAccountServiceRolePolicy – 更新現有政策

AWS Control Tower 新增了新的許可，允許 AWS Control Tower 呼叫 AWS CloudFormation 服務 API，BatchDescribeTypeConfigurations以內部改善服務連結勾點。

AWS ControlTowerAccountServiceRolePolicy – 更新現有政策

AWS Control Tower 已更新現有政策，以改善 Amazon EventBridge 規則條件的驗證精確度。更新會將events:detail-type條件從 StringEquals 移至 ForAllValues:StringEquals，以獲得更好的事件模式比對控制，同時維持相同的功能許可。

AWS ControlTowerAccountServiceRolePolicy – 更新現有政策

AWS Control Tower 新增了延伸下列許可的新政策：

AWS ControlTowerServiceRolePolicy – 更新 受管政策

AWS Control Tower 已更新 AWS ControlTowerServiceRolePolicy 中的 Amazon CloudWatch Logs 資源模式，以支援登陸區域 4.0 的選用 AWS CloudTrail 整合。模式從 變更為 aws-controltower/CloudTrailLogs:* aws-controltower/CloudTrailLogs*:*，在 之後新增萬用字元CloudTrailLogs，以允許管理具有任何尾碼的日誌群組。

此更新會啟用登陸區域 4.0 的選用 AWS CloudTrail 整合，讓客戶能夠多次啟用和停用 AWS CloudTrail 整合。每次啟用整合時，都會使用唯一的尾碼重新建立 Amazon CloudWatch Logs 日誌群組，以避免命名衝突。更新與現有部署回溯相容。

AWS ControlTowerCloudTrailRolePolicy – 新的 受管政策

AWS Control Tower 推出 AWS ControlTowerCloudTrailRolePolicy 受管政策，允許 CloudTrail 建立日誌串流並將日誌事件發佈至 Control Tower 受管 Amazon CloudWatch Logs 日誌群組。

此受管政策會取代 AWS ControlTowerCloudTrailRole 先前使用的內嵌政策，讓 AWS 無需客戶介入即可更新政策。此政策的範圍是使用符合模式 的名稱來記錄群組aws-controltower/CloudTrailLogs*。

AWS ControlTowerIdentityCenterManagementPolicy – 新政策

AWS Control Tower 新增了一項新政策，允許客戶在已註冊 AWS Control Tower 的帳戶中設定 IAM Identity Center 資源，並允許 AWS Control Tower 在自動註冊帳戶時修復某些類型的偏離。

需要此變更，客戶才能在 AWS Control Tower 中設定 IAM Identity Center，讓 AWS Control Tower 可以修復自動註冊偏離。

AWS ControlTowerServiceRolePolicy – 更新現有政策

AWS Control Tower 新增了新的 CloudFormation 許可，允許 AWS Control Tower 在自動將帳戶註冊到 AWS Control Tower 時，查詢堆疊集資源並將其部署到成員帳戶。

AWS ControlTowerServiceRolePolicy – 更新現有政策

AWS Control Tower 新增了允許客戶啟用和停用服務連結 AWS Config 規則的新許可。

需要此變更，客戶才能管理由 Config 規則部署的控制項。

AWS ControlTowerServiceRolePolicy – 更新現有政策

AWS Control Tower 新增了新的許可，允許 AWS Control Tower 在 上呼叫 AWS CloudFormation 服務 APIs SetTypeConfiguration、 ActivateTypeDeactivateType和 AWS::ControlTower types。

此變更可讓客戶佈建主動控制，而無需部署私有 CloudFormation 勾點類型。

AWS ControlTowerAccountServiceRolePolicy – 新政策

AWS Control Tower 新增了新的服務連結角色，可讓 AWS Control Tower 建立和管理事件規則，並根據這些規則管理與 Security Hub CSPM 相關的控制項的偏離偵測。

需要進行此變更，以便當這些資源與 Security Hub CSPM 控制相關時，客戶可以在主控台中檢視漂移的資源，這些控制屬於 Security Hub CSPM 服務受管標準：AWS Control Tower 的一部分。

AWS ControlTowerServiceRolePolicy – 更新現有政策

AWS Control Tower 新增了新的許可，允許 AWS Control Tower 呼叫帳戶管理服務實作的 AWS EnableRegion、 ListRegions和 GetRegionOptStatus APIs，讓登陸區域中的客戶帳戶 （管理帳戶、日誌封存帳戶、稽核帳戶、OU 成員帳戶） 可選擇加入 AWS 區域 。

需要此變更，以便客戶可以選擇將 AWS Control Tower 的區域控管擴展到選擇加入區域。

AWS ControlTowerServiceRolePolicy – 更新現有政策

AWS Control Tower 新增了新的許可，允許 AWS Control Tower 在藍圖 （中樞） 帳戶中擔任AWSControlTowerBlueprintAccess角色，這是組織中的專用帳戶，其中包含存放在一或多個 Service Catalog 產品中的預先定義藍圖。AWS Control Tower 會擔任執行三個任務AWSControlTowerBlueprintAccess的角色：建立 Service Catalog 產品組合、新增請求的藍圖產品，並在帳戶佈建時將產品組合分享至請求的成員帳戶。

需要此變更，客戶才能透過 AWS Control Tower 帳戶工廠佈建自訂帳戶。

AWS ControlTowerServiceRolePolicy – 更新現有政策

AWS Control Tower 新增了新的許可，允許客戶設定組織層級 AWS CloudTrail 追蹤，從登陸區域 3.0 版開始。

以組織為基礎的 CloudTrail 功能要求客戶為 CloudTrail 服務啟用信任存取，且 IAM 使用者或角色必須具有在管理帳戶中建立組織層級追蹤的許可。

AWS ControlTowerServiceRolePolicy – 更新現有政策

AWS Control Tower 新增了允許客戶使用 KMS 金鑰加密的新許可。

KMS 功能可讓客戶提供自己的 KMS 金鑰來加密其 CloudTrail 日誌。客戶也可以在登陸區域更新或修復期間變更 KMS 金鑰。更新 KMS 金鑰時， AWS CloudFormation AWS CloudTrail 需要許可才能呼叫 PutEventSelector API。政策的變更是允許 AWS ControlTowerAdmin 角色呼叫 AWS CloudTrail PutEventSelector API。

AWS Control Tower 開始追蹤變更

AWS Control Tower 開始追蹤其 AWS 受管政策的變更。