AWS Control Tower 的受管政策

AWS ControlTowerServiceRolePolicy – 更新現有政策

AWS Control Tower 新增了允許客戶啟用和停用服務連結 AWS Config 規則的新許可。

需要此變更，客戶才能管理由 Config 規則部署的控制項。

AWS ControlTowerServiceRolePolicy – 更新現有政策

AWS Control Tower 新增了新的許可，允許 AWS Control Tower 在 上呼叫 AWS CloudFormation 服務 APIs SetTypeConfiguration、 ActivateTypeDeactivateType和 AWS::ControlTower types。

此變更可讓客戶佈建主動控制，而無需部署私有 AWS CloudFormation 勾點類型。

AWSControlTowerAccountServiceRolePolicy – 新政策

AWS Control Tower 新增了新的服務連結角色，可讓 AWS Control Tower 建立和管理事件規則，並根據這些規則管理與 Security Hub 相關的控制項的偏離偵測。

需要此變更，才能讓客戶在主控台中檢視漂移的資源，因為這些資源與 Security Hub 受管標準 AWS Control Tower 中的 Security Hub 控制項相關。

AWS ControlTowerServiceRolePolicy – 更新現有政策

AWS Control Tower 新增了新的許可，允許 AWS Control Tower 呼叫帳戶管理服務實作的 AWS EnableRegion、 ListRegions和 GetRegionOptStatus APIs，讓登陸區域中的客戶帳戶 （管理帳戶、日誌封存帳戶、稽核帳戶、OU 成員帳戶） 可選擇加入 AWS 區域 。

需要此變更，以便客戶可以選擇將 AWS Control Tower 的區域控管擴展到選擇加入區域。

AWS ControlTowerServiceRolePolicy – 更新現有政策

AWS Control Tower 新增了新的許可，允許 AWS Control Tower 在藍圖 （中樞） 帳戶中擔任該AWSControlTowerBlueprintAccess角色，這是組織中的專用帳戶，其中包含存放在一或多個 Service Catalog 產品中的預先定義藍圖。AWS Control Tower 會擔任執行三個任務AWSControlTowerBlueprintAccess的角色：建立 Service Catalog 產品組合、新增請求的藍圖產品，並在帳戶佈建時將產品組合分享至請求的成員帳戶。

需要此變更，客戶才能透過 AWS Control Tower 帳戶工廠佈建自訂帳戶。

AWS ControlTowerServiceRolePolicy – 更新現有政策

AWS Control Tower 新增了新的許可，允許客戶設定組織層級 AWS CloudTrail 追蹤，從登陸區域 3.0 版開始。

以組織為基礎的 CloudTrail 功能要求客戶為 CloudTrail 服務啟用信任存取，且 IAM 使用者或角色必須具有在管理帳戶中建立組織層級追蹤的許可。

AWS ControlTowerServiceRolePolicy – 更新現有政策

AWS Control Tower 新增了允許客戶使用 KMS 金鑰加密的新許可。

KMS 功能可讓客戶提供自己的 KMS 金鑰來加密其 CloudTrail 日誌。客戶也可以在登陸區域更新或修復期間變更 KMS 金鑰。更新 KMS 金鑰時， AWS CloudFormation 需要呼叫 PutEventSelector API 的 AWS CloudTrail 許可。政策的變更是允許 AWS ControlTowerAdmin 角色呼叫 AWS CloudTrail PutEventSelector API。

AWS Control Tower 開始追蹤變更

AWS Control Tower 開始追蹤其 AWS 受管政策的變更。