

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS Control Tower 的受管政策


AWS 提供由 建立和管理的獨立 IAM 政策，以解決許多常見的使用案例 AWS。受管政策授與常見使用案例中必要的許可，讓您免於查詢需要哪些許可。如需詳細資訊，請參閱《*IAM 使用者指南*》中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。


| 變更 | 描述 | Date | 
| --- | --- | --- | 
|  [AWS ControlTowerAccountServiceRolePolicy](access-control-managing-permissions.md#account-service-role-policy) – 更新現有政策  |  AWS Control Tower 新增了新的許可，允許 AWS Control Tower 呼叫 AWS CloudFormation 服務 API，`BatchDescribeTypeConfigurations`以內部改善服務連結勾點。  | 2026 年 3 月 23 日 | 
|  [AWS ControlTowerAccountServiceRolePolicy](access-control-managing-permissions.md#account-service-role-policy) – 更新現有政策  |  AWS Control Tower 已更新現有政策，以改善 Amazon EventBridge 規則條件的驗證精確度。更新會將`events:detail-type`條件從 `StringEquals` 移至 `ForAllValues:StringEquals`，以獲得更好的事件模式比對控制，同時維持相同的功能許可。  | 2025 年 12 月 30 日 | 
|  [AWS ControlTowerAccountServiceRolePolicy](access-control-managing-permissions.md#account-service-role-policy) – 更新現有政策  |  AWS Control Tower 新增了延伸下列許可的新政策： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/controltower/latest/userguide/managed-policies-table.html)  | 2025 年 11 月 10 日 | 
|  [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy) – 更新 受管政策  |  AWS Control Tower 已更新 AWS ControlTowerServiceRolePolicy 中的 Amazon CloudWatch Logs 資源模式，以支援登陸區域 4.0 的選用 AWS CloudTrail 整合。模式從 變更為 `aws-controltower/CloudTrailLogs:*` `aws-controltower/CloudTrailLogs*:*`，在 之後新增萬用字元`CloudTrailLogs`，以允許管理具有任何尾碼的日誌群組。 此更新會啟用登陸區域 4.0 的選用 AWS CloudTrail 整合，讓客戶能夠多次啟用和停用 AWS CloudTrail 整合。每次啟用整合時，都會使用唯一的尾碼重新建立 Amazon CloudWatch Logs 日誌群組，以避免命名衝突。更新與現有部署回溯相容。  | 2025 年 10 月 31 日 | 
|  [AWS ControlTowerCloudTrailRolePolicy](access-control-managing-permissions.md#AWSControlTowerCloudTrailRolePolicy) – 新的 受管政策  |  AWS Control Tower 推出 AWS ControlTowerCloudTrailRolePolicy 受管政策，允許 CloudTrail 建立日誌串流並將日誌事件發佈至 Control Tower 受管 Amazon CloudWatch Logs 日誌群組。 此受管政策會取代 AWS ControlTowerCloudTrailRole 先前使用的內嵌政策，讓 AWS 無需客戶介入即可更新政策。此政策的範圍是使用符合模式 的名稱來記錄群組`aws-controltower/CloudTrailLogs*`。  | 2025 年 10 月 31 日 | 
|  [AWS ControlTowerIdentityCenterManagementPolicy](access-control-managing-permissions.md#AWSControlTowerIdentityCenterManagementPolicy) – 新政策  |  AWS Control Tower 新增了一項新政策，允許客戶在已註冊 AWS Control Tower 的帳戶中設定 IAM Identity Center 資源，並允許 AWS Control Tower 在自動註冊帳戶時修復某些類型的偏離。 需要此變更，客戶才能在 AWS Control Tower 中設定 IAM Identity Center，讓 AWS Control Tower 可以修復自動註冊偏離。 | 2025 年 10 月 10 日 | 
|   [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy) – 更新現有政策  |  AWS Control Tower 新增了新的 CloudFormation 許可，允許 AWS Control Tower 在自動將帳戶註冊到 AWS Control Tower 時，查詢堆疊集資源並將其部署到成員帳戶。  | 2025 年 10 月 10 日 | 
|  [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy) – 更新現有政策  |  AWS Control Tower 新增了允許客戶啟用和停用服務連結 AWS Config 規則的新許可。 需要此變更，客戶才能管理由 Config 規則部署的控制項。  | 2025 年 6 月 5 日 | 
|  [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy) – 更新現有政策  |  AWS Control Tower 新增了新的許可，允許 AWS Control Tower 在 上呼叫 AWS CloudFormation 服務 APIs `SetTypeConfiguration`、 `ActivateType``DeactivateType`和 `AWS::ControlTower types`。 此變更可讓客戶佈建主動控制，而無需部署私有 CloudFormation 勾點類型。  | 2024 年 12 月 10 日 | 
|  [AWS ControlTowerAccountServiceRolePolicy](access-control-managing-permissions.md#account-service-role-policy) – 新政策  |  AWS Control Tower 新增了新的服務連結角色，可讓 AWS Control Tower 建立和管理事件規則，並根據這些規則管理與 Security Hub CSPM 相關的控制項的偏離偵測。 需要進行此變更，以便當這些資源與 Security Hub CSPM 控制相關時，客戶可以在主控台中檢視漂移的資源，這些控制屬於 **Security Hub CSPM 服務受管標準：AWS Control Tower** 的一部分。 | 2023 年 5 月 22 日 | 
|  [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy) – 更新現有政策  |  AWS Control Tower 新增了新的許可，允許 AWS Control Tower 呼叫帳戶管理服務實作的 AWS `EnableRegion`、 `ListRegions`和 `GetRegionOptStatus` APIs，讓登陸區域中的客戶帳戶 （管理帳戶、日誌封存帳戶、稽核帳戶、OU 成員帳戶） 可選擇加入 AWS 區域 。 需要此變更，以便客戶可以選擇將 AWS Control Tower 的區域控管擴展到選擇加入區域。  | 2023 年 4 月 6 日 | 
|  [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy) – 更新現有政策  |  AWS Control Tower 新增了新的許可，允許 AWS Control Tower 在藍圖 （中樞） 帳戶中擔任`AWSControlTowerBlueprintAccess`角色，這是組織中的專用帳戶，其中包含存放在一或多個 Service Catalog 產品中的預先定義藍圖。AWS Control Tower 會擔任執行三個任務`AWSControlTowerBlueprintAccess`的角色：建立 Service Catalog 產品組合、新增請求的藍圖產品，並在帳戶佈建時將產品組合分享至請求的成員帳戶。 需要此變更，客戶才能透過 AWS Control Tower 帳戶工廠佈建自訂帳戶。  | 2022 年 10 月 28 日 | 
|  [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy) – 更新現有政策  |  AWS Control Tower 新增了新的許可，允許客戶設定組織層級 AWS CloudTrail 追蹤，從登陸區域 3.0 版開始。 以組織為基礎的 CloudTrail 功能要求客戶為 CloudTrail 服務啟用信任存取，且 IAM 使用者或角色必須具有在管理帳戶中建立組織層級追蹤的許可。  | 2022 年 6 月 20 日 | 
|  [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy) – 更新現有政策  |  AWS Control Tower 新增了允許客戶使用 KMS 金鑰加密的新許可。 KMS 功能可讓客戶提供自己的 KMS 金鑰來加密其 CloudTrail 日誌。客戶也可以在登陸區域更新或修復期間變更 KMS 金鑰。更新 KMS 金鑰時， AWS CloudFormation AWS CloudTrail 需要許可才能呼叫 `PutEventSelector` API。政策的變更是允許 **AWS ControlTowerAdmin** 角色呼叫 AWS CloudTrail `PutEventSelector` API。  | 2021 年 7 月 28 日 | 
|  AWS Control Tower 開始追蹤變更  |  AWS Control Tower 開始追蹤其 AWS 受管政策的變更。  | 2021 年 5 月 27 日 |