Políticas administradas para AWS Control Tower

AWSControlTowerAccountServiceRolePolicy— Una nueva política

AWS Control Tower agregó una nueva función vinculada a un servicio que permite a AWS Control Tower crear y administrar reglas de eventos y, en función de esas reglas, administrar la detección de desviaciones para los controles relacionados con Security Hub.

Este cambio es necesario para que los clientes puedan ver los recursos desviados en la consola, cuando esos recursos están relacionados con los controles de Security Hub que forman parte del estándar gestionado por el servicio Security Hub: AWS Control Tower.

AWS ControlTowerServiceRolePolicy: actualización de una política actual

AWS Control Tower agregó nuevos permisos que permiten a AWS Control Tower realizar llamadas al servicio de administración de cuentas y a las EnableRegion GetRegionOptStatus API implementadas por el servicio de administración de AWS cuentas, para que la suscripción Regiones de AWS esté disponible para las cuentas de los clientes en la zona de aterrizaje (cuenta de administración, cuenta de archivo de registros, cuenta de auditoría, cuentas de miembros de la OU). ListRegions

Este cambio es necesario para que los clientes puedan tener la opción de ampliar la gobernanza regional de AWS Control Tower a las regiones que opten por participar.

AWS ControlTowerServiceRolePolicy: actualización de una política actual

AWS Control Tower agregó nuevos permisos que permiten a AWS Control Tower asumir el AWSControlTowerBlueprintAccess rol en la cuenta blueprint (hub), que es una cuenta dedicada en una organización que contiene planos predefinidos almacenados en uno o más productos de Service Catalog. AWS Control Tower asume la AWSControlTowerBlueprintAccess función de realizar tres tareas: crear una cartera de Service Catalog, añadir el producto plano solicitado y compartir la cartera con la cuenta de un miembro solicitado en el momento del aprovisionamiento de la cuenta.

Este cambio es necesario para que los clientes puedan aprovisionar cuentas personalizadas a través de AWS Control Tower Account Factory.

AWS ControlTowerServiceRolePolicy: actualización de una política actual

AWS Control Tower agregó nuevos permisos que permiten a los clientes configurar AWS CloudTrail rutas a nivel de organización, a partir de la versión 3.0 de landing zone.

La CloudTrail función basada en la organización requiere que los clientes tengan habilitado el acceso de confianza al CloudTrail servicio y que el usuario o rol de IAM tenga permiso para crear un registro a nivel de organización en la cuenta de administración.

AWS ControlTowerServiceRolePolicy: actualización de una política actual

AWS Control Tower agregó nuevos permisos que permiten a los clientes usar el cifrado de claves KMS.

La función KMS permite a los clientes proporcionar su propia clave KMS para cifrar sus CloudTrail registros. Los clientes también pueden cambiar la clave KMS durante la actualización o reparación de la zona de aterrizaje. Al actualizar la clave KMS, AWS CloudFormation necesita permisos para llamar a la AWS CloudTrail PutEventSelector API. El cambio en la política consiste en permitir que el AWS ControlTowerAdminrol llame a la AWS CloudTrail PutEventSelector API.

AWS Control Tower comenzó a rastrear los cambios

AWS Control Tower comenzó a realizar un seguimiento de los cambios en sus políticas AWS administradas.