Políticas administradas para AWS Control Tower

AWS ControlTowerServiceRolePolicy: actualización de una política actual

AWS Control Tower agregó nuevos permisos que permiten a AWS Control Tower realizar llamadas al AWS CloudFormation servicio APIs ActivateType DeactivateTypeSetTypeConfiguration, AWS::ControlTower types etc.

Este cambio permite a los clientes aprovisionar controles proactivos sin necesidad de implementar tipos AWS CloudFormation de enlaces privados.

AWSControlTowerAccountServiceRolePolicy: una política nueva

AWS Control Tower añadió un rol nuevo vinculado al servicio que permite a AWS Control Tower crear y administrar reglas de eventos y, en función de esas reglas, administrar la detección de desviaciones de los controles relacionados con Security Hub.

Este cambio es necesario para que los clientes puedan ver los recursos desviados en la consola, cuando dichos recursos están relacionados con controles de Security Hub que forman parte del Estándar administrado por servicios de Security Hub: AWS Control Tower.

AWS ControlTowerServiceRolePolicy: actualización de una política actual

AWS Control Tower agregó nuevos permisos que permiten a AWS Control Tower realizar llamadas al servicio de administración de cuentas EnableRegionListRegions, e GetRegionOptStatus APIs implementados por el servicio de administración de AWS cuentas, para que la suscripción Regiones de AWS esté disponible para las cuentas de los clientes en la zona de aterrizaje (cuenta de administración, cuenta de archivo de registros, cuenta de auditoría, cuentas de miembros de la OU).

Este cambio es necesario para que los clientes puedan tener la opción de ampliar la gobernanza de las regiones de inscripción de AWS Control Tower.

AWS ControlTowerServiceRolePolicy: actualización de una política actual

AWS Control Tower añadió permisos nuevos para poder asumir el rol AWSControlTowerBlueprintAccess en la cuenta de esquema (principal), que es una cuenta dedicada en una organización que contiene esquemas predefinidos almacenados en uno o varios productos de Service Catalog. AWS Control Tower asume el rol AWSControlTowerBlueprintAccess para realizar tres tareas: crear una cartera de Service Catalog, añadir el producto esquema solicitado y compartir la cartera con una cuenta de miembro solicitada en el momento del aprovisionamiento de la cuenta.

Este cambio es necesario para que los clientes puedan aprovisionar cuentas personalizadas a través del generador de cuentas de AWS Control Tower.

AWS ControlTowerServiceRolePolicy: actualización de una política actual

AWS Control Tower agregó nuevos permisos que permiten a los clientes configurar AWS CloudTrail rutas a nivel de organización, a partir de la versión 3.0 de landing zone.

La CloudTrail función basada en la organización requiere que los clientes tengan habilitado el acceso de confianza al CloudTrail servicio y que el usuario o rol de IAM tenga permiso para crear un registro a nivel de organización en la cuenta de administración.

AWS ControlTowerServiceRolePolicy: actualización de una política actual

AWS Control Tower añadió permisos nuevos que permiten a los clientes utilizar el cifrado de claves KMS.

La función KMS permite a los clientes proporcionar su propia clave de KMS para cifrar sus registros. CloudTrail Los clientes también pueden cambiar la clave de KMS durante la actualización o reparación de la zona de aterrizaje. Al actualizar la clave de KMS, AWS CloudFormation necesita permisos para llamar a la AWS CloudTrail PutEventSelector API. El cambio en la política consiste en permitir que el AWS ControlTowerAdminrol llame a la AWS CloudTrail PutEventSelector API.

AWS Control Tower comenzó a realizar el seguimiento de los cambios

AWS Control Tower comenzó a realizar un seguimiento de los cambios en sus políticas AWS administradas.