Kebijakan terkelola untuk AWS Control Tower

AWS mengatasi banyak kasus penggunaan umum dengan menyediakan kebijakan IAM mandiri yang dibuat dan dikelola oleh. AWS Kebijakan terkelola memberikan izin yang diperlukan untuk kasus penggunaan umum sehingga Anda tidak perlu menyelidiki izin apa yang diperlukan. Untuk informasi selengkapnya, lihat Kebijakan Terkelola AWS dalam Panduan Pengguna IAM.

Perubahan	Deskripsi	Tanggal
AWSControlTowerAccountServiceRolePolicy— Kebijakan baru	AWS Control Tower menambahkan peran terkait layanan baru yang memungkinkan AWS Control Tower membuat dan mengelola aturan peristiwa, dan berdasarkan aturan tersebut, untuk mengelola deteksi drift untuk kontrol yang terkait dengan Security Hub. Perubahan ini diperlukan agar pelanggan dapat melihat sumber daya yang hanyut di konsol, ketika sumber daya tersebut terkait dengan kontrol Security Hub yang merupakan bagian dari Standar yang dikelola Layanan Security Hub: AWS Control Tower.	22 Mei 2023
AWS ControlTowerServiceRolePolicy – Pembaruan ke kebijakan yang ada	AWS Control Tower menambahkan izin baru yang memungkinkan AWS Control Tower melakukan panggilan ke`EnableRegion`,`ListRegions`, dan `GetRegionOptStatus` API yang diterapkan oleh layanan Manajemen AWS Akun, agar keikutsertaan Wilayah AWS tersedia untuk akun pelanggan di landing zone (Akun manajemen, akun arsip log, akun Audit, akun anggota OU). Perubahan ini diperlukan agar pelanggan dapat memiliki opsi untuk memperluas tata kelola Wilayah oleh AWS Control Tower ke dalam Wilayah keikutsertaan.	6 April 2023
AWS ControlTowerServiceRolePolicy – Pembaruan ke kebijakan yang ada	AWS Control Tower menambahkan izin baru yang memungkinkan AWS Control Tower `AWSControlTowerBlueprintAccess` berperan dalam akun blueprint (hub), yang merupakan akun khusus dalam suatu organisasi, yang berisi cetak biru yang telah ditentukan sebelumnya yang disimpan dalam satu atau beberapa Produk Service Catalog. AWS Control Tower mengambil `AWSControlTowerBlueprintAccess` peran untuk melakukan tiga tugas: membuat Portofolio Service Catalog, menambahkan cetak biru Produk yang diminta, dan membagikan Portofolio ke akun anggota yang diminta pada waktu penyediaan akun. Perubahan ini diperlukan agar pelanggan dapat menyediakan akun yang disesuaikan melalui AWS Control Tower Account Factory.	28 Oktober 2022
AWS ControlTowerServiceRolePolicy – Pembaruan ke kebijakan yang ada	AWS Control Tower menambahkan izin baru yang memungkinkan pelanggan menyiapkan AWS CloudTrail jejak tingkat organisasi, mulai dari landing zone versi 3.0. CloudTrail Fitur berbasis organisasi mengharuskan pelanggan untuk mengaktifkan akses tepercaya untuk CloudTrail layanan, dan pengguna atau peran IAM harus memiliki izin untuk membuat jejak tingkat organisasi di akun manajemen.	Juni 20, 2022
AWS ControlTowerServiceRolePolicy – Pembaruan ke kebijakan yang ada	AWS Control Tower menambahkan izin baru yang memungkinkan pelanggan menggunakan enkripsi kunci KMS. Fitur KMS memungkinkan pelanggan untuk menyediakan kunci KMS mereka sendiri untuk mengenkripsi log mereka. CloudTrail Pelanggan juga dapat mengubah kunci KMS selama pembaruan atau perbaikan landing zone. Saat memperbarui kunci KMS, AWS CloudFormation perlu izin untuk memanggil API. AWS CloudTrail `PutEventSelector` Perubahan kebijakan adalah mengizinkan AWS ControlTowerAdminperan memanggil AWS CloudTrail `PutEventSelector` API.	28 Juli 2021
AWS Control Tower mulai melacak perubahan	AWS Control Tower mulai melacak perubahan untuk kebijakan yang AWS dikelola.	27 Mei 2021

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Izin yang Diperlukan untuk Menggunakan AWS Control Tower Console

Keamanan