Policy gestite per AWS Control Tower

AWSControlTowerAccountServiceRolePolicy— Una nuova politica

AWS Control Tower ha aggiunto un nuovo ruolo collegato ai servizi che consente ad AWS Control Tower di creare e gestire regole relative agli eventi e, in base a tali regole, di gestire il rilevamento delle deviazioni per i controlli correlati a Security Hub.

Questa modifica è necessaria per consentire ai clienti di visualizzare le risorse alla deriva nella console, quando tali risorse sono correlate ai controlli del Security Hub che fanno parte del Security Hub Service-managed Standard: AWS Control Tower.

AWS ControlTowerServiceRolePolicy: aggiornamento a una policy esistente

AWS Control Tower ha aggiunto nuove autorizzazioni che consentono ad AWS Control Tower di effettuare chiamate verso e alle GetRegionOptStatus API implementate dal servizio AWS Account Management, per rendere Regioni AWS disponibile l'opt-in per gli account dei clienti nella landing zone (account di gestione, account di archivio dei log, account di audit, account membri dell'OU). EnableRegion ListRegions

Questa modifica è necessaria in modo che i clienti possano avere la possibilità di espandere la governance della regione tramite AWS Control Tower alle regioni opt-in.

AWS ControlTowerServiceRolePolicy: aggiornamento a una policy esistente

AWS Control Tower ha aggiunto nuove autorizzazioni che consentono ad AWS Control Tower di assumere il AWSControlTowerBlueprintAccess ruolo nell'account blueprint (hub), che è un account dedicato in un'organizzazione, contenente blueprint predefiniti archiviati in uno o più prodotti Service Catalog. AWS Control Tower si assume il AWSControlTowerBlueprintAccess ruolo di svolgere tre attività: creare un Service Catalog Portfolio, aggiungere il prodotto blueprint richiesto e condividere il portafoglio con un account membro richiesto al momento del provisioning dell'account.

Questa modifica è necessaria per consentire ai clienti di effettuare il provisioning di account personalizzati tramite AWS Control Tower Account Factory.

AWS ControlTowerServiceRolePolicy: aggiornamento a una policy esistente

AWS Control Tower ha aggiunto nuove autorizzazioni che consentono ai clienti di configurare AWS CloudTrail percorsi a livello di organizzazione, a partire dalla versione 3.0 della landing zone.

La CloudTrail funzionalità basata sull'organizzazione richiede che i clienti abbiano abilitato l'accesso affidabile per il CloudTrail servizio e l'utente o il ruolo IAM deve avere l'autorizzazione per creare un percorso a livello di organizzazione nell'account di gestione.

AWS ControlTowerServiceRolePolicy: aggiornamento a una policy esistente

AWS Control Tower ha aggiunto nuove autorizzazioni che consentono ai clienti di utilizzare la crittografia a chiave KMS.

La funzionalità KMS consente ai clienti di fornire la propria chiave KMS per crittografare i propri log. CloudTrail I clienti possono anche modificare la chiave KMS durante l'aggiornamento o la riparazione della landing zone. Quando si aggiorna la chiave KMS, sono AWS CloudFormation necessarie le autorizzazioni per chiamare l'API. AWS CloudTrail PutEventSelector La modifica alla politica consente al AWS ControlTowerAdminruolo di chiamare l' AWS CloudTrail PutEventSelectorAPI.

AWS Control Tower ha iniziato a tracciare le modifiche

AWS Control Tower ha iniziato a tracciare le modifiche per le sue policy AWS gestite.