AWS Control Tower のマネージドポリシー

AWSControlTowerAccountServiceRolePolicy - 新しいポリシー

AWS Control Tower には、サービスにリンクされた新しいロールが追加されました。これにより、AWS Control Tower はイベントルールを作成および管理し、それらのルールに基づいて Security Hub に関連するコントロールのドリフト検出を管理できます。

この変更は、ドリフトしたリソースが Security Hub サービスマネージドスタンダード: AWS Control Tower の一部である Security Hub コントロールに関連している場合に、お客様がコンソールでリソースを確認するために必要です。

AWS ControlTowerServiceRolePolicy – 既存ポリシーへの更新

AWS Control Tower は、AWS Control Tower が AWS アカウント管理サービスによって実装された EnableRegion、ListRegions、および GetRegionOptStatus APIs を呼び出して、ランディングゾーンの顧客アカウント (管理アカウント、ログアーカイブアカウント、監査アカウント、OU メンバーアカウント) でオプトイン AWS リージョン を利用できるようにする新しいアクセス許可を追加しました。

この変更は、お客様が AWS Control Tower によるリージョン管理をオプトインリージョンに拡張するために必要です。

AWS ControlTowerServiceRolePolicy – 既存ポリシーへの更新

AWS Control Tower では、AWS Control Tower がブループリント (ハブ) アカウントで AWSControlTowerBlueprintAccess ロールを引き受けることができる新しいアクセス許可が追加されました。ブループリント (ハブ) アカウントは、組織内の専用アカウントであり、1 つ以上の Service Catalog 製品に保存されている事前定義済みのブループリントを含みます。AWS Control Tower は、Service Catalog ポートフォリオの作成、リクエストされたブループリント製品の追加、およびアカウントプロビジョニング時にリクエストされたメンバーアカウントへのポートフォリオの共有という 3 つのタスクを実行するために AWSControlTowerBlueprintAccess ロールを引き受けます。

この変更は、お客様が AWS Control Tower Account Factory を通じてカスタマイズされたアカウントをプロビジョニングするために必要です。

AWS ControlTowerServiceRolePolicy – 既存ポリシーへの更新

AWS Control Tower は、ランディングゾーンバージョン 3.0 以降、お客様が組織レベルの AWS CloudTrail 証跡を設定できるようにする新しいアクセス許可を追加しました。

組織ベースの CloudTrail 機能では、お客様は CloudTrail サービスに対して信頼されたアクセスを有効にする必要があり、IAM ユーザーまたはロールには管理アカウントに組織レベルの証跡を作成するアクセス許可が必要です。

AWS ControlTowerServiceRolePolicy – 既存のポリシーを更新します

AWS Control Tower では、お客様が KMS キー暗号化を使用できるようにする新しいアクセス許可が追加されました。

KMS 機能を使用すると、お客様は独自の KMS キーを提供して CloudTrail ログを暗号化できます。また、お客様は、ランディングゾーンの更新または修復中に KMS キーを変更することもできます。KMS キーを更新する場合、 AWS CloudTrail PutEventSelector API を呼び出すためのアクセス許可 AWS CloudFormation が必要です。ポリシーの変更は、AWS ControlTowerAdminロールが AWS CloudTrail PutEventSelector API を呼び出せるようにすることです。

AWS Control Tower は変更の追跡を開始しました

AWS Control Tower が AWS マネージドポリシーの変更の追跡を開始しました。