AWS Control Tower 的受管政策

AWSControlTowerAccountServiceRolePolicy— 新政策

AWS Control Tower 新增了一個新的服務連結角色，可讓 AWS Control Tower 建立和管理事件規則，並根據這些規則管理與 Security Hub 相關控制的漂移偵測。

當這些資源與屬於 Security Hub 服務管理標準：AWS Control Tower 一部分的 Security Hub 控制項相關時，客戶可以在主控台中檢視漂移的資源，這些資源需要進行此變更。

AWS ControlTowerServiceRolePolicy – 更新現有政策

AWS Control Tower 新增了允許 AWS Control Tower 對 AWS 帳戶管理服務實作的EnableRegionListRegions、和 GetRegionOptStatus API 撥打電話的新許 AWS 區域 可，讓 landing zone 中的客戶帳戶 (管理帳戶、日誌存檔帳戶、稽核帳戶、OU 成員帳戶) 可以選擇加入。

需要進行此變更，以便客戶可以選擇將 AWS Control Tower 的區域管理擴展到選擇加入的區域。

AWS ControlTowerServiceRolePolicy – 更新現有政策

AWS Control Tower 新增了新許可，允許 AWS Control Tower 擔任藍圖 (Hub) 帳戶中的AWSControlTowerBlueprintAccess角色，該帳戶是組織中的專用帳戶，其中包含儲存在一或多個 Service Catalog 產品中的預先定義藍圖。AWS Control Tower 擔任執行三項任務的AWSControlTowerBlueprintAccess角色：建立 Service Catalog 產品組合、新增要求的藍圖產品，以及在帳戶佈建時將產品組合共用至要求的成員帳戶。

需要進行此變更，以便客戶可以透過 AWS Control Tower Account Factory 佈建自訂帳戶。

AWS ControlTowerServiceRolePolicy – 更新現有政策

AWS Control Tower 新增了新的許可，允許客戶設定組織層級 AWS CloudTrail 追蹤，從 3.0 版起。

組織型 CloudTrail 功能要求客戶啟用該 CloudTrail 服務的受信任存取權，而 IAM 使用者或角色必須具有在管理帳戶中建立組織層級追蹤的權限。

AWS ControlTowerServiceRolePolicy – 更新現有政策

AWS Control Tower 新增了允許客戶使用 KMS 金鑰加密的新許可。

KMS 功能可讓客戶提供自己的 KMS 金鑰來加密其 CloudTrail 記錄。客戶也可以在 landing zone 更新或修復期間變更 KMS 金鑰。更新 KMS 金鑰時， AWS CloudFormation 需要呼叫 AWS CloudTrail PutEventSelector API 的權限。政策的變更是允許AWS ControlTowerAdmin角色呼叫 AWS CloudTrail PutEventSelector API。

AWS Control Tower 開始追蹤變更

AWS Control Tower 開始追蹤其 AWS 受管政策的變更。