Verwaltete Richtlinien für AWS Control Tower

AWS adressiert viele gängige Anwendungsfälle durch die Bereitstellung eigenständiger IAM-Richtlinien, die von erstellt und verwaltet AWS werden. Die verwalteten Richtlinien erteilen die erforderlichen Berechtigungen für viele häufige Anwendungsfälle, sodass Sie nicht mühsam ermitteln müssen, welche Berechtigungen erforderlich sind. Weitere Informationen finden Sie unter AWS -verwaltete Richtlinien im IAM-Benutzerhandbuch.

Änderung	Beschreibung	Datum
AWSControlTowerAccountServiceRolePolicy— Eine neue Richtlinie	AWS Control Tower hat eine neue servicebezogene Rolle hinzugefügt, die es AWS Control Tower ermöglicht, Ereignisregeln zu erstellen und zu verwalten und auf der Grundlage dieser Regeln die Drifterkennung für Kontrollen zu verwalten, die sich auf Security Hub beziehen. Diese Änderung ist erforderlich, damit Kunden verschobene Ressourcen in der Konsole sehen können, wenn sich diese Ressourcen auf Security Hub-Steuerungen beziehen, die Teil des vom Security Hub Service verwalteten Standards sind: AWS Control Tower.	22. Mai 2023
AWS ControlTowerServiceRolePolicy – Aktualisierung auf eine bestehende Richtlinie	AWS Control Tower hat neue Berechtigungen hinzugefügt, die es AWS Control Tower ermöglichen, Aufrufe an die vom AWS Account Management Service implementierten EnableRegionListRegions,, und GetRegionOptStatus APIs zu tätigen, um das Opt-In für Kundenkonten in der landing zone (Verwaltungskonto, Protokollarchivkonto, Auditkonto, OU-Mitgliedskonten) AWS-Regionen verfügbar zu machen. Diese Änderung ist erforderlich, damit Kunden die Möglichkeit haben, die Regionsverwaltung durch AWS Control Tower auf die Opt-in-Regionen auszudehnen.	06. April 2023
AWS ControlTowerServiceRolePolicy – Aktualisierung auf eine bestehende Richtlinie	AWS Control Tower hat neue Berechtigungen hinzugefügt, die es AWS Control Tower ermöglichen, die AWSControlTowerBlueprintAccess Rolle im Blueprint-Konto (Hub) zu übernehmen. Dabei handelt es sich um ein dediziertes Konto in einer Organisation, das vordefinierte Blueprints enthält, die in einem oder mehreren Service Catalog-Produkten gespeichert sind. AWS Control Tower übernimmt die AWSControlTowerBlueprintAccess Aufgabe, drei Aufgaben auszuführen: ein Servicekatalog-Portfolio zu erstellen, das angeforderte Blueprint-Produkt hinzuzufügen und das Portfolio zum Zeitpunkt der Kontobereitstellung für ein angefordertes Mitgliedskonto freizugeben. Diese Änderung ist erforderlich, damit Kunden benutzerdefinierte Konten über AWS Control Tower Account Factory bereitstellen können.	28. Oktober 2022
AWS ControlTowerServiceRolePolicy – Aktualisierung auf eine bestehende Richtlinie	AWS Control Tower hat ab landing zone Version 3.0 neue Berechtigungen hinzugefügt, die es Kunden ermöglichen, AWS CloudTrail Trails auf Organisationsebene einzurichten. Für die organisationsbasierte CloudTrail Funktion müssen Kunden den vertrauenswürdigen Zugriff für den CloudTrail Service aktiviert haben, und der IAM-Benutzer oder die IAM-Rolle muss über die Berechtigung verfügen, im Verwaltungskonto einen Trail auf Organisationsebene zu erstellen.	20. Juni 2022
AWS ControlTowerServiceRolePolicy – Aktualisierung auf eine bestehende Richtlinie	AWS Control Tower hat neue Berechtigungen hinzugefügt, die es Kunden ermöglichen, die KMS-Schlüsselverschlüsselung zu verwenden. Die KMS-Funktion ermöglicht es Kunden, ihren eigenen KMS-Schlüssel zur Verschlüsselung ihrer CloudTrail Protokolle anzugeben. Kunden können den KMS-Schlüssel auch während der Aktualisierung oder Reparatur der landing zone ändern. Für die Aktualisierung des KMS-Schlüssels sind AWS CloudFormation Berechtigungen zum Aufrufen der AWS CloudTrail PutEventSelector API erforderlich. Die Änderung der Richtlinie besteht darin, der AWS ControlTowerAdminRolle das Aufrufen der AWS CloudTrail PutEventSelector API zu ermöglichen.	28. Juli 2021
AWS Control Tower hat begonnen, Änderungen zu verfolgen	AWS Control Tower begann, Änderungen an seinen AWS verwalteten Richtlinien nachzuverfolgen.	27. Mai 2021