Politiques gérées pour AWS Control Tower

AWS répond à de nombreux cas d'utilisation courants en fournissant des politiques IAM autonomes créées et administrées par. AWS Les politiques gérées octroient les autorisations requises dans les cas d’utilisation courants et vous évitent d’avoir à réfléchir aux autorisations qui sont requises. Pour plus d'informations, consultez Politiques gérées par AWS dans le Guide de l'utilisateur IAM.

Modification	Description	Date
AWSControlTowerAccountServiceRolePolicy— Une nouvelle politique	AWS Control Tower a ajouté un nouveau rôle lié à un service qui permet à AWS Control Tower de créer et de gérer des règles relatives aux événements et, sur la base de ces règles, de gérer la détection des dérives pour les contrôles liés à Security Hub. Cette modification est nécessaire pour que les clients puissent visualiser les ressources dérivées dans la console, lorsque ces ressources sont liées aux contrôles Security Hub qui font partie de la norme gérée par le Security Hub Service : AWS Control Tower.	22 mai 2023
AWS ControlTowerServiceRolePolicy – Mise à jour d’une politique existante	AWS Control Tower a ajouté de nouvelles autorisations qui permettent à AWS Control Tower de passer des appels vers EnableRegionListRegions, et des GetRegionOptStatus API implémentées par le service de gestion des AWS comptes, afin de rendre l'opt-in Régions AWS disponible pour les comptes clients dans la zone de landing zone (compte de gestion, compte d'archive des journaux, compte d'audit, comptes membres de l'unité d'organisation). Ce changement est nécessaire pour que les clients puissent avoir la possibilité d'étendre la gouvernance des régions par AWS Control Tower aux régions optionnelles.	6 avril 2023
AWS ControlTowerServiceRolePolicy – Mise à jour d’une politique existante	AWS Control Tower a ajouté de nouvelles autorisations qui permettent à AWS Control Tower d'assumer le AWSControlTowerBlueprintAccess rôle dans le compte Blueprint (hub), qui est un compte dédié au sein d'une organisation, contenant des plans prédéfinis stockés dans un ou plusieurs produits Service Catalog. AWS Control Tower assume le AWSControlTowerBlueprintAccess rôle d'effectuer trois tâches : créer un portefeuille de services Catalog, ajouter le produit Blueprint demandé et partager le portefeuille sur le compte membre demandé au moment de la mise en service du compte. Cette modification est nécessaire pour que les clients puissent créer des comptes personnalisés via AWS Control Tower Account Factory.	28 octobre 2022
AWS ControlTowerServiceRolePolicy – Mise à jour d’une politique existante	AWS Control Tower a ajouté de nouvelles autorisations qui permettent aux clients de configurer des AWS CloudTrail parcours au niveau de l'organisation, à partir de la version 3.0 de la landing zone. La CloudTrail fonctionnalité basée sur l'organisation exige que les clients aient activé l'accès sécurisé pour le CloudTrail service, et que l'utilisateur ou le rôle IAM soit autorisé à créer un suivi au niveau de l'organisation dans le compte de gestion.	20 juin 2022
AWS ControlTowerServiceRolePolicy – Mise à jour d’une politique existante	AWS Control Tower a ajouté de nouvelles autorisations qui permettent aux clients d'utiliser le chiffrement par clé KMS. La fonctionnalité KMS permet aux clients de fournir leur propre clé KMS pour chiffrer leurs CloudTrail journaux. Les clients peuvent également modifier la clé KMS lors de la mise à jour ou de la réparation de la zone d'atterrissage. Lors de la mise à jour de la clé KMS, AWS CloudFormation nécessite des autorisations pour appeler l' AWS CloudTrail PutEventSelectorAPI. La modification apportée à la politique consiste à autoriser le AWS ControlTowerAdminrôle à appeler l' AWS CloudTrail PutEventSelectorAPI.	28 juillet 2021
AWS Control Tower a commencé à suivre les modifications	AWS Control Tower a commencé à suivre les modifications apportées AWS à ses politiques gérées.	27 mai 2021