Politiques gérées pour AWS Control Tower

AWS répond à de nombreux cas d'utilisation courants en fournissant des politiques IAM autonomes créées et administrées par. AWS Les politiques gérées octroient les autorisations requises dans les cas d’utilisation courants et vous évitent d’avoir à réfléchir aux autorisations qui sont requises. Pour plus d'informations, consultez Politiques gérées par AWS dans le Guide de l'utilisateur IAM.

Modifier	Description	Date
AWS ControlTowerServiceRolePolicy— Politique gérée mise à jour	AWS Control Tower a mis à jour le modèle de ressources Amazon CloudWatch Logs AWS ControlTowerServiceRolePolicy pour prendre en charge l' AWS CloudTrail intégration optionnelle de Landing Zone 4.0. Le schéma est passé de aws-controltower/CloudTrailLogs:* àaws-controltower/CloudTrailLogs*:*, en ajoutant ensuite un caractère générique CloudTrailLogs pour permettre la gestion des groupes de journaux avec n'importe quel suffixe. Cette mise à jour permet l' AWS CloudTrail intégration optionnelle de Landing Zone 4.0, qui permet aux clients d'activer et de désactiver AWS CloudTrail l'intégration à plusieurs reprises. Chaque fois que l'intégration est activée, les groupes de CloudWatch journaux Amazon Logs sont recréés avec des suffixes uniques afin d'éviter les conflits de dénomination. La mise à jour est rétrocompatible avec les déploiements existants.	31 octobre 2025
AWS ControlTowerCloudTrailRolePolicy— Nouvelle politique gérée	AWS Control Tower a introduit la politique AWS ControlTowerCloudTrailRolePolicy gérée, qui permet de CloudTrail créer des flux de journaux et de publier des événements de journal dans les groupes de journaux CloudWatch Amazon Logs gérés par Control Tower. Cette politique gérée remplace la politique en ligne précédemment utilisée par le AWS ControlTowerCloudTrailRole, ce qui permet de mettre AWS à jour la politique sans intervention du client. La politique s'applique aux groupes de journaux dont les noms correspondent au modèle. aws-controltower/CloudTrailLogs*	31 octobre 2025
AWS ControlTowerAccountServiceRolePolicy : mise à jour d’une politique existante	AWS Control Tower a ajouté une nouvelle politique qui étend les autorisations suivantes : AWS Config autorisations pour créer, étiqueter, supprimer, gérer et lire un agrégateur de configuration lié à un service AWS Config autorisations pour décrire tous les agrégateurs de configuration AWS Organizations autorisation de répertorier les administrateurs délégués pour AWS Config AWS Organizations autorisation de décrire l'organisation CloudFormation autorisations pour gérer les hooks liés à un service	10 novembre 2025
AWS ControlTowerIdentityCenterManagementPolicy— Une nouvelle politique	AWS Control Tower a ajouté une nouvelle politique qui permet aux clients de configurer les ressources IAM Identity Center dans les comptes inscrits dans AWS Control Tower, et qui permet à AWS Control Tower de remédier à certains types de dérive lors de l'inscription automatique des comptes. Cette modification est nécessaire pour que les clients puissent configurer IAM Identity Center dans AWS Control Tower et pour qu'AWS Control Tower puisse remédier à la dérive des inscriptions automatiques.	10 octobre 2025
AWS ControlTowerServiceRolePolicy : mise à jour d’une politique existante	AWS Control Tower a ajouté de nouvelles CloudFormation autorisations qui permettent à AWS Control Tower d'interroger et de déployer des ressources de type stack dans les comptes membres lors de l'inscription automatique des comptes dans AWS Control Tower.	10 octobre 2025
AWS ControlTowerServiceRolePolicy : mise à jour d’une politique existante	AWS Control Tower a ajouté de nouvelles autorisations qui permettent aux clients d'activer et de désactiver les règles liées aux services AWS Config . Cette modification est nécessaire pour que les clients puissent gérer les contrôles déployés par les règles Config.	5 juin 2025
AWS ControlTowerServiceRolePolicy : mise à jour d’une politique existante	AWS Control Tower a ajouté de nouvelles autorisations qui permettent à AWS Control Tower de passer des appels au AWS CloudFormation service APIs ActivateType DeactivateTypeSetTypeConfiguration, et ainsi de suiteAWS::ControlTower types. Cette modification permet aux clients de mettre en place des contrôles proactifs sans avoir à déployer de types de CloudFormation Hook privés.	10 décembre 2024
AWS ControlTowerAccountServiceRolePolicy— Une nouvelle politique	AWS Control Tower a ajouté un nouveau rôle lié à un service qui permet à AWS Control Tower de créer et de gérer des règles relatives aux événements et, sur la base de ces règles, de gérer la détection des dérives pour les contrôles liés au Security Hub CSPM. Cette modification est nécessaire pour que les clients puissent visualiser les ressources dérivées dans la console, lorsque ces ressources sont liées aux contrôles Security Hub CSPM qui font partie de la norme gérée par les services Security Hub CSPM : AWS Control Tower.	22 mai 2023
AWS ControlTowerServiceRolePolicy : mise à jour d’une politique existante	AWS Control Tower a ajouté de nouvelles autorisations qui permettent à AWS Control Tower de passer des appels vers le service de gestion des comptes EnableRegionListRegions, et GetRegionOptStatus APIs mises en œuvre par le service de gestion des AWS comptes, afin de rendre l'opt-in Régions AWS disponible pour les comptes clients de la zone d'atterrissage (compte de gestion, compte d'archive des journaux, compte d'audit, comptes membres de l'unité d'organisation). Ce changement est nécessaire pour que les clients puissent avoir la possibilité d'étendre la gouvernance des régions par AWS Control Tower aux régions optionnelles.	6 avril 2023
AWS ControlTowerServiceRolePolicy : mise à jour d’une politique existante	AWS Control Tower a ajouté de nouvelles autorisations qui permettent à AWS Control Tower d'assumer le AWSControlTowerBlueprintAccess rôle dans le compte Blueprint (hub), qui est un compte dédié au sein d'une organisation, contenant des plans prédéfinis stockés dans un ou plusieurs produits Service Catalog. AWS Control Tower assume le AWSControlTowerBlueprintAccess rôle d'effectuer trois tâches : créer un portefeuille de services Catalog, ajouter le produit Blueprint demandé et partager le portefeuille sur le compte membre demandé au moment de la mise en service du compte. Cette modification est nécessaire pour que les clients puissent créer des comptes personnalisés via AWS Control Tower Account Factory.	28 octobre 2022
AWS ControlTowerServiceRolePolicy : mise à jour d’une politique existante	AWS Control Tower a ajouté de nouvelles autorisations qui permettent aux clients de configurer des AWS CloudTrail parcours au niveau de l'organisation, à partir de la version 3.0 de la landing zone. La CloudTrail fonctionnalité basée sur l'organisation exige que les clients aient activé l'accès sécurisé pour le CloudTrail service, et que l'utilisateur ou le rôle IAM soit autorisé à créer un suivi au niveau de l'organisation dans le compte de gestion.	20 juin 2022
AWS ControlTowerServiceRolePolicy : mise à jour d’une politique existante	AWS Control Tower a ajouté de nouvelles autorisations qui permettent aux clients d'utiliser le chiffrement par clé KMS. La fonctionnalité KMS permet aux clients de fournir leur propre clé KMS pour chiffrer leurs CloudTrail journaux. Les clients peuvent également modifier la clé KMS lors de la mise à jour ou de la réparation de la zone d'atterrissage. Lors de la mise à jour de la clé KMS, AWS CloudFormation nécessite des autorisations pour appeler l' AWS CloudTrail PutEventSelectorAPI. La modification apportée à la politique consiste à autoriser le AWS ControlTowerAdminrôle à appeler l' AWS CloudTrail PutEventSelectorAPI.	28 juillet 2021
AWS Control Tower a commencé à suivre les modifications	AWS Control Tower a commencé à suivre les modifications apportées AWS à ses politiques gérées.	27 mai 2021