Policy gestite per AWS Control Tower

AWS affronta molti casi d'uso comuni fornendo policy IAM autonome create e amministrate da AWS. Le policy gestite concedono le autorizzazioni necessarie per i casi di utilizzo comune in modo da non dover cercare quali sono le autorizzazioni richieste. Per ulteriori informazioni, consulta Policy gestite da AWS nella Guida per l'utente di IAM.

Modifica	Descrizione	Data
AWSControlTowerAccountServiceRolePolicy— Una nuova politica	AWS Control Tower ha aggiunto un nuovo ruolo collegato ai servizi che consente ad AWS Control Tower di creare e gestire regole relative agli eventi e, in base a tali regole, di gestire il rilevamento delle deviazioni per i controlli correlati a Security Hub. Questa modifica è necessaria per consentire ai clienti di visualizzare le risorse alla deriva nella console, quando tali risorse sono correlate ai controlli del Security Hub che fanno parte del Security Hub Service-managed Standard: AWS Control Tower.	22 maggio 2023
AWS ControlTowerServiceRolePolicy: aggiornamento a una policy esistente	AWS Control Tower ha aggiunto nuove autorizzazioni che consentono ad AWS Control Tower di effettuare chiamate verso e alle GetRegionOptStatus API implementate dal servizio AWS Account Management, per rendere Regioni AWS disponibile l'opt-in per gli account dei clienti nella landing zone (account di gestione, account di archivio dei log, account di audit, account membri dell'OU). EnableRegion ListRegions Questa modifica è necessaria in modo che i clienti possano avere la possibilità di espandere la governance della regione tramite AWS Control Tower alle regioni opt-in.	6 aprile 2023
AWS ControlTowerServiceRolePolicy: aggiornamento a una policy esistente	AWS Control Tower ha aggiunto nuove autorizzazioni che consentono ad AWS Control Tower di assumere il AWSControlTowerBlueprintAccess ruolo nell'account blueprint (hub), che è un account dedicato in un'organizzazione, contenente blueprint predefiniti archiviati in uno o più prodotti Service Catalog. AWS Control Tower si assume il AWSControlTowerBlueprintAccess ruolo di svolgere tre attività: creare un Service Catalog Portfolio, aggiungere il prodotto blueprint richiesto e condividere il portafoglio con un account membro richiesto al momento del provisioning dell'account. Questa modifica è necessaria per consentire ai clienti di effettuare il provisioning di account personalizzati tramite AWS Control Tower Account Factory.	28 ottobre 2022
AWS ControlTowerServiceRolePolicy: aggiornamento a una policy esistente	AWS Control Tower ha aggiunto nuove autorizzazioni che consentono ai clienti di configurare AWS CloudTrail percorsi a livello di organizzazione, a partire dalla versione 3.0 della landing zone. La CloudTrail funzionalità basata sull'organizzazione richiede che i clienti abbiano abilitato l'accesso affidabile per il CloudTrail servizio e l'utente o il ruolo IAM deve avere l'autorizzazione per creare un percorso a livello di organizzazione nell'account di gestione.	20 giugno 2022
AWS ControlTowerServiceRolePolicy: aggiornamento a una policy esistente	AWS Control Tower ha aggiunto nuove autorizzazioni che consentono ai clienti di utilizzare la crittografia a chiave KMS. La funzionalità KMS consente ai clienti di fornire la propria chiave KMS per crittografare i propri log. CloudTrail I clienti possono anche modificare la chiave KMS durante l'aggiornamento o la riparazione della landing zone. Quando si aggiorna la chiave KMS, sono AWS CloudFormation necessarie le autorizzazioni per chiamare l'API. AWS CloudTrail PutEventSelector La modifica alla politica consente al AWS ControlTowerAdminruolo di chiamare l' AWS CloudTrail PutEventSelectorAPI.	28 luglio 2021
AWS Control Tower ha iniziato a tracciare le modifiche	AWS Control Tower ha iniziato a tracciare le modifiche per le sue policy AWS gestite.	27 maggio 2021