As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Políticas gerenciadas para o AWS Control Tower
AWS aborda muitos casos de uso comuns fornecendo políticas autônomas do IAM que são criadas e administradas pela AWS. As políticas gerenciadas concedem permissões necessárias para casos de uso comuns, de maneira que você possa evitar a necessidade de investigar quais permissões são necessárias. Para obter mais informações, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Guia do usuário do IAM*.
| Alteração | Descrição | Data |
| --- | --- | --- |
| [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy): atualizar para uma política existente | O AWS Control Tower transferiu a `cloudformation:BatchDescribeTypeConfigurations` permissão da instrução hooks com escopo de recursos para uma nova declaração com`Resource: "*"`, porque CloudFormation não oferece suporte a permissões em nível de recurso para essa API. | 19 de maio de 2026 |
| [AWS ControlTowerAccountServiceRolePolicy](access-control-managing-permissions.md#account-service-role-policy) – atualização para uma política existente | A AWS Control Tower adicionou novas permissões que permitem que a AWS Control Tower faça chamadas para a API do AWS CloudFormation serviço `BatchDescribeTypeConfigurations` para uma melhoria interna dos ganchos vinculados ao serviço. | 19 de maio de 2026 |
| [AWS ControlTowerAccountServiceRolePolicy](access-control-managing-permissions.md#account-service-role-policy) – atualização para uma política existente | O AWS Control Tower atualizou uma política existente para melhorar a precisão da validação das condições das EventBridge regras da Amazon. A atualização move a `events:detail-type` condição de `ForAllValues:StringEquals` para `StringEquals` para um melhor controle de correspondência de padrões de eventos, mantendo as mesmas permissões funcionais. | 30 de dezembro de 2025 |
| [AWS ControlTowerAccountServiceRolePolicy](access-control-managing-permissions.md#account-service-role-policy) – atualização para uma política existente | O AWS Control Tower adicionou uma nova política que estende as seguintes permissões:[See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/controltower/latest/userguide/managed-policies-table.html) | 10 de novembro de 2025 |
| [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy)— Política gerenciada atualizada | O AWS Control Tower atualizou o padrão de recursos do Amazon CloudWatch Logs no AWS ControlTowerServiceRolePolicy para oferecer suporte à AWS CloudTrail integração opcional da Landing Zone 4.0. O padrão mudou de `aws-controltower/CloudTrailLogs:*` para`aws-controltower/CloudTrailLogs*:*`, adicionando um caractere curinga depois `CloudTrailLogs` para permitir o gerenciamento de grupos de registros com qualquer sufixo.
Essa atualização permite a AWS CloudTrail integração opcional do Landing Zone 4.0, que permite aos clientes ativar e desativar a AWS CloudTrail integração várias vezes. Sempre que a integração é ativada, os grupos de log do Amazon CloudWatch Logs são recriados com sufixos exclusivos para evitar conflitos de nomenclatura. A atualização é compatível com versões anteriores das implantações existentes. | 31 de outubro de 2025 |
| [AWS ControlTowerCloudTrailRolePolicy](access-control-managing-permissions.md#AWSControlTowerCloudTrailRolePolicy): Nova política gerenciada | O AWS Control Tower introduziu a política AWS ControlTowerCloudTrailRolePolicy gerenciada, que permite CloudTrail criar fluxos de log e publicar eventos de log nos grupos de log do Control Tower-managed Amazon CloudWatch Logs.
Essa política gerenciada substitui a política em linha usada anteriormente pelo AWS ControlTowerCloudTrailRole, permitindo atualizar AWS a política sem a intervenção do cliente. O escopo da política é registrar grupos com nomes que correspondam ao padrão`aws-controltower/CloudTrailLogs*`. | 31 de outubro de 2025 |
| [AWS ControlTowerIdentityCenterManagementPolicy](access-control-managing-permissions.md#AWSControlTowerIdentityCenterManagementPolicy): uma nova política | O AWS Control Tower adicionou uma nova política que permite aos clientes configurar recursos do Centro de Identidade do IAM em contas inscritas no AWS Control Tower e permite que o AWS Control Tower corrija alguns tipos de desvio ao inscrever contas automaticamente.
Essa mudança é necessária para que os clientes possam configurar o Centro de Identidade do IAM no AWS Control Tower e para que o AWS Control Tower possa corrigir o desvio de inscrição automática. | 10 de outubro de 2025 |
| [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy) – atualização para uma política existente | A AWS Control Tower adicionou novas CloudFormation permissões que permitem que a AWS Control Tower consulte e implante recursos de conjuntos de pilhas nas contas dos membros ao inscrever automaticamente as contas na AWS Control Tower. | 10 de outubro de 2025 |
| [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy) – atualização para uma política existente | O AWS Control Tower adicionou novas permissões que permitem aos clientes habilitar e desabilitar regras vinculadas a serviços AWS Config .
Essa alteração é necessária para que os clientes possam gerenciar os controles que são implantados pelas regras do Config. | 5 de junho de 2025 |
| [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy) – atualização para uma política existente | O AWS Control Tower adicionou novas permissões que permitem que o AWS Control Tower faça chamadas para as APIs do AWS CloudFormation serviço `ActivateType` `DeactivateType``SetTypeConfiguration`, e assim por diante`AWS::ControlTower types`.
Essa mudança permite que os clientes provisionem controles proativos sem a implantação de tipos de CloudFormation Hook privados. | 10 de dezembro de 2024 |
| [AWS ControlTowerAccountServiceRolePolicy](access-control-managing-permissions.md#account-service-role-policy): uma nova política | O AWS Control Tower adicionou uma nova função vinculada ao serviço que permite que a AWS Control Tower crie e gerencie regras de eventos e, com base nessas regras, gerencie a detecção de desvios para controles relacionados ao CSPM do Security Hub.
Essa alteração é necessária para que os clientes possam visualizar recursos desviados no console, quando esses recursos estão relacionados aos controles CSPM do Security Hub que fazem parte do padrão CSPM do **Security Hub: AWS Service-managed Control Tower**. | 22 de maio de 2023 |
| [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy) – atualização para uma política existente | O AWS Control Tower adicionou novas permissões que autorizam o AWS Control Tower a fazer chamadas para as APIs `EnableRegion`, `ListRegions` e `GetRegionOptStatus` implementadas pelo serviço de AWS Account Management, para disponibilizar as Regiões da AWS opcionais para contas de clientes na zona de pouso (conta de gerenciamento, conta de arquivamento de logs, conta de auditoria, contas-membros da UO).
Essa mudança é necessária para que os clientes tenham a opção de expandir a governança de região do AWS Control Tower para as regiões opcionais. | 6 de abril de 2023 |
| [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy) – atualização para uma política existente | O AWS Control Tower adicionou novas permissões que autorizam o AWS Control Tower a assumir o perfil `AWSControlTowerBlueprintAccess` na conta de esquema (hub), que é uma conta dedicada em uma organização, contendo esquemas predefinidos armazenados em um ou mais produtos do Service Catalog. O AWS Control Tower assume o perfil `AWSControlTowerBlueprintAccess` para realizar três tarefas: criar um portfólio do Service Catalog, adicionar o produto do esquema solicitado e compartilhar o portfólio com uma conta-membro solicitada no momento do provisionamento da conta.
Essa alteração é necessária para que os clientes possam provisionar contas personalizadas por meio do Account Factory do AWS Control Tower. | 28 de outubro de 2022 |
| [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy) – atualização para uma política existente | O AWS Control Tower adicionou novas permissões que permitem aos clientes configurar AWS CloudTrail trilhas em nível organizacional, começando na versão 3.0 do landing zone.
O CloudTrail recurso baseado na organização exige que os clientes tenham acesso confiável habilitado para o CloudTrail serviço, e o usuário ou função do IAM deve ter permissão para criar uma trilha em nível organizacional na conta de gerenciamento. | 20 de junho de 2022 |
| [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy) – atualização para uma política existente | O AWS Control Tower adicionou novas permissões que autorizam os clientes a usar a criptografia de chaves do KMS.
O recurso KMS permite que os clientes forneçam sua própria chave KMS para criptografar seus registros. CloudTrail Os clientes também podem alterar a chave do KMS durante a atualização ou o reparo da zona de pouso. Ao atualizar a chave KMS, AWS CloudFormation precisa de permissões para chamar a AWS CloudTrail `PutEventSelector` API. A mudança na política é permitir que a **AWS ControlTowerAdmin**função chame a AWS CloudTrail `PutEventSelector` API. | 28 de julho de 2021 |
| AWS Control Tower começou a monitorar alterações | O AWS Control Tower começou a monitorar as mudanças em suas políticas AWS gerenciadas. | 27 de maio de 2021 |