本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AWS Control Tower 的托管策略
AWS 通过提供由创建和管理的独立 IAM 策略来解决许多常见用例 AWS。托管策略可针对常见使用案例授予必要权限,因此,您无需自行调查具体需要哪些权限。有关更多信息,请参阅《IAM 用户指南》**中的 [AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy):对现有策略的更新 | AWS Control Tower 将`cloudformation:BatchDescribeTypeConfigurations`权限从资源范围的挂钩语句移到了新的语句中`Resource: "*"`,因为此 CloudFormation API 不支持资源级权限。 | 2026年5月19日 |
| [AWS ControlTowerAccountServiceRolePolicy](access-control-managing-permissions.md#account-service-role-policy):对现有策略的更新 | AWS Control Tower 添加了新的权限,允许 AWS Control Tower 调用 AWS CloudFormation 服务 API,从而`BatchDescribeTypeConfigurations`对服务相关挂钩进行内部改进。 | 2026年5月19日 |
| [AWS ControlTowerAccountServiceRolePolicy](access-control-managing-permissions.md#account-service-role-policy):对现有策略的更新 | AWS Control Tower 更新了现有政策,以提高亚马逊 EventBridge 规则条件的验证精度。此更新将`events:detail-type`条件从移`StringEquals`至,`ForAllValues:StringEquals`以便更好地控制事件模式匹配,同时保持相同的功能权限。 | 2025 年 12 月 30 日 |
| [AWS ControlTowerAccountServiceRolePolicy](access-control-managing-permissions.md#account-service-role-policy):对现有策略的更新 | AWS Control Tower 添加了一项新策略,该策略扩展了以下权限:[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_cn/controltower/latest/userguide/managed-policies-table.html) | 2025 年 11 月 10 日 |
| [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy)— 更新了托管策略 | AWS Control Tower 更新了中的亚马逊 CloudWatch 日志资源模式 AWS ControlTowerServiceRolePolicy ,以支持着陆区 4.0 的可选 AWS CloudTrail 集成。模式从更改`aws-controltower/CloudTrailLogs:*`为`aws-controltower/CloudTrailLogs*:*`,在后面添加了一个通配符`CloudTrailLogs`,以允许管理带有任何后缀的日志组。
此更新启用了 Landing Zone 4.0 的可选 AWS CloudTrail 集成,允许客户多次启用和禁用 AWS CloudTrail 集成。每次启用集成时,都会使用唯一的后缀重新创建 Amazon Log CloudWatch s 日志组,以避免命名冲突。此更新向后兼容现有部署。 | 2025 年 10 月 31 日 |
| [AWS ControlTowerCloudTrailRolePolicy](access-control-managing-permissions.md#AWSControlTowerCloudTrailRolePolicy):新托管策略 | AWS Control Tower 引入了 AWS ControlTowerCloudTrailRolePolicy 托管策略,该策略 CloudTrail 允许创建日志流并将日志事件发布到控制 Tower-managed Amazon CloudWatch 日志组。
此托管策略取代了以前使用的内联策略 AWS ControlTowerCloudTrailRole, AWS 允许在没有客户干预的情况下更新策略。该策略的范围仅限于名称与模式`aws-controltower/CloudTrailLogs*`匹配的日志组。 | 2025 年 10 月 31 日 |
| [AWS ControlTowerIdentityCenterManagementPolicy](access-control-managing-permissions.md#AWSControlTowerIdentityCenterManagementPolicy) - 新策略 | AWS Control Tower 新增了一项策略,即,允许客户在注册了 AWS Control Tower 的账户中配置 IAM Identity Center 资源,并允许 AWS Control Tower 在自动注册账户时纠正某些类型的偏移。
需要进行此更改,以便客户可以在 AWS Control Tower 中配置 IAM Identity Center,并使 AWS Control Tower 能够纠正自动注册偏移。 | 2025 年 10 月 10 日 |
| [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy):对现有策略的更新 | AWS Control Tower 添加了新的 CloudFormation 权限,允许 AWS Control Tower 在自动向 AWS Control Tower 注册账户时查询堆栈集资源并将其部署到成员账户。 | 2025 年 10 月 10 日 |
| [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy):对现有策略的更新 | AWS Control Tower 添加了新的权限,允许客户启用和禁用服务相关 AWS Config 规则。
需要进行此项更改,以便客户可以管理由 Config 规则部署的控件。 | 2025 年 6 月 5 日 |
| [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy):对现有策略的更新 | AWS Control Tower 添加了新的权限,允许 AWS Control Tower 调用 AWS CloudFormation 服务 API `ActivateType` `DeactivateType` `SetTypeConfiguration`、和`AWS::ControlTower types`。
此更改允许客户在不部署私有 CloudFormation Hook 类型的情况下提供主动控制。 | 2024 年 12 月 10 日 |
| [AWS ControlTowerAccountServiceRolePolicy](access-control-managing-permissions.md#account-service-role-policy) - 新策略 | AWS Control Tower 添加了一个新的服务相关角色,允许 AWS Control Tower 创建和管理事件规则,并根据这些规则管理与 Security Hub CSPM 相关的控件的偏差检测。
当这些资源与 Security Hub CSPM 标准:AWS Control Tower 中的 S **ecurity Hub CSPM 控件相关时,需要进行此更改,以便客户可以在 Service-managed 控制**台中查看漂移的资源。 | 2023 年 5 月 22 日 |
| [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy):对现有策略的更新 | AWS Control Tower 添加了新的权限,允许 AWS Control Tower 调用 AWS 账户管理服务实施的 `EnableRegion`、`ListRegions` 和 `GetRegionOptStatus` API,从而使登录区中的客户账户(管理账户、日志存档账户、审计账户、OU 成员账户)可以使用选择加入 AWS 区域 。
这项更改的目的是,让客户可以选择将 AWS Control Tower 的区域监管扩展到可选择加入的区域。 | 2023 年 4 月 6 日 |
| [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy) – 对现有策略的更新 | AWS Control Tower 添加了新的权限,允许 AWS Control Tower 在蓝图(中心)账户中担任 `AWSControlTowerBlueprintAccess` 角色,该账户是组织中的专用账户,包含存储在一个或多个 Service Catalog 产品中的预定义蓝图。AWS Control Tower 担任 `AWSControlTowerBlueprintAccess` 角色来执行三项任务:创建 Service Catalog 产品组合,添加请求的蓝图产品,以及在预置账户时将产品组合分享到请求的成员账户。
这项更改的目的是,让客户可以通过 AWS Control Tower Account Factory 配置自定义账户。 | 2022 年 10 月 28 日 |
| [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy):对现有策略的更新 | 从着陆区版本 3.0 开始,AWS Control Tower 添加了新的权限,允许客户设置组织级别的 AWS CloudTrail 跟踪。
基于组织的 CloudTrail 功能要求客户为 CloudTrail 服务启用可信访问权限,并且 IAM 用户或角色必须有权在管理账户中创建组织级跟踪。 | 2022 年 6 月 20 日 |
| [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy):对现有策略的更新 | AWS Control Tower 添加了新的权限,允许客户使用 KMS 密钥加密。
KMS 功能允许客户提供自己的 KMS 密钥来加密 CloudTrail 日志。客户还可以在登录区更新或修复期间更改 KMS 密钥。更新 KMS 密钥时, AWS CloudFormation 需要调用 AWS CloudTrail `PutEventSelector` API 的权限。此政策的更改是允许该**AWS ControlTowerAdmin**角色调用 AWS CloudTrail `PutEventSelector` API。 | 2021 年 7 月 28 日 |
| AWS Control Tower 开始跟踪更改 | AWS Control Tower 开始跟踪其 AWS 托管策略的变更。 | 2021 年 5 月 27 日 |