Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
AWS Control Tower の Config ベースラインの中身を覗いてみた
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
いたくら
May 31, 2026
190
1
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
AWS Control Tower の Config ベースラインの中身を覗いてみた
2026/05/20(水) JAWS-UG朝会 #81
https://jawsug-asa.connpass.com/event/384850/
#jawsug #jawsug_asa
いたくら
May 31, 2026
More Decks by いたくら
See All by いたくら
Control Tower LZ 4.0 環境で見えた CT 作成管理 SNS と EventBridge のいま
itkr2305
1
260
AWS Control Tower Landing Zone 4.0 導入も移行もまとめて解説
itkr2305
0
650
CDK 初心者が AWS Control Tower の landing zone をコード化してみた
itkr2305
1
1.7k
re:Invent 2025 のセッション (COP365) をベースに AWS Control Tower 関連の新機能を紹介します!
itkr2305
1
540
AWS Control Tower Landing zone 4.0 についてまとめてみた
itkr2305
1
2.1k
最近の AWS Control Tower アップデートについて
itkr2305
3
620
なぜ Control Tower は Config アグリゲータを 2 つ作るのか?
itkr2305
0
570
AWS Organizations のユースケースで学ぶ AWS アカウント管理のベストプラクティス「AWS Organizations でマルチアカウント戦略を始めよう」
itkr2305
0
1.3k
クラウド食堂 #4 ~AWSカテゴリ指定LT会~ AWS Control Tower のリージョン拒否設定を深堀してみた
itkr2305
0
510
Featured
See All Featured
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
34
2.8k
Mobile First: as difficult as doing things right
swwweet
225
10k
Public Speaking Without Barfing On Your Shoes - THAT 2023
reverentgeek
1
420
Stop Working from a Prison Cell
hatefulcrawdad
274
21k
Self-Hosted WebAssembly Runtime for Runtime-Neutral Checkpoint/Restore in Edge–Cloud Continuum
chikuwait
0
580
The Language of Interfaces
destraynor
162
27k
Designing for humans not robots
tammielis
254
26k
Abbi's Birthday
coloredviolet
2
8k
Code Reviewing Like a Champion
maltzj
528
40k
How to build an LLM SEO readiness audit: a practical framework
nmsamuel
1
770
Game over? The fight for quality and originality in the time of robots
wayneb77
1
200
16th Malabo Montpellier Forum Presentation
akademiya2063
PRO
0
140
Transcript
2026/05/20 JAWS-UG朝会 #81 AWS Control Tower の Config ベースラインの中⾝を覗いてみた
今⽇話すこと 2 • そもそも Control Tower の Config ベースラインって何? •
Config ベースラインを 有効化する⽅法 • 有効化すると 何が展開されるのか (中⾝を覗く) • ついでに 検証してきたこと をひとつ
AWS Control Tower とは 3 • AWS 上でマルチアカウント環境を安全かつ効率的に構築‧管理するための マネージドサービス •
主な機能 ◦ ベースライン適⽤(アカウント作成時の設定⾃動化) ◦ コントロール (SCP / Config Rules / CFn hooks 等による予防的/検出的/プロアクティブコントロール) ◦ ドリフト検知 (CT が管理する設定が意図せず変更されたことを検出) • 2025 年にランディングゾーン(LZ) 4.0 がリリース ◦ ひとつ前のバージョンは LZ 3.3 ※AWS Black Belt Online Seminar AWS Control Tower 基礎編 より引用
Configベースラインのステータスが「有効」に なっているところ、⾒たことありますか? Control Tower の Config ベースラインって何? 4
Control Tower の Config ベースラインって何? 5 この列の話です
Control Tower の Config ベースラインって何? 6 • Config ベースラインって何? →
Control Tower が OU 単位で AWS Config と通知転送の仕組みを メンバーアカウントに⼀式デプロイしてくれる機能
Configベースラインのステータス列を 「有効」にしてみました 7
検証環境 8
① 有効化する前のメンバーアカウントの状態を⾒ておく
itkr3_mem01 (有効化前) の状態 10 • Configベースラインは「有効になっていません」の状態
itkr3_mem01 (有効化前) の状態 11 • CFnスタック/Config/CloudTrail/IAM Role それぞれを確認
itkr3_mem01 (有効化前) の状態 12 • CFnスタック/Config/CloudTrail/IAM Role それぞれを確認
itkr3_mem01 (有効化前) の状態 13 • CFnスタック/Config/CloudTrail/IAM Role それぞれを確認
itkr3_mem01 (有効化前) の状態 14 • CFnスタック/Config/CloudTrail/IAM Role それぞれを確認
② 管理アカウントで有効化操作
管理アカウントから「Configベースラインを有効化」 16 • 管理アカウントの Control Tower コンソールで操作 • 対象OU (Sandbox
OU) を選んで有効化を実⾏
管理アカウントから「Configベースラインを有効化」 17 • 管理アカウントの Control Tower コンソールで操作 • 対象OU (Sandbox
OU) を選んで有効化を実⾏
管理アカウントから「Configベースラインを有効化」 18 • 管理アカウントの Control Tower コンソールで操作 • 対象OU (Sandbox
OU) を選んで有効化を実⾏
③ メンバーアカウントの中で何が起きたか
itkr3_mem01 に 4つの CFnスタックが展開された 20 • StackSets 経由で管理アカウントからメンバーアカウントへ展開 • 4スタック合計
11リソース • それぞれの中⾝を⾒ていきます
図A: 4 スタック‧計 11リソース 全体俯瞰図 21
図B: BASELINE-CLOUDWATCH (7リソース) 22
図C: BASELINE-CONFIG + ロール系 (合計4リソース) 23
Config レコーダーが作られた = CT の検出的コントロールが使える 24
SandboxOU に検出的コントロールが適⽤できるか確認 25 • 管理アカウントの Control Tower コンソールで操作 • 対象
OU (Sandbox OU) を選んで検出的コントロール有効化を実⾏
④ 余談: 「統制のステータス」との関係
気になったこと 27 • Config ベースラインが「有効」のアカウントは「統制のステータス」も 「統制が有効」と表⽰される • ということは、 CT ランディングゾーン設定のリージョン拒否は適⽤される?
検証してみた 28 • CT ランディングゾーン設定のリージョン拒否が有効なCT環境で 「Control Towerベースライン」と「Configベースラインのみ」のOUを⽤意 • それぞれにアタッチされている予防的コントロールを⽐較 Control
Tower ベースライン Config ベースライン
検証してみた 29 • → 差分は [AWS-GR_REGION_DENY] のみ ※ 「CT ランディングゾーン設定のリージョン拒否」は
[AWS-GR_REGION_DENY] コントロールで実現している Control Tower ベースライン Config ベースライン
Configベースラインが「有効」でも、 ランディングゾーンのリージョン拒否は適⽤されない 30
まとめ 31 • Control Tower の Config ベースラインとは、 OU 単位で
AWS Config と通知転送の仕組みをメンバーアカウントに ⼀式デプロイしてくれる機能 • Config ベースラインは管理アカウントから簡単に有効化できる • ベースラインの中⾝は CFn 4スタック‧計 11リソース (Config 本体 + 通知転送 + IAM ロール系) • 「統制が有効」表⽰でも、ランディングゾーンのリージョン拒否は適⽤さ れない (それは Control Tower ベースラインで実現)
None
Your Podcast. Everywhere. Effortlessly.
itkr2305
jcasabona
swwweet
reverentgeek
hatefulcrawdad
chikuwait
destraynor
tammielis
coloredviolet
maltzj
nmsamuel
wayneb77
akademiya2063
![検証してみた 29 • → 差分は [AWS-GR_REGION_DENY] のみ ※ 「CT ランディングゾーン設定のリージョン拒否」は](https://files.speakerdeck.com/presentations/8f42f7b7d1f54898826128c6f207cbe8/slide_28.jpg){kind=link}
