Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS Control Tower の Config ベースラインの中身を覗いてみた

Avatar for いたくら いたくら
May 31, 2026
41
0

AWS Control Tower の Config ベースラインの中身を覗いてみた

2026/05/20(水) JAWS-UG朝会 #81
https://jawsug-asa.connpass.com/event/384850/

#jawsug #jawsug_asa

Avatar for いたくら

いたくら

May 31, 2026

More Decks by いたくら

See All by いたくら
Control Tower LZ 4.0 環境で見えた CT 作成管理 SNS と EventBridge のいま
Avatar for いたくら itkr2305
1
190
AWS Control Tower Landing Zone 4.0 導入も移行もまとめて解説
Avatar for いたくら itkr2305
0
570
CDK 初心者が AWS Control Tower の landing zone をコード化してみた
Avatar for いたくら itkr2305
1
1.6k
re:Invent 2025 のセッション (COP365) をベースに AWS Control Tower 関連の新機能を紹介します!
Avatar for いたくら itkr2305
1
480
AWS Control Tower Landing zone 4.0 についてまとめてみた
Avatar for いたくら itkr2305
1
2k
最近の AWS Control Tower アップデートについて
Avatar for いたくら itkr2305
3
590
なぜ Control Tower は Config アグリゲータを 2 つ作るのか?
Avatar for いたくら itkr2305
0
530
AWS Organizations のユースケースで学ぶ AWS アカウント管理のベストプラクティス「AWS Organizations でマルチアカウント戦略を始めよう」
Avatar for いたくら itkr2305
0
1.2k
クラウド食堂 #4 ~AWSカテゴリ指定LT会~ AWS Control Tower のリージョン拒否設定を深堀してみた
Avatar for いたくら itkr2305
0
470

Featured

See All Featured
The Illustrated Guide to Node.js - THAT Conference 2024
Avatar for David Neal reverentgeek
1
360
sira's awesome portfolio website redesign presentation
Avatar for ElsiraPls elsirapls
0
250
A Modern Web Designer's Workflow
Avatar for Chris Coyier chriscoyier
698
190k
4 Signs Your Business is Dying
Avatar for Josh Pigford shpigford
187
22k
Heart Work Chapter 1 - Part 1
Avatar for Lake Fama lfama
PRO
7
36k
The Straight Up "How To Draw Better" Workshop
Avatar for Dennis Kardys denniskardys
239
140k
Collaborative Software Design: How to facilitate domain modelling decisions
Avatar for Kenny Baas-Schwegler baasie
1
220
Tell your own story through comics
Avatar for letsgokoyo letsgokoyo
1
930
VelocityConf: Rendering Performance Case Studies
Avatar for Addy Osmani addyosmani
333
25k
Digital Ethics as a Driver of Design Innovation
Avatar for Per Axbom axbom
PRO
1
290
Building Applications with DynamoDB
Avatar for Matt Wood mza
96
7k
How Software Deployment tools have changed in the past 20 years
Avatar for Geshan Manandhar geshan
0
34k

Transcript

  1. 2026/05/20 JAWS-UG朝会 #81 AWS Control Tower の Config ベースラインの中⾝を覗いてみた

  2. 今⽇話すこと 2 • そもそも Control Tower の Config ベースラインって何? •

    Config ベースラインを 有効化する⽅法 • 有効化すると 何が展開されるのか (中⾝を覗く) • ついでに 検証してきたこと をひとつ

  3. AWS Control Tower とは 3 • AWS 上でマルチアカウント環境を安全かつ効率的に構築‧管理するための マネージドサービス •

    主な機能 ◦ ベースライン適⽤(アカウント作成時の設定⾃動化) ◦ コントロール (SCP / Config Rules / CFn hooks 等による予防的/検出的/プロアクティブコントロール) ◦ ドリフト検知 (CT が管理する設定が意図せず変更されたことを検出) • 2025 年にランディングゾーン(LZ) 4.0 がリリース ◦ ひとつ前のバージョンは LZ 3.3 ※AWS Black Belt Online Seminar AWS Control Tower 基礎編 より引用

  4. Configベースラインのステータスが「有効」に なっているところ、⾒たことありますか? Control Tower の Config ベースラインって何? 4

  5. Control Tower の Config ベースラインって何? 5 この列の話です

  6. Control Tower の Config ベースラインって何? 6 • Config ベースラインって何? →

    Control Tower が OU 単位で AWS Config と通知転送の仕組みを  メンバーアカウントに⼀式デプロイしてくれる機能

  7. Configベースラインのステータス列を 「有効」にしてみました 7

  8. 検証環境 8

  9. ① 有効化する前のメンバーアカウントの状態を⾒ておく

  10. itkr3_mem01 (有効化前) の状態 10 • Configベースラインは「有効になっていません」の状態

  11. itkr3_mem01 (有効化前) の状態 11 • CFnスタック/Config/CloudTrail/IAM Role それぞれを確認

  12. itkr3_mem01 (有効化前) の状態 12 • CFnスタック/Config/CloudTrail/IAM Role それぞれを確認

  13. itkr3_mem01 (有効化前) の状態 13 • CFnスタック/Config/CloudTrail/IAM Role それぞれを確認

  14. itkr3_mem01 (有効化前) の状態 14 • CFnスタック/Config/CloudTrail/IAM Role それぞれを確認

  15. ② 管理アカウントで有効化操作

  16. 管理アカウントから「Configベースラインを有効化」 16 • 管理アカウントの Control Tower コンソールで操作 • 対象OU (Sandbox

    OU) を選んで有効化を実⾏

  17. 管理アカウントから「Configベースラインを有効化」 17 • 管理アカウントの Control Tower コンソールで操作 • 対象OU (Sandbox

    OU) を選んで有効化を実⾏

  18. 管理アカウントから「Configベースラインを有効化」 18 • 管理アカウントの Control Tower コンソールで操作 • 対象OU (Sandbox

    OU) を選んで有効化を実⾏

  19. ③ メンバーアカウントの中で何が起きたか

  20. itkr3_mem01 に 4つの CFnスタックが展開された 20 • StackSets 経由で管理アカウントからメンバーアカウントへ展開 • 4スタック合計

    11リソース • それぞれの中⾝を⾒ていきます

  21. 図A: 4 スタック‧計 11リソース 全体俯瞰図 21

  22. 図B: BASELINE-CLOUDWATCH (7リソース) 22

  23. 図C: BASELINE-CONFIG + ロール系 (合計4リソース) 23

  24. Config レコーダーが作られた = CT の検出的コントロールが使える 24

  25. SandboxOU に検出的コントロールが適⽤できるか確認 25 • 管理アカウントの Control Tower コンソールで操作 • 対象

    OU (Sandbox OU) を選んで検出的コントロール有効化を実⾏

  26. ④ 余談: 「統制のステータス」との関係

  27. 気になったこと 27 • Config ベースラインが「有効」のアカウントは「統制のステータス」も 「統制が有効」と表⽰される • ということは、 CT ランディングゾーン設定のリージョン拒否は適⽤される?

  28. 検証してみた 28 • CT ランディングゾーン設定のリージョン拒否が有効なCT環境で 「Control Towerベースライン」と「Configベースラインのみ」のOUを⽤意 • それぞれにアタッチされている予防的コントロールを⽐較 Control

    Tower ベースライン Config ベースライン

  29. 検証してみた 29 • → 差分は [AWS-GR_REGION_DENY] のみ ※ 「CT ランディングゾーン設定のリージョン拒否」は

      [AWS-GR_REGION_DENY] コントロールで実現している   Control Tower ベースライン Config ベースライン

  30. Configベースラインが「有効」でも、 ランディングゾーンのリージョン拒否は適⽤されない 30

  31. まとめ 31 • Control Tower の Config ベースラインとは、 OU 単位で

    AWS Config と通知転送の仕組みをメンバーアカウントに ⼀式デプロイしてくれる機能 • Config ベースラインは管理アカウントから簡単に有効化できる • ベースラインの中⾝は CFn 4スタック‧計 11リソース (Config 本体 + 通知転送 + IAM ロール系) • 「統制が有効」表⽰でも、ランディングゾーンのリージョン拒否は適⽤さ れない (それは Control Tower ベースラインで実現)
  32. None