Upgrade to Pro — share decks privately, control downloads, hide ads and more …

なぜ Control Tower は Config アグリゲータを 2 つ作るのか?

Avatar for いたくら いたくら
October 21, 2025
0
120

なぜ Control Tower は Config アグリゲータを 2 つ作るのか?

【AIとクラウドの文化祭!】DevelopersIO2025 TOKYO GRAND FINALE
クラスメソッド社員による怒涛のLT大会、11連発
https://classmethod.connpass.com/event/366750/

Avatar for いたくら

いたくら

October 21, 2025
Tweet

More Decks by いたくら

See All by いたくら
AWS Organizations のユースケースで学ぶ AWS アカウント管理のベストプラクティス「AWS Organizations でマルチアカウント戦略を始めよう」
Avatar for いたくら itkr2305
0
830
クラウド食堂 #4 ~AWSカテゴリ指定LT会~ AWS Control Tower のリージョン拒否設定を深堀してみた
Avatar for いたくら itkr2305
0
250
第28回クラウド女子会 ~夏のLT大会!&AWS BuilderCards v2をプレイしよう~ セッション聴講だけではもったいない! 現地参加者とたくさん話そう!
Avatar for いたくら itkr2305
0
240
実装先SCPのコントロールを全部有効化してみた! ~2025年 ver.~
Avatar for いたくら itkr2305
0
340
第27回クラウド女子会 ~re:Invent 振り返りLT会~ 宣言型ポリシー、使ってみたらこうだった!
Avatar for いたくら itkr2305
0
510

Featured

See All Featured
4 Signs Your Business is Dying
Avatar for Josh Pigford shpigford
185
22k
ReactJS: Keep Simple. Everything can be a component!
Avatar for Pedro Nauck pedronauck
667
120k
Fashionably flexible responsive web design (full day workshop)
Avatar for Andy Clarke malarkey
407
66k
Building a Modern Day 
E-commerce SEO Strategy
Avatar for Aleyda Solis aleyda
44
7.8k
Product Roadmaps are Hard
Avatar for C. Todd Lombardo iamctodd
PRO
54
11k
VelocityConf: Rendering Performance Case Studies
Avatar for Addy Osmani addyosmani
332
24k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
Avatar for Marc Duiker marcduiker
34
2.3k
How to Ace a Technical Interview
Avatar for Jacob Kaplan-Moss jacobian
280
24k
Performance Is Good for Brains [We Love Speed 2024]
Avatar for Tammy Everts tammyeverts
12
1.2k
KATA
Avatar for Megan Lloyd mclloyd
PRO
32
15k
The Illustrated Children's Guide to Kubernetes
Avatar for Chris Short chrisshort
49
51k
jQuery: Nuts, Bolts and Bling
Avatar for Doug Neiner dougneiner
65
7.9k

Transcript

  1. なぜ Control Tower は Config アグリゲータを 2 つ作るのか? 板倉 舞

    / いたくら クラスメソッド株式会社 クラウド事業本部コンサルティング部

  2. はじめに

  3. はじめに 3 Control Tower を有効化(ランディングゾーン設定)後、 2 つの Config アグリゲータが作成されるって知っていますか? 📌管理アカウント

    → aws-controltower-ConfigAggregatorForOrganizations 📌Audit アカウント → aws-controltower-GuardrailsComplianceAggregator なぜ別々のアカウント?役割は?両⽅必要なの?🤔

  4. 先に結論

  5. 先に結論 5 2 つの Config アグリゲータの⽬的‧役割はこれだ! • aws-controltower-ConfigAggregatorForOrganizations(管理アカウント) ◦ ⽬的:Organizations

    全体の Config データを集約 ◦ 対象:Config が有効な全アカウント(Control Tower 未登録も含む) ◦ ⽤途:組織全体のリソース設定‧コンプライアンス監視 • aws-controltower-GuardrailsComplianceAggregator(Audit アカウント) ◦ ⽬的:Control Tower 管理下のアカウントの Config データを集約 ◦ 対象:Control Tower 登録済みアカウント(Config ⾃動有効化) ◦ ⽤途:Audit アカウントからのセキュリティ監査

  6. 基礎知識:AWS Config について

  7. 基礎知識:AWS Config について 7 • AWS リソース変更があった場合に Config データが Config

    レコーダーに記録される • 集約設定(アグリゲータ)がある場合、アグリゲータが存在するアカウントに Config データがリアルタイムで集約される • Config Delivery Channel により S3 バケットに Config データが保存される

  8. ConfigAggregatorForOrganizations

  9. aws-controltower-ConfigAggregatorForOrganizations 9 📌 何を集約する? • Organizations 内で Config が有効な全アカウントのデータ •

    CT 登録アカウント:⾃動で Config 有効化 • CT 未登録アカウント:⼿動で Config 有効化が必要 📌何が⾒える? • 各アカウントのリソース設定情報 • 各アカウントの Config ルール評価結果 📌 どう使う? • Organizations 全体のリソース可視化 • Config コンプライアンスダッシュボードでの詳細分析 • セキュリティ監査‧ガバナンスの基盤

  10. ConfigAggregatorForOrganizations 図解 10

  11. GuardrailsComplianceAggregator

  12. aws-controltower-GuardrailsComplianceAggregator 12 📌 何を集約する? • Control Tower 登録済みアカウントのデータ • Control

    Tower 未登録アカウントと管理アカウントは対象外 📌何が⾒える? • 各アカウントの Config ルール評価結果 • ConfigAggregatorForOrganizations と同じデータ内容 📌 どう使う? • Audit アカウントからのコンプライアンス確認 • CT 管理下アカウントのガバナンス監視

  13. GuardrailsComplianceAggregator 図解 13

  14. ⽐較表

  15. ⽐較表 15 以下、2 つのアグリゲータの違い ConfigAggregatorForOrganizations GuardrailsComplianceAggregator 場所 管理アカウント Audit アカウント

    対象範囲 Organizations 全体 CT 登録済みアカウントのみ (管理アカウントを除く) 集約データ 全 Config ルール 全 Config ルール 主な用途 組織全体の管理 CT管理下の監査 📍ポイント • 集約するデータ内容は同じ • 違いは「場所」と「対象アカウントの範囲」 • 役割分担のために両⽅とも必要

  16. まとめ

  17. まとめ 17 本質的な違いは 2 つだけ! ConfigAggregatorForOrganizations GuardrailsComplianceAggregator 場所 管理アカウント Audit

    アカウント 対象範囲 Organizations 全体 CT 登録済みアカウントのみ (管理アカウントを除く) ❓なぜ Config アグリゲータを 2 つ作るのか?(推測)  アカウント分割(管理 vs 監査)により、役割に応じたアクセス管理を実現するため 💡どちらを使う?  ‧Organizations 全体を⾒たい → ConfigAggregatorForOrganizations  ‧CT 管理下のみ⾒たい → GuardrailsComplianceAggregator  ‧Config アグリゲータのコンプライアンスダッシュボードはどちらでも利⽤可能
  18. None