最近の AWS Control Tower アップデートについて

2025/11/12 JAWS-UG朝会 #75 最近の AWS Control Tower アップデートについて

⽬次 2 • AWS Control Tower とは • アップデート①：Python バージョンの更新
• アップデート②：⾃動アカウント登録機能 • おまけ：Conﬁg Aggregator への影響

AWS Control Tower とは

AWS Control Tower とは 4 • AWS 上でマルチアカウント環境を安全かつ効率的に構築‧管理するためのサービス • 主な機能
◦ Landing Zone の⾃動セットアップ ▪ セキュアなマルチアカウント環境を短時間で構築 ◦ ガバナンスの⼀元管理 ▪ 予防的‧検出的なガードレール（コントロール）を適⽤ ◦ 継続的なコンプライアンス監視 ▪ アカウント全体のポリシー準拠状態を可視化 ※AWS Black Belt Online Seminar AWS Control Tower 基礎編より引用

アップデート①：Python バージョンの更新

アップデート①：Python バージョンの更新 6 • リリース⽇ ◦ 2025 年 9 ⽉
3 ⽇ • リリースノート ◦ AWS Control Tower updates Python version • 概要 ◦ AWS Control Tower 環境の Python バージョンが更新されました

アップデート①：Python バージョンの更新 7 • 背景 ◦ 「AWS Lambda での Python
3.9 のサポートは、Python 3.9 のサポート終了⽇である 2025 年 10 ⽉ 30 ⽇に伴い、2025 年 12 ⽉ 15 ⽇に終了します。 (中略) 2025 年 12 ⽉ 15 ⽇までに、Python 3.9 ランタイムを使⽤した既存の関数を Lambda で利⽤可能な最新の Python ランタイムにアップグレードすることをお勧めします。」と各ユーザーに通達されていた ◦ Control Tower が作成する Lambda （aws-controltower-NotiﬁcationForwarder）も対象となっていました

アップデート①：Python バージョンの更新 8 • アップデート内容 ◦ Landing Zone の更新は不要 ◦
既存ワークロードには影響なし ◦ Control Tower が⾃動的に処理

アップデート②：⾃動アカウント登録機能

アップデート②：⾃動アカウント登録機能 10 • リリース⽇ ◦ 2025 年 10 ⽉ 15
⽇ • リリースノート ◦ AWS Control Tower supports automatic account enrollment • 公式発表（2025 年 11 ⽉ 10 ⽇） ◦ AWS Control Tower supports automatic enrollment of accounts • 概要 ◦ アカウントを OU 間で移動する際に、⾃動的にベースラインリソースとコントロールを適⽤する機能が追加されました

アップデート②：⾃動アカウント登録機能 11 • これまでの課題 ◦ アカウントを OU 間で移動する際には、アカウント移動後、「OU の再登録」という作業を実施する必要があった

アップデート②：⾃動アカウント登録機能 12 • このアップデートによるメリット ◦ 移動先 OU のベースラインとコントロールの⾃動適⽤ ▪ アカウントが別の
OU に移動されると、その OU に設定されているベースラインリソースとコントロールが⾃動的に適⽤ ◦ 移動元 OU のリソースの⾃動削除 ▪ 以前の OU で適⽤されていたコントロールとベースラインリソースが⾃動的に削除 ◦ ⇒ ドリフトが発⽣しない状況を維持＆運⽤負荷軽減！

アップデート②：⾃動アカウント登録機能 13 • 有効化の⽅法や使⽤感 ◦ ブログに書きましたのでこちらをご覧ください [アップデート] AWS Control Tower
に自動アカウント登録機能が追加されました！ | DevelopersIO

おまけ：Conﬁg Aggregator への影響

おまけ：Conﬁg Aggregator への影響 15 • アップデート②：⾃動アカウント登録機能を有効化すると‧‧‧ ◦ Conﬁg Aggregator（aws-controltower-GuardrailsComplianceAggregator）に
管理アカウントが⾃動的に追加されます

おまけ：Conﬁg Aggregator への影響 16 • アップデート②：⾃動アカウント登録機能を有効化すると‧‧‧ ◦ Audit アカウントから管理アカウントへの認証リクエストが発⽣します
▪ 認証リクエストは 7 ⽇以内に認証しないと⾃動削除される ▪ ＝認証しなければ、集約対象アカウントは変化なし ※ 変化なし＝ Control Tower 登録済みアカウントのみ、管理アカウントは対象外 7 ⽇後

おまけ：Conﬁg Aggregator への影響 17 • 局所的すぎて何⾔ってるのか分からない！という⽅ ◦ ブログに書きましたのでこちらをご覧ください Control Tower
の自動アカウント登録機能が Config アグリゲータに与える影響を調べてみた | DevelopersIO [登壇レポート] 「なぜ Control Tower は Config アグリゲータを 2 つ作るのか？」という内容で登壇しました #devio2025 | DevelopersIO

まとめ 18 • アップデート①：Python バージョンの更新 ◦ Python 3.9 → 3.13
に更新されています！ ◦ ユーザー側でのアクション不要で⾃動更新でした • アップデート②：⾃動アカウント登録機能 ◦ ⼿動の「OU の再登録」が不要になりました！ ◦ 運⽤負荷‧設定ミスの軽減が期待できます • おまけ：Conﬁg Aggregator への影響 ◦ 管理アカウントも集約対象に含められるようになってます！ ◦ もしも含めたい場合は 7 ⽇以内に承認しましょう

ありがとうございました！

最近の AWS Control Tower アップデートについて

最近の AWS Control Tower アップデートについて

いたくら

More Decks by いたくら

Featured

Transcript

2025/11/12 JAWS-UG朝会 #75 最近の AWS Control Tower アップデートについて

⽬次 2 • AWS Control Tower とは • アップデート①：Python バージョンの更新

AWS Control Tower とは

AWS Control Tower とは 4 • AWS 上でマルチアカウント環境を安全かつ効率的に構築‧管理するためのサービス • 主な機能

アップデート①：Python バージョンの更新

アップデート①：Python バージョンの更新 6 • リリース⽇ ◦ 2025 年 9 ⽉

アップデート①：Python バージョンの更新 7 • 背景 ◦ 「AWS Lambda での Python

アップデート①：Python バージョンの更新 8 • アップデート内容 ◦ Landing Zone の更新は不要 ◦

アップデート②：⾃動アカウント登録機能

アップデート②：⾃動アカウント登録機能 10 • リリース⽇ ◦ 2025 年 10 ⽉ 15

アップデート②：⾃動アカウント登録機能 11 • これまでの課題 ◦ アカウントを OU 間で移動する際には、アカウント移動後、「OU の再登録」という作業を実施する必要があった

アップデート②：⾃動アカウント登録機能 12 • このアップデートによるメリット ◦ 移動先 OU のベースラインとコントロールの⾃動適⽤ ▪ アカウントが別の

アップデート②：⾃動アカウント登録機能 13 • 有効化の⽅法や使⽤感 ◦ ブログに書きましたのでこちらをご覧ください [アップデート] AWS Control Tower

おまけ：Conﬁg Aggregator への影響

おまけ：Conﬁg Aggregator への影響 15 • アップデート②：⾃動アカウント登録機能を有効化すると‧‧‧ ◦ Conﬁg Aggregator（aws-controltower-GuardrailsComplianceAggregator）に

おまけ：Conﬁg Aggregator への影響 16 • アップデート②：⾃動アカウント登録機能を有効化すると‧‧‧ ◦ Audit アカウントから管理アカウントへの認証リクエストが発⽣します

おまけ：Conﬁg Aggregator への影響 17 • 局所的すぎて何⾔ってるのか分からない！という⽅ ◦ ブログに書きましたのでこちらをご覧ください Control Tower

まとめ 18 • アップデート①：Python バージョンの更新 ◦ Python 3.9 → 3.13

ありがとうございました！