Slide 1
Slide 1 text
なぜ Control Tower は
Config アグリゲータを
2 つ作るのか?
板倉 舞 / いたくら
クラスメソッド株式会社 クラウド事業本部コンサルティング部
Slide 2
Slide 2 text
はじめに
Slide 3
Slide 3 text
はじめに
3
Control Tower を有効化(ランディングゾーン設定)後、
2 つの Config アグリゲータが作成されるって知っていますか?
📌管理アカウント
→ aws-controltower-ConfigAggregatorForOrganizations
📌Audit アカウント
→ aws-controltower-GuardrailsComplianceAggregator
なぜ別々のアカウント?役割は?両⽅必要なの?🤔
Slide 4
Slide 4 text
先に結論
Slide 5
Slide 5 text
先に結論
5
2 つの Config アグリゲータの⽬的‧役割はこれだ!
● aws-controltower-ConfigAggregatorForOrganizations(管理アカウント)
○ ⽬的:Organizations 全体の Config データを集約
○ 対象:Config が有効な全アカウント(Control Tower 未登録も含む)
○ ⽤途:組織全体のリソース設定‧コンプライアンス監視
● aws-controltower-GuardrailsComplianceAggregator(Audit アカウント)
○ ⽬的:Control Tower 管理下のアカウントの Config データを集約
○ 対象:Control Tower 登録済みアカウント(Config ⾃動有効化)
○ ⽤途:Audit アカウントからのセキュリティ監査
Slide 6
Slide 6 text
基礎知識:AWS Config について
Slide 7
Slide 7 text
基礎知識:AWS Config について
7
● AWS リソース変更があった場合に Config データが Config レコーダーに記録される
● 集約設定(アグリゲータ)がある場合、アグリゲータが存在するアカウントに Config
データがリアルタイムで集約される
● Config Delivery Channel により S3 バケットに Config データが保存される
Slide 8
Slide 8 text
ConfigAggregatorForOrganizations
Slide 9
Slide 9 text
aws-controltower-ConfigAggregatorForOrganizations
9
📌 何を集約する?
● Organizations 内で Config が有効な全アカウントのデータ
● CT 登録アカウント:⾃動で Config 有効化
● CT 未登録アカウント:⼿動で Config 有効化が必要
📌何が⾒える?
● 各アカウントのリソース設定情報
● 各アカウントの Config ルール評価結果
📌 どう使う?
● Organizations 全体のリソース可視化
● Config コンプライアンスダッシュボードでの詳細分析
● セキュリティ監査‧ガバナンスの基盤
Slide 10
Slide 10 text
ConfigAggregatorForOrganizations 図解
10
Slide 11
Slide 11 text
GuardrailsComplianceAggregator
Slide 12
Slide 12 text
aws-controltower-GuardrailsComplianceAggregator
12
📌 何を集約する?
● Control Tower 登録済みアカウントのデータ
● Control Tower 未登録アカウントと管理アカウントは対象外
📌何が⾒える?
● 各アカウントの Config ルール評価結果
● ConfigAggregatorForOrganizations と同じデータ内容
📌 どう使う?
● Audit アカウントからのコンプライアンス確認
● CT 管理下アカウントのガバナンス監視
Slide 13
Slide 13 text
GuardrailsComplianceAggregator 図解
13
Slide 14
Slide 14 text
⽐較表
Slide 15
Slide 15 text
⽐較表
15
以下、2 つのアグリゲータの違い
ConfigAggregatorForOrganizations GuardrailsComplianceAggregator
場所 管理アカウント Audit アカウント
対象範囲 Organizations 全体 CT 登録済みアカウントのみ
(管理アカウントを除く)
集約データ 全 Config ルール 全 Config ルール
主な用途 組織全体の管理 CT管理下の監査
📍ポイント
● 集約するデータ内容は同じ
● 違いは「場所」と「対象アカウントの範囲」
● 役割分担のために両⽅とも必要
Slide 16
Slide 16 text
まとめ
Slide 17
Slide 17 text
まとめ
17
本質的な違いは 2 つだけ!
ConfigAggregatorForOrganizations GuardrailsComplianceAggregator
場所 管理アカウント Audit アカウント
対象範囲 Organizations 全体 CT 登録済みアカウントのみ
(管理アカウントを除く)
❓なぜ Config アグリゲータを 2 つ作るのか?(推測)
アカウント分割(管理 vs 監査)により、役割に応じたアクセス管理を実現するため
💡どちらを使う?
‧Organizations 全体を⾒たい → ConfigAggregatorForOrganizations
‧CT 管理下のみ⾒たい → GuardrailsComplianceAggregator
‧Config アグリゲータのコンプライアンスダッシュボードはどちらでも利⽤可能
Slide 18
Slide 18 text
No content