実装先SCPのコントロールを全部有効化してみた！ ～2025年 ver.～ ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_c いたくら Track C-6 DevelopersIO流！アマゾンの奥地で技術の限界に挑戦：LT7人衆、熱き戦い

● AWS Control Tower のコントロールとは（超概要） ● 実装先 SCP のコントロールをすべて有効化！SCP は何個になる？ ● まとめ 今日話す内容 ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_c

AWS Control Tower のコントロールとは （超概要） ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_c

AWS Control Tower のコントロールとは（超概要） ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_c AWS Control Tower とは ● 複数 AWS アカウントをベストプラクティスに基づいて設定および管理して くれるサービス コントロール とは ● 組織全体のガバナンス保護や逸脱を検知する機能 ● コントロールの実装先は以下が存在する ○ SCP ○ AWS Config ルール ○ CloudFormation フック

実装先 SCP のコントロールをすべて有効化！ SCP は何個になる？ ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_c

実装先 SCP のコントロールをすべて有効化！SCP は何個になる？ ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_c 前提 ● Control Tower ランディングゾーン設定後の OU 構成は以下 ● ランディングゾーン設定時に以下 OU を作成 ○ SecurityOU ○ SandboxOU ● SecurityOU 配下に Audit / LogArchive アカウントが存在 今回は SandboxOU に対して、 実装先 SCP のコントロールをすべて有効化

実装先 SCP のコントロールをすべて有効化！SCP は何個になる？ ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_c ランディングゾーン設定直後 ● SandboxOU で有効となっている実装先 SCP のコントロールは 15 個 ● コントロール 15 個分は aws-guardrails-GSPNeG という SCP に実装

実装先 SCP のコントロールをすべて有効化！SCP は何個になる？ ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_c 実装先 SCP のコントロールは現時点で何個存在するのか？ ⇒ 54 個 54 個の内訳 ● 必須　　：20 個（5 個は SecurityOU のみに対して必須） ● 強く推奨： 2 個 ● 選択的　：32 個 （5 個はランディングゾーン設定で AWS Backup を設定した場合に有効化可能） ※ SandboxOU については必須の 15 個は既に有効化済み ⇒ 必須（15 個）＋強く推奨（2 個）＋選択的（27 個）の計 44 個を有効化！

実装先 SCP のコントロールをすべて有効化！SCP は何個になる？ ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_c 実装先 SCP のコントロールを 44 個有効化した場合、SCP は何個になる？ ⇒ 3 個！ ランディングゾーン設定直後にあった aws-guardrails-GSPNeG 以外に、新たに 2 個 SCP が作成された

まとめ ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_c ● 実装先 SCP のコントロール 44 個を有効にした場合、SCP は 3 個となった ○ 有効化しただけでオプション設定等は実施していないため、実施した場合は、 今回の結果よりも SCP のドキュメントサイズが大きくなる可能性あり ● 独自の SCP を使用している場合は、コントロール有効化前に SCP アタッチ数の 上限に達しないか検証を実施した方が良さそう

SCP アタッチ数の上限には気を付けながら コントロールを活用していきましょう！ ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_c