Share
Embed
Slide 1
Slide 1 text
2026/05/20
JAWS-UG朝会 #81
AWS Control Tower の
Config ベースラインの中⾝を覗いてみた
Slide 2
Slide 2 text
今⽇話すこと 2
● そもそも Control Tower の Config ベースラインって何?
● Config ベースラインを 有効化する⽅法
● 有効化すると 何が展開されるのか (中⾝を覗く)
● ついでに 検証してきたこと をひとつ
Slide 3
Slide 3 text
AWS Control Tower とは 3
● AWS 上でマルチアカウント環境を安全かつ効率的に構築‧管理するための
マネージドサービス
● 主な機能
○ ベースライン適⽤(アカウント作成時の設定⾃動化)
○ コントロール
(SCP / Config Rules / CFn hooks 等による予防的/検出的/プロアクティブコントロール)
○ ドリフト検知
(CT が管理する設定が意図せず変更されたことを検出)
● 2025 年にランディングゾーン(LZ) 4.0 がリリース
○ ひとつ前のバージョンは LZ 3.3
※AWS Black Belt Online Seminar AWS Control Tower 基礎編 より引用
Slide 4
Slide 4 text
Configベースラインのステータスが「有効」に
なっているところ、⾒たことありますか?
Control Tower の Config ベースラインって何? 4
Slide 5
Slide 5 text
Control Tower の Config ベースラインって何? 5
この列の話です
Slide 6
Slide 6 text
Control Tower の Config ベースラインって何? 6
● Config ベースラインって何?
→ Control Tower が OU 単位で AWS Config と通知転送の仕組みを
メンバーアカウントに⼀式デプロイしてくれる機能
Slide 7
Slide 7 text
Configベースラインのステータス列を
「有効」にしてみました
7
Slide 8
Slide 8 text
検証環境 8
Slide 9
Slide 9 text
① 有効化する前のメンバーアカウントの状態を⾒ておく
Slide 10
Slide 10 text
itkr3_mem01 (有効化前) の状態 10
● Configベースラインは「有効になっていません」の状態
Slide 11
Slide 11 text
itkr3_mem01 (有効化前) の状態 11
● CFnスタック/Config/CloudTrail/IAM Role それぞれを確認
Slide 12
Slide 12 text
itkr3_mem01 (有効化前) の状態 12
● CFnスタック/Config/CloudTrail/IAM Role それぞれを確認
Slide 13
Slide 13 text
itkr3_mem01 (有効化前) の状態 13
● CFnスタック/Config/CloudTrail/IAM Role それぞれを確認
Slide 14
Slide 14 text
itkr3_mem01 (有効化前) の状態 14
● CFnスタック/Config/CloudTrail/IAM Role それぞれを確認
Slide 15
Slide 15 text
② 管理アカウントで有効化操作
Slide 16
Slide 16 text
管理アカウントから「Configベースラインを有効化」 16
● 管理アカウントの Control Tower コンソールで操作
● 対象OU (Sandbox OU) を選んで有効化を実⾏
Slide 17
Slide 17 text
管理アカウントから「Configベースラインを有効化」 17
● 管理アカウントの Control Tower コンソールで操作
● 対象OU (Sandbox OU) を選んで有効化を実⾏
Slide 18
Slide 18 text
管理アカウントから「Configベースラインを有効化」 18
● 管理アカウントの Control Tower コンソールで操作
● 対象OU (Sandbox OU) を選んで有効化を実⾏
Slide 19
Slide 19 text
③ メンバーアカウントの中で何が起きたか
Slide 20
Slide 20 text
itkr3_mem01 に 4つの CFnスタックが展開された 20
● StackSets 経由で管理アカウントからメンバーアカウントへ展開
● 4スタック合計 11リソース
● それぞれの中⾝を⾒ていきます
Slide 21
Slide 21 text
図A: 4 スタック‧計 11リソース 全体俯瞰図 21
Slide 22
Slide 22 text
図B: BASELINE-CLOUDWATCH (7リソース) 22
Slide 23
Slide 23 text
図C: BASELINE-CONFIG + ロール系 (合計4リソース) 23
Slide 24
Slide 24 text
Config レコーダーが作られた
= CT の検出的コントロールが使える
24
Slide 25
Slide 25 text
SandboxOU に検出的コントロールが適⽤できるか確認 25
● 管理アカウントの Control Tower コンソールで操作
● 対象 OU (Sandbox OU) を選んで検出的コントロール有効化を実⾏
Slide 26
Slide 26 text
④ 余談: 「統制のステータス」との関係
Slide 27
Slide 27 text
気になったこと 27
● Config ベースラインが「有効」のアカウントは「統制のステータス」も
「統制が有効」と表⽰される
● ということは、
CT ランディングゾーン設定のリージョン拒否は適⽤される?
Slide 28
Slide 28 text
検証してみた 28
● CT ランディングゾーン設定のリージョン拒否が有効なCT環境で
「Control Towerベースライン」と「Configベースラインのみ」のOUを⽤意
● それぞれにアタッチされている予防的コントロールを⽐較
Control Tower ベースライン Config ベースライン
Slide 29
Slide 29 text
検証してみた 29
● → 差分は [AWS-GR_REGION_DENY] のみ
※ 「CT ランディングゾーン設定のリージョン拒否」は
[AWS-GR_REGION_DENY] コントロールで実現している
Control Tower ベースライン Config ベースライン
Slide 30
Slide 30 text
Configベースラインが「有効」でも、
ランディングゾーンのリージョン拒否は適⽤されない
30
Slide 31
Slide 31 text
まとめ 31
● Control Tower の Config ベースラインとは、
OU 単位で AWS Config と通知転送の仕組みをメンバーアカウントに
⼀式デプロイしてくれる機能
● Config ベースラインは管理アカウントから簡単に有効化できる
● ベースラインの中⾝は
CFn 4スタック‧計 11リソース (Config 本体 + 通知転送 + IAM ロール系)
● 「統制が有効」表⽰でも、ランディングゾーンのリージョン拒否は適⽤さ
れない (それは Control Tower ベースラインで実現)
Slide 32
Slide 32 text
No content