Slide 1
Slide 1 text
2025/11/12
JAWS-UG朝会 #75
最近の AWS Control Tower アップデート
について
Slide 2
Slide 2 text
⽬次 2
● AWS Control Tower とは
● アップデート①:Python バージョンの更新
● アップデート②:⾃動アカウント登録機能
● おまけ:Config Aggregator への影響
Slide 3
Slide 3 text
AWS Control Tower とは
Slide 4
Slide 4 text
AWS Control Tower とは 4
● AWS 上でマルチアカウント環境を安全かつ効率的に構築‧管理するためのサービス
● 主な機能
○ Landing Zone の⾃動セットアップ
■ セキュアなマルチアカウント環境を短時間で構築
○ ガバナンスの⼀元管理
■ 予防的‧検出的なガードレール(コントロール)を適⽤
○ 継続的なコンプライアンス監視
■ アカウント全体のポリシー準拠状態を可視化
※AWS Black Belt Online Seminar AWS Control Tower 基礎編 より引用
Slide 5
Slide 5 text
アップデート①:Python バージョンの更新
Slide 6
Slide 6 text
アップデート①:Python バージョンの更新 6
● リリース⽇
○ 2025 年 9 ⽉ 3 ⽇
● リリースノート
○ AWS Control Tower updates Python version
● 概要
○ AWS Control Tower 環境の Python バージョンが更新されました
Slide 7
Slide 7 text
アップデート①:Python バージョンの更新 7
● 背景
○ 「AWS Lambda での Python 3.9 のサポートは、Python 3.9 のサポート終了⽇で
ある 2025 年 10 ⽉ 30 ⽇に伴い、2025 年 12 ⽉ 15 ⽇に終了します。
(中略)
2025 年 12 ⽉ 15 ⽇までに、Python 3.9 ランタイムを使⽤した既存の関数を
Lambda で利⽤可能な最新の Python ランタイムにアップグレードすることをお
勧めします。」と各ユーザーに通達されていた
○ Control Tower が作成する Lambda
(aws-controltower-NotificationForwarder)も対象となっていました
Slide 8
Slide 8 text
アップデート①:Python バージョンの更新 8
● アップデート内容
○ Landing Zone の更新は不要
○ 既存ワークロードには影響なし
○ Control Tower が⾃動的に処理
Slide 9
Slide 9 text
アップデート②:⾃動アカウント登録機能
Slide 10
Slide 10 text
アップデート②:⾃動アカウント登録機能 10
● リリース⽇
○ 2025 年 10 ⽉ 15 ⽇
● リリースノート
○ AWS Control Tower supports automatic account enrollment
● 公式発表(2025 年 11 ⽉ 10 ⽇)
○ AWS Control Tower supports automatic enrollment of accounts
● 概要
○ アカウントを OU 間で移動する際に、⾃動的にベースラインリソースとコント
ロールを適⽤する機能が追加されました
Slide 11
Slide 11 text
アップデート②:⾃動アカウント登録機能 11
● これまでの課題
○ アカウントを OU 間で移動する際には、アカウント移動後、「OU の再登録」と
いう作業を実施する必要があった
Slide 12
Slide 12 text
アップデート②:⾃動アカウント登録機能 12
● このアップデートによるメリット
○ 移動先 OU のベースラインとコントロールの⾃動適⽤
■ アカウントが別の OU に移動されると、その OU に設定されているベースライ
ンリソースとコントロールが⾃動的に適⽤
○ 移動元 OU のリソースの⾃動削除
■ 以前の OU で適⽤されていたコントロールとベースラインリソースが⾃動的に
削除
○ ⇒ ドリフトが発⽣しない状況を維持&運⽤負荷軽減!
Slide 13
Slide 13 text
アップデート②:⾃動アカウント登録機能 13
● 有効化の⽅法や使⽤感
○ ブログに書きましたのでこちらをご覧ください
[アップデート] AWS Control Tower に自動アカウント登録機能が追加されました! | DevelopersIO
Slide 14
Slide 14 text
おまけ:Config Aggregator への影響
Slide 15
Slide 15 text
おまけ:Config Aggregator への影響 15
● アップデート②:⾃動アカウント登録機能 を有効化すると‧‧‧
○ Config Aggregator(aws-controltower-GuardrailsComplianceAggregator)に
管理アカウントが⾃動的に追加されます
Slide 16
Slide 16 text
おまけ:Config Aggregator への影響 16
● アップデート②:⾃動アカウント登録機能 を有効化すると‧‧‧
○ Audit アカウントから管理アカウントへの認証リクエストが発⽣します
■ 認証リクエストは 7 ⽇以内に認証しないと⾃動削除される
■ = 認証しなければ、集約対象アカウントは変化なし
※ 変化なし
= Control Tower 登録済みアカウントのみ、管理アカウントは対象外
7 ⽇後
Slide 17
Slide 17 text
おまけ:Config Aggregator への影響 17
● 局所的すぎて何⾔ってるのか分からない!という⽅
○ ブログに書きましたのでこちらをご覧ください
Control Tower の自動アカウント登録機能が Config アグリゲータに与える影響を調べてみた | DevelopersIO
[登壇レポート] 「なぜ Control Tower は Config アグリゲータを 2 つ作るのか?」という内容で登壇しました #devio2025 | DevelopersIO
Slide 18
Slide 18 text
まとめ 18
● アップデート①:Python バージョンの更新
○ Python 3.9 → 3.13 に更新されています!
○ ユーザー側でのアクション不要で⾃動更新でした
● アップデート②:⾃動アカウント登録機能
○ ⼿動の「OU の再登録」が不要になりました!
○ 運⽤負荷‧設定ミスの軽減が期待できます
● おまけ:Config Aggregator への影響
○ 管理アカウントも集約対象に含められるようになってます!
○ もしも含めたい場合は 7 ⽇以内に承認しましょう
Slide 19
Slide 19 text
ありがとうございました!
Slide 20
Slide 20 text
No content