developersIO
Control Tower 管理の Config レコーダー設定をカスタマイズしてみた

Control Tower 管理の Config レコーダー設定をカスタマイズしてみた

AWSAWS Control TowerAWS Config
FacebookHatena blogX
2025.08.31

こんにちは、クラウド事業本部 コンサルティング部のいたくらです。

はじめに

AWS Control Tower によって作成された AWS Config レコーダー設定は、以下のように「カスタマイズ可能なオーバーライドのあるすべてのリソースタイプ」を「連続」で記録します。
1-6.png

VPC 内 Lambda や ECS / Fargate、Auto Scaling などを利用していると、ENI の作成・削除が頻繁に繰り返されることがあるため、AWS 上で稼働しているシステムによっては Config 料金が高騰することがあります。

このような場合、オーバーライド設定より、リソースタイプ:AWS EC2 NetworkInterface を記録から除外したくなりますが、マネコンで直接変更してはいけません。というか変更できません。
なぜなら Control Tower が作成する SCP によって、Config レコーダーの設定変更ができないように制限されているからです。

今回は下記 AWS 公式ブログを参考に、Control Tower によって作成された AWS Config レコーダー設定を変更する方法をご紹介します。
AWS Control Tower 環境での AWS Config リソーストラッキングのカスタマイズ | Amazon Web Services ブログ

やってみた

テンプレートをダウンロードする

以下の Git リポジトリより、template.yml ファイルをダウンロードします。
https://github.com/aws-samples/aws-control-tower-config-customization

管理アカウントでテンプレートをデプロイする

管理アカウント上の Control Tower ホームリージョンで CloudFormation のサービスページに移動し、「スタックの作成」から「新しいリソースを使用 (標準)」をクリックします。
2-3.png

以下を選択・アップロードして「次へ」をクリックします。

  • テンプレートの準備:既存のテンプレートを選択
  • テンプレートソース:テンプレートファイルのアップロード
  • テンプレートファイルのアップロード:template.yml
    3.png

以下を入力して「次へ」をクリックします。

  • スタック名:(適宜入力)
  • CloudFormationVersion
    • 初回デプロイの場合 1 のままで OK
  • ExcludedAccounts
    • 少なくとも管理アカウント、ログアーカイブアカウント、監査アカウントを含める必要があると補足があるため、その 3 アカウントのアカウント ID を入力
  • ConfigRecorderExcludedResourceTypes:AWS::EC2::NetworkInterface
  • ConfigRecorderDailyResourceTypes, ConfigRecorderDailyGlobalResourceTypes
    • 連続ではなく日次として設定するリソースタイプを指定可能
    • 今回は空にしました
  • 他の項目はデフォルトのままとしています
    4.png

「スタックオプションの設定」画面の項目はデフォルトのまま、最後の承認しますにチェックを入れて「次へ」をクリックします。
5.png

「確認して作成」画面でパラメーターを確認したら、画面最下部の「送信」をクリックします。
6.png

私の環境では 2 分くらいでデプロイが完了しました。

メンバーアカウントで Config 設定を確認する

メンバーアカウントにログインして、AWS Config のサービスページから設定を確認します。
オーバーライド設定のあるリソースタイプを開くと、AWS EC2 NetworkInterface記録から除外 に変更されていることが確認できました。
7.png

さいごに

Control Tower 管理の Config レコーダー設定をカスタマイズする方法をご紹介しました。
今回は AWS EC2 NetworkInterface記録から除外 だけ設定しましたが、日次記録に変更したいリソースタイプがある場合は、ConfigRecorderDailyResourceTypes(もしくは ConfigRecorderDailyGlobalResourceTypes)に対象とするリソースタイプを入力すれば設定が可能です。

Control Tower 管理のリソースは変更できないし…と Config レコーダーのカスタマイズを諦めていた方は、是非このソリューションの利用を検討いただければと思います。

この記事がどなたかのお役に立てれば幸いです。

この記事をシェアする

FacebookHatena blogX

関連記事

QuickSight ダッシュボードでアラートが作成できない原因を教えてください
すながわ
2025.11.04
[値下げ] Amazon Cognito のマシン間 (M2M) 認証の料金が改定され、アプリクライアントごとの料金が発生しなくなりました
いわさ
2025.11.04
レプリケーションされたオブジェクトに対する S3 ライフサイクル動作の変更について
若山俊介
2025.11.03
物体検出モデルでシイタケの収穫時期を自動判定するまでにやったこと。〜②AWSデプロイ編〜
あかいけ
2025.11.03