AWS Control Tower の「組織」画面に表示されるベースラインステータス列の意味を調べてみた
こんにちは、クラウド事業本部コンサルティング部のいたくらです。
はじめに
AWS Control Tower の「組織」画面には、各 OU やアカウントのステータスを示す列があります。
「AWS Control Tower baseline status」や「AWS Config ベースラインのステータス」という列がありますが、これらが何を意味しているのか調べてみました。
なお、本記事の検証はランディングゾーンバージョン 4.0、以下のランディングゾーン設定で実施しています。
三行まとめ
- 「AWS Control Tower baseline status」と「AWS Config ベースラインのステータス」は、それぞれ異なるベースラインの状態を示している
- ベースラインはアカウントの種類(メンバーアカウント/統合アカウント)によって適用されるものが異なる
- ベースラインの正確な適用状態は
aws controltower list-enabled-baselinesコマンドで確認できる
前提知識:Control Tower のベースラインとは
Control Tower には複数の「ベースライン」があり、OU /アカウントの種類によって適用されるベースラインが異なります。
Control Tower に登録される OU /アカウント用ベースライン
OU やアカウントを Control Tower に登録する際に適用されるベースラインです。
| ベースライン名 | 説明 |
|---|---|
| AWSControlTowerBaseline | メンバーアカウント用のリソースと必須コントロールをセットアップ |
| ConfigBaseline | AWS Config 関連リソースをセットアップ(AWSControlTowerBaseline と同じ OU には共存不可) |
| BackupBaseline | AWS Backup 統合用のリソースとコントロールをセットアップ |
統合アカウント用ベースライン
Audit アカウントや LogArchive アカウントなどの統合アカウント(integration accounts)や管理アカウントに適用されるベースラインです。
| ベースライン名 | 適用先 | 説明 |
|---|---|---|
| CentralConfigBaseline | Audit | 組織全体のコンプライアンス監視用の中央リソースをセットアップ |
| CentralSecurityRolesBaseline | Audit | 組織全体のセキュリティ監視用の中央リソースをセットアップ |
| LogArchiveBaseline | LogArchive | API アクティビティとリソース設定のログ用中央リポジトリをセットアップ |
| IdentityCenterBaseline | 管理アカウント | IAM Identity Center 用の共有リソースをセットアップ(Identity Center 有効時のみ) |
コンソールのステータス列の意味
ステータス列の種類
「組織」画面には 3 つのステータス列があります。
| 列名 | 意味 |
|---|---|
| Control status | コントロール(ガードレール)の有効化状態 |
| AWS Control Tower baseline status | 統合アカウント用:CentralConfigBaseline 等、メンバーアカウント用: AWSControlTowerBaseline の適用状態 |
| AWS Config ベースラインのステータス | ConfigBaselineの適用状態 |
「Control status」列はコントロールの有効化状態を示し、後者 2 つはベースラインの適用状態を示しています。本記事では主にベースライン関連の 2 列について解説します。
各 OU/アカウントのステータス
- Security OU が「AWS Control Tower baseline status =
Not applicable」と表示されるのは、AWSControlTowerBaselineやConfigBaselineが Security OU には適用されないためです - Control Tower に登録された OU 配下のアカウントは「Control status =
Controls enabled」かつ「AWS Control Tower baseline status =有効」と表示されます - Control Tower に未登録の OU 配下のアカウントは「Control status =
-」かつ「AWS Control Tower baseline status =有効になっていません」と表示されます
Security OU の「AWS Control Tower baseline status = Not applicable」については、以下のブログもご参照ください。
AWS CLI で確認してみる
コンソールの表示だけでは詳細が分からないので、AWS CLI で実際に適用されているベースラインを確認してみます。
使用するコマンド
# 特定のアカウントでフィルター
aws controltower list-enabled-baselines \
--filter targetIdentifiers=arn:aws:organizations::<管理アカウントID>:account/<組織ID>/<対象アカウントID> \
--region <ホームリージョン>
# 利用可能なベースライン一覧を取得(ベースライン名の確認用)
aws controltower list-baselines --region <ホームリージョン>
--region には Control Tower のホームリージョンを指定してください。本記事では ap-northeast-1(東京)をホームリージョンとして設定しています。
list-enabled-baselines コマンドの結果には baselineIdentifier(ベースラインの ARN)が含まれますが、ベースライン名は含まれません。ベースライン名を特定するには、list-baselines コマンドの結果と baselineIdentifier を突合する必要があります。
以下の例では、突合した結果を元にベースライン名を記載しています。
Audit アカウントの場合
{
"enabledBaselines": [
{
"arn": "arn:aws:controltower:ap-northeast-1:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXX",
"baselineIdentifier": "arn:aws:controltower:ap-northeast-1::baseline/A6EEAE10F08193F2",
"targetIdentifier": "arn:aws:organizations::XXXXXXXXXXXX:account/o-xxxxxxxxxx/XXXXXXXXXXXX",
"statusSummary": {
"status": "SUCCEEDED"
}
},
{
"arn": "arn:aws:controltower:ap-northeast-1:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXX",
"baselineIdentifier": "arn:aws:controltower:ap-northeast-1::baseline/YX7VMZML5IG8EJUD",
"targetIdentifier": "arn:aws:organizations::XXXXXXXXXXXX:account/o-xxxxxxxxxx/XXXXXXXXXXXX",
"statusSummary": {
"status": "SUCCEEDED"
}
}
]
}
list-baselines の結果と突合すると、Audit アカウントには以下のベースラインが適用されていることが分かります。
baseline/A6EEAE10F08193F2→CentralSecurityRolesBaselinebaseline/YX7VMZML5IG8EJUD→CentralConfigBaseline
LogArchive アカウントの場合
{
"enabledBaselines": [
{
"arn": "arn:aws:controltower:ap-northeast-1:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXX",
"baselineIdentifier": "arn:aws:controltower:ap-northeast-1::baseline/J8HX46AHS5MIKQPD",
"targetIdentifier": "arn:aws:organizations::XXXXXXXXXXXX:account/o-xxxxxxxxxx/XXXXXXXXXXXX",
"statusSummary": {
"status": "SUCCEEDED"
}
}
]
}
list-baselines の結果と突合すると、
baseline/J8HX46AHS5MIKQPD→LogArchiveBaseline
管理アカウントの場合
{
"enabledBaselines": [
{
"arn": "arn:aws:controltower:ap-northeast-1:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXX",
"baselineIdentifier": "arn:aws:controltower:ap-northeast-1::baseline/LN25R72TTG6IGPTQ",
"targetIdentifier": "arn:aws:organizations::XXXXXXXXXXXX:account/o-xxxxxxxxxx/XXXXXXXXXXXX",
"statusSummary": {
"status": "SUCCEEDED"
}
}
]
}
list-baselines の結果と突合すると、
baseline/LN25R72TTG6IGPTQ→IdentityCenterBaseline
このベースラインは、ランディングゾーン設定で IAM Identity Center を有効にした場合に適用されます。
公式ドキュメントには以下のように記載されています。
This baseline works only when you've selected IAM Identity Center as your identity provider at the time you set up your landing zone initially, or if you subsequently change your landing zone settings to enable IAM Identity Center for your landing zone.
引用:Types of baselines - AWS Control Tower
確認結果まとめ
このように各アカウントに対して以下のベースラインが適用されていることが確認できました。
| アカウント | 種類 | API で確認されたベースライン |
|---|---|---|
| Audit アカウント | 統合アカウント | CentralSecurityRolesBaseline, CentralConfigBaseline |
| LogArchive アカウント | 統合アカウント | LogArchiveBaseline |
| 管理アカウント | 管理アカウント | IdentityCenterBaseline(Identity Center 有効時) |
補足:メンバーアカウントのベースラインは OU 単位で適用される
Control Tower に登録された OU 配下のメンバーアカウントについて、list-enabled-baselines コマンドでアカウント ID を指定してフィルターしたら、空が返されました。
CT 登録済みメンバーアカウントでフィルターした場合
aws controltower list-enabled-baselines \
--filter targetIdentifiers=arn:aws:organizations::<管理アカウントID>:account/<組織ID>/<CT登録済みメンバーアカウントID> \
--region ap-northeast-1
{
"enabledBaselines": []
}
コンソールでは「AWS Control Tower baseline status = 有効」と表示されているのに、なぜ空なのでしょうか?
理由:ベースラインは OU 単位で適用され、アカウントは継承するため
公式ドキュメントには以下のように記載されています。
When you enable a baseline on an OU, that configuration is inherited by the OU's member accounts. Due to the fact of inheritance, we call it a child enabled baseline when we refer to the account.
つまり、
AWSControlTowerBaselineは OU 単位で適用される- メンバーアカウントは OU からベースラインを継承している(child enabled baseline)
- アカウント ID でフィルターすると空が返るのは正常
と考えられます。
CT 登録済み TestOU でフィルターした場合
CT 登録済み TestOU の OU ID でフィルターすると、ベースラインが確認できました。
aws controltower list-enabled-baselines \
--filter targetIdentifiers=arn:aws:organizations::<管理アカウントID>:ou/<組織ID>/<OU ID> \
--region ap-northeast-1
{
"enabledBaselines": [
{
"arn": "arn:aws:controltower:ap-northeast-1:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXX",
"baselineIdentifier": "arn:aws:controltower:ap-northeast-1::baseline/17BSJV3IGJ2QSGA2",
"baselineVersion": "5.0",
"targetIdentifier": "arn:aws:organizations::XXXXXXXXXXXX:ou/o-xxxxxxxxxx/ou-xxxx-xxxxxxxx",
"statusSummary": {
"status": "SUCCEEDED"
}
}
]
}
list-baselines の結果と突合すると、
baseline/17BSJV3IGJ2QSGA2→AWSControlTowerBaseline
メンバーアカウントのベースライン適用状態を確認したい場合は、そのアカウントが所属する OU の ID でフィルタリングしましょう。
ベースラインバージョンについて
OU に適用されるベースラインには「バージョン」があり、ランディングゾーンのバージョンによって異なります。
LZ 4.0 環境ではベースラインバージョン 5.0、 LZ 3.3 環境ではベースラインバージョン 4.0 となっています。
公式ドキュメントには、ランディングゾーンバージョンとベースラインバージョンの互換性について以下の表が記載されています。
| ベースラインバージョン | ランディングゾーンバージョン |
|---|---|
| 1.0 | 2.0 〜 2.7 |
| 2.0 | 2.8 〜 2.9 |
| 3.0 | 3.0 〜 3.1 |
| 4.0 | 3.2 〜 3.3 |
| 5.0 | 4.0 |
引用:Compatibility of OU baselines and landing zone versions - AWS Control Tower
ランディングゾーンのバージョンに互換性のある最新のベースラインバージョンが自動的に適用されます。
まとめ
Control Tower コンソールの「組織」画面に表示されるステータス列について調査してみました。
- AWS Control Tower baseline status と AWS Config ベースラインのステータスは、それぞれ異なるベースラインの状態を示している
- Security OU には
AWSControlTowerBaselineやConfigBaselineが適用されないため「AWS Control Tower baseline status =Not applicable」と表示される - 統合アカウント(Audit、LogArchive)には専用のベースラインが適用されており、「AWS Control Tower baseline status =
有効」と表示される - ベースラインの正確な適用状態は
aws controltower list-enabled-baselinesコマンドで確認するのが確実
この記事がどなたかのお役に立てれば幸いです。
以上、クラウド事業本部コンサルティング部のいたくら(@itkr2305)でした!
