AWS Control Tower で SecurityOU ベースラインステータスが「Not applicable」と表示されますが問題無いです
こんにちは、クラウド事業本部コンサルティング部のいたくらです。
はじめに
AWS Control Towerの「組織」画面を見ていたら、SecurityOU で「AWS Control Tower baseline status」と「AWS Configベースラインのステータス」が「Not applicable」と表示されていました。
「Not applicable(適用対象外)」って何だろう?と気になったので調べてみました。
なお、本記事の検証はランディングゾーンバージョン 4.0 で実施しています。
結論
「Not applicable」は正常な状態です。
SecurityOU は、Control Tower に登録される OU に適用されるベースライン(AWSControlTowerBaseline、ConfigBaseline)が適用されないため、「Not applicable」と表示されます。
実際のコンソール表示
以下コンソール画面の抜粋です。
| 名前 | Control status | AWS Control Tower baseline status | AWS Configベースラインのステータス |
|---|---|---|---|
| SecurityOU | Controls enabled | Not applicable | Not applicable |
| Audit | Controls enabled | 有効 | 有効になっていません |
| LogArchive | Controls enabled | 有効 | 有効になっていません |
SecurityOU 自体は「Not applicable」ですが、配下の Audit アカウントや LogArchive アカウントは「有効」と表示されています。
なぜ SecurityOU は「Not applicable」なのか
ベースラインは OU 単位で適用される
Control Tower に登録された OU にはAWSControlTowerBaselineやConfigBaselineといったベースラインが適用されます。しかし、SecurityOU にはこれらのベースラインは適用されません。
公式ドキュメントには以下のように記載されています。
AWS Control Tower ベースラインと AWS Config ベースラインは、セキュリティ OU および統合アカウントには適用されません。
引用:Key changes - AWS Control Tower
SecurityOU 配下のアカウントには専用ベースラインが適用される
SecurityOU 自体にはベースラインが適用されませんが、配下の共有アカウント(Audit、LogArchive)には専用のベースラインが適用されます。
| アカウント | 適用されるベースライン |
|---|---|
| Audit アカウント | CentralConfigBaseline, CentralSecurityRolesBaseline |
| LogArchive アカウント | LogArchiveBaseline |
そのため、Audit や LogArchive アカウントの「AWS Control Tower baseline status」は「有効」と表示されます。
まとめ
- SecurityOU で「Not applicable」と表示されるのは正常な状態
- SecurityOU には
AWSControlTowerBaselineやConfigBaselineが適用されないため - 配下の Audit や LogArchive アカウントには専用ベースラインが適用されており、「有効」と表示される
この記事がどなたかのお役に立てれば幸いです。
以上、クラウド事業本部コンサルティング部のいたくら(@itkr2305)でした!
