![[登壇レポート] JAWS-UG朝会 #81 で「AWS Control Tower の Config ベースラインの中身を覗いてみた」というタイトルで登壇しました](https://devio2024-media.developers.io/image/upload/f_auto,q_auto,w_3840/v1780226197/user-gen-eyecatch/sploa8qoeuyogrruobc9.png)
[登壇レポート] JAWS-UG朝会 #81 で「AWS Control Tower の Config ベースラインの中身を覗いてみた」というタイトルで登壇しました
2026.05.31
こんにちは、クラウド事業本部 コンサルティング部のいたくらです。
はじめに
2026 年 5 月 20 日に開催された JAWS-UG朝会 #81 にオンライン登壇しましたので、資料を共有します。
登壇資料
コメント
Control Tower の管理画面に出てくる「AWS Config ベースラインのステータス」が「有効」になっているところ、見たことありますか?
Configベースラインを有効化したときに アカウントの中で何が起こっているのか が気になり、実際に確認してみました。
検証の結果、登壇資料に記載の通り以下のような挙動を確認できました。
- Configベースラインを有効化すると、メンバーアカウント に StackSets 経由で 4スタック・計 11リソース が展開される
BASELINE-CONFIG(Config Recorder + Delivery Channel)BASELINE-CLOUDWATCH(EventBridge → Lambda → SNS の通知転送パイプライン)BASELINE-SERVICE-ROLES(Lambda 用 IAM ロール)AWSControlTowerExecutionRole(管理アカウントからの操作入口となる IAM Role)
- これによって AWS Config が立ち上がり、CT の 検出的コントロール が利用可能になる
- 「統制のステータス」が「統制が有効」と表示されていても、ランディングゾーン設定の リージョン拒否は適用されない (それは Control Tower ベースラインの仕事)
「Configベースラインを有効にする = CT 管理下で AWS Config を立ち上げる準備セット」と理解しておくのが安全だな、というのが今回の一番の気付きでした。
「統制が有効」という表示につられてランディングゾーン相当のガバナンスが効いていると思い込まないよう注意したいポイントです。
詳細は登壇資料に記載していますので、気になる方はぜひご覧ください。
さいごに
Control Tower の Configベースラインの中身が気になっている方の参考になれば幸いです。
運営の皆さん、ご視聴いただいた皆様、ありがとうございました!
以上、クラウド事業本部 コンサルティング部のいたくら(@itkr2305)でした!
