AWS Control Tower 環境で AWS Config のレコーダー設定を変更する方法を教えてください

AWS Control Tower 環境で AWS Config のレコーダー設定を変更する方法を教えてください

Folder Icon
AWSテクニカルサポートノート
#AWS Control Tower
#AWS Config
#AWS
oishi.yukihiro

oishi.yukihiro

facebook logohatena logotwitter logo
Clock Icon2025.06.16

はじめに

AWS Config の料金が高騰しており、レコーダーの記録頻度を変更したいと考えています。
AWS Config レコーダー自体は Control Tower によって作成されたリソースをそのまま利用しているのですが、設定を直接変更しても問題ないでしょうか。
もし直接変更すべきでない場合は、代替案を教えてください。

どう対応すればいいの?

ドキュメントに記載されておりますように、AWS Config など Control Tower によって作成されたリソースの設定を直接変更することは推奨されておりません
設定を変更した場合、ランディングゾーンのドリフトが発生し、OU の再登録などが必要になってしまうケースがあるためです。

管理アカウント、共有アカウント、メンバーアカウントのリソースなど、AWS Control Tower によって作成されたリソースを変更または削除しないでください。これらのリソースを変更すると、ランディングゾーンの更新または OU の再登録が必要になる場合があります。また、変更によってコンプライアンスレポートが不正確になる可能性があります。

また、デフォルトでは Control Tower が作成する SCP によって、そもそもレコーダーの設定変更自体出来ないように制限されています。
そのため、もし設定変更が必要な場合は、以下のソリューションを利用をご検討ください。
追加のリソース管理は必要になりますが、Control Tower 環境においても Config レコーダーの記録頻度を変更することが可能になります。

AWS Control Tower 環境での AWS Config リソーストラッキングのカスタマイズ

やってみた

実際にソリューションを展開し、Config レコーダー設定のカスタマイズを行ってみたいと思います。
まずは以下の Github リポジトリにアクセスし、ソリューション展開用の CloudFormation テンプレート(template.yml) を取得します。
https://github.com/aws-samples/aws-control-tower-config-customization

スクリーンショット 2025-06-16 093043

Control Tower の管理アカウントにログインし、取得したテンプレートファイルを利用してスタックを作成します。
スクリーンショット 2025-06-16 093238
スクリーンショット 2025-06-16 093251

「スタックの詳細を指定」画面でスタック名とパラメータを入力していきます。
スクリーンショット 2025-06-16 095845

各パラメータの詳細に関しては上記の AWS ブログ記事にも記載がありますが、それぞれ以下の通りです。

  • CloudFormationVersion:バージョン管理のパラメータです。初回デプロイ時はデフォルトの1でOKですが、スタックの更新時にはインクリメントする様にしてください。
  • ConfigRecorderDailyGlobalResourceTypes:レコーダーの記録頻度を日次(Daily)に変更するリソースタイプを個別に指定します。なお、このパラメータで指定可能なのは IAM などのグローバルリソースのみです。複数のリソースタイプを入力する場合は、コンマ区切りで続けて入力してください。
  • ConfigRecorderDailyResourceTypes:レコーダーの記録頻度を日次(Daily)に変更するリソースタイプを個別に指定します。グローバルリソース以外のリソースを指定する場合は、こちらの項目で設定します。複数のリソースタイプを入力する場合は、コンマ区切りで続けて入力してください。
  • ConfigRecorderDefaultRecordingFrequency レコーダーの記録頻度のデフォルト設定です。連続(Continuous)にするか日次(Daily)にするかを選択してください。
  • ConfigRecorderExcludedResourceTypes:Config レコーダーの記録除外対象とするリソースタイプを指定します。複数のリソースタイプを入力する場合は、コンマ区切りで続けて入力してください。
  • ExcludedAccounts: このソリューションによる設定変更の除外対象とする AWS アカウントの ID を指定します。CT 管理アカウントや監査アカウントなど、セキュリティ強度を下げたくないアカウントがあればここで指定してください。

必要なパラメータを入力したら、スタックをデプロイします。
当方の環境では約2分程度でデプロイ完了しました。
スクリーンショット 2025-06-16 100248

メンバーアカウントのレコーダー設定をチェックしたところ、スタックデプロイ時のパラメータで指定した通りの設定に変更されていることが確認できました。
スクリーンショット 2025-06-16 100522

おわりに

上記のソリューションを利用することで、Control Tower 環境においても Config レコーダーの記録設定の変更が実現可能です。
ソリューションによって展開されたリソースの追加管理の必要性は発生するものの、もし Config 料金の高騰にお悩みの方がいれば利用をご検討いただければと思います。

Share this article

facebook logohatena logotwitter logo

関連記事

[アップデート]AWS Control Towerがサービスリンクされた AWS Config マネージド Config ルールをサポートしました

[アップデート]AWS Control Towerがサービスリンクされた AWS Config マネージド Config ルールをサポートしました

User avatar
とーち
2025.06.13
Control Tower環境でConfigルールによってVPCフローログの有効化を強制させる

Control Tower環境でConfigルールによってVPCフローログの有効化を強制させる

User avatar
和田響
2025.05.30
[アップデート]AWS Control Tower に「有効になっているコントロール」ページが追加されました

[アップデート]AWS Control Tower に「有効になっているコントロール」ページが追加されました

User avatar
とーち
2025.05.23
【小ネタ】 マネジメントコンソール上で複数コントロールをまとめて有効化する方法

【小ネタ】 マネジメントコンソール上で複数コントロールをまとめて有効化する方法

User avatar
板倉舞
2025.04.28
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.