![[アップデート]AWS Control Tower に「有効になっているコントロール」ページが追加されました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-fff4d7e7c3509d1ffcc67578673c5f00/056494cb8aea27071cd8ed8a870bda83/aws-control-tower)
[アップデート]AWS Control Tower に「有効になっているコントロール」ページが追加されました
2025.05.23お疲れさまです。とーちです。
AWS Control Tower に「有効になっているコントロール」ページが追加されたというアップデートがありました。これにより、組織全体で有効になっているコントロールを一覧表示できるようになりました。実際に試してみたので紹介します。
今までは、Control Tower で有効になっているコントロールを確認するには、OU(組織単位)やアカウント単位でそれぞれ個別に確認する必要がありました。以下がその画面です。
これは特定のOUやアカウントの状況を確認するには良いのですが、組織全体を俯瞰するには少し手間がかかっていました。
今回のアップデートにより、Control Tower で管理する組織全体で有効なコントロールを一度に確認できるようになりました。
新しい「有効になっているコントロール」ページを試す
さっそく新機能を見ていきましょう。Control Tower のコンソールにアクセスすると、左側のナビゲーションメニューに「有効になっているコントロール」という新しいメニューが追加されています。
このページでは、Control Tower で管理する組織全体で有効になっているコントロールが一覧表示されます。
以下のプロパティを使ってフィルタができるようになっています。
もちろん Target OUs などでOU単位で結果を絞ることもできます。アカウントIDでのフィルタはないようです。
OUに適用したコントロールを外したいときに嬉しいかも
OUに適用したコントロールをマネージメントコンソールから外したいというとき、従来だと
「組織」 ⇒ 「OUを選択」 ⇒ 「対象のコントロールをクリック」 ⇒ 「コントロールアクションを押して無効化を選択」
といった形で何画面か遷移する必要がありました。複数のコントロールを外したいという場合だと、上記の操作を何度か繰り返す必要がありなかなか面倒です。
今回の「有効になっているコントロール」ページでは、以下のように複数のコントロールを選択し、
無効化するOUを選択して、無効化ができます。マネージメントコンソールからコントロールが外しやすくなったので、ここはとても良いと思いました。
「有効になっているコントロール」ページで、必須コントロールをフィルタ等で除外できるとより嬉しいのですが、現状はフィルタ項目に ガイダンス が含まれていないので不可能なようです。アップデートを期待したいですね。
現時点での制限や問題点
新機能だからなのか、いくつか動作が不安定な部分も見られました。例えば「動作」(Behavior)によるフィルタリングを試してみましょう。
2025年5月23日時点では、いずれかの動作を選択すると、以下のように結果が0件となってしまい、機能していないように見えました。
また、「有効になっているコントロール」ページでTarget OUsを使ってOU単位でフィルタリングすると9件と表示されますが、
従来の「組織」ページから同じOUを選んで有効なコントロールを確認すると19件表示されるという不一致も見られました。
AWS-GR_CLOUDWATCH_EVENTS_CHANGE_PROHIBITEDなどのいくつかの必須カテゴリ(全てではない)と AWS-GR_REGION_DENY のリージョン制限用コントロールが「有効になっているコントロール」ページでは表示されていないようです。フィルタを解除すると表示されるので、フィルタ周りの動作がまだ若干不安定なのかなという感じがしました。
まとめ
というわけで、AWS Control Tower の新機能「有効になっているコントロール」ページの紹介でした。
現時点ではフィルタ機能に若干の不安定さがあるものの、基本的な機能は十分に使えます。今後のアップデートでさらに改善されることを期待したいと思います。
以上、とーちでした。
