マルチアカウント版のBLEAでデプロイされるリソースをStandalone版と比較してみた

マルチアカウント版のBLEAでデプロイされるリソースをStandalone版と比較してみた

#セキュリティ
#AWS Control Tower
#AWS Organizations
こーへい

こーへい

facebook logohatena logotwitter logo
Clock Icon2025.02.05

こんにちは、こーへいです。

今回はControl Tower版のBLEAでデプロイされるリソースをStandalone版として比較してみたのでご活用ください。

BLEAの概要的な説明は以下記事をご参照ください。

https://dev.classmethod.jp/articles/blea-aws-cm-odyssey/

https://dev.classmethod.jp/articles/introduction-2024-blea/

Standalone版でデプロイされるリソースをパラメータシートを起こした記事はこちらです。

https://dev.classmethod.jp/articles/blea-standalone-resource-parameters/

図での比較

参考:ベースライン アーキテクチャ

パッとみたところ、マルチアカウント版ではGuardDutyやSecurity HubはOrganizations側で、ConfigはControl Tower側での管理しているように見えます。

マルチアカウント版

貼り付けた画像_2025_02_05_9_51

Standalone版

貼り付けた画像_2025_02_05_9_53

コードでの比較

では実際にコードベースでの差分を確認していきましょう。

Detection

https://github.com/aws-samples/baseline-environment-on-aws/blob/main/usecases/blea-gov-base-ct/lib/construct/detection.ts

Standalone版との比較

GuardDuty

マルチアカウント版ではBLEAで管理されていません。

1-3. GuardDuty のセットアップに記載の通り、Organizations連携を利用し有効化してください。

こちらのブログも併せてどうぞ

https://dev.classmethod.jp/articles/organizations-guardduty-all-account-all-region/

Security Hub

マルチアカウント版ではBLEAで管理されていません。

1-2. SecurityHub のセットアップに記載の通り、Organizations連携を利用し有効化してください。

こちらのブログも併せてどうぞ

https://dev.classmethod.jp/articles/security-hub-integrates-organizations/

https://dev.classmethod.jp/articles/aws-sh-organization-customize-standards-controls/

Detection(Config Conformance Pack)

https://github.com/aws-samples/baseline-environment-on-aws/blob/main/usecases/blea-gov-base-standalone/cfn/AWS-Control-Tower-Detective-Guardrails.yaml

Standalone版のコードです。

Standalone版との比較

マルチアカウント版ではBLEAで管理されていません。

こちらはControl Tower側で管理されているため特に何もしなくて良いです。

IAM

https://github.com/aws-samples/baseline-environment-on-aws/blob/main/usecases/blea-gov-base-ct/lib/construct/iam.ts

Standalone版との比較

Standalone版との変更箇所はありません。

Logging

https://github.com/aws-samples/baseline-environment-on-aws/blob/main/usecases/blea-gov-base-ct/lib/construct/logging.ts

Standalone版との比較

マルチアカウント版ではConfigと関連するリソースがBLEAで管理されていません。

  • AWS Config
  • IAMロール
  • S3バケット

こちらはControl Tower側で管理されているため特に何もしなくて良いです。

notification

https://github.com/aws-samples/baseline-environment-on-aws/blob/main/usecases/blea-gov-base-ct/lib/construct/notification.ts

Standalone版との比較

Standalone版との変更箇所はありません。

まとめ

マルチアカウント版とStandalone版では大きさな差分はないものの、一部サービスをControl TowerやOrganizaitons側で管理している事がわかりました。

Share this article

facebook logohatena logotwitter logo

関連記事

Standalone版のBLEAでデプロイされるリソースをパラメータシートに起こしてみた

Standalone版のBLEAでデプロイされるリソースをパラメータシートに起こしてみた

User avatar
こーへい
2025.02.03
「BLEAでAWSアカウントのセキュリティレベルを向上させよう」というタイトルで登壇しました #cm_odyssey

「BLEAでAWSアカウントのセキュリティレベルを向上させよう」というタイトルで登壇しました #cm_odyssey

User avatar
こーへい
2025.02.03
【登壇】 筋肉でIT業界を駆け上がってきた俺の事故プロデュース方法

【登壇】 筋肉でIT業界を駆け上がってきた俺の事故プロデュース方法

User avatar
室井靖成
2025.01.27
[レポート]AWSのCISOと各社リーダーの語るイノベーションのためのセキュリティと最新情報 #AWSreInvent #SEC203

[レポート]AWSのCISOと各社リーダーの語るイノベーションのためのセキュリティと最新情報 #AWSreInvent #SEC203

User avatar
臼田佳祐
2025.01.26
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.