[アップデート]Control Towerにてコンソール上で外部Configルールのコンプライアンスステータスが確認できるようになりました

Control Towerの運用管理の辛みがまた一つ減りました
2022.11.25

みなさん、こんにちは。

AWS事業本部コンサルティング部の芦沢(@ashi_ssan)です。

re:Invent2022直前で多数のアップデートが発表されていますが、Control Towerに関するアップデートがありましたので早速まとめてみました。

AWS公式のWhats newブログはこちらです。

まとめ

  • Control Towerの外部ルールタブでControl Tower以外から設定されたConfigルール(=外部Configルール)の準拠状況が確認できるようになった。
  • これまではControl Tower側で作成・管理される検出的ガードレールとして設定されたConfigルールの設定は有効なコントロールタブから確認できたが、Control Tower以外で設定された外部ルールはControl Tower管理アカウントからは確認できず、Configルールの管理者アカウント(Audit)や各メンバーアカウントへログインし、Configコンソールから直接Configルールを確認する必要があった

アップデート概要

以下のようにControl Towerのコンソールの組織 -[アカウント名]-外部設定ルールタブが新しく表示できるようになっています。

ここではルール名、コンプライアンス(準拠状況)、リージョンが確認できます。

有効なコントロールタブに表示される各種ガードレールのようにルールの詳細や非準拠リソースの表示、有効化されているOUなどその他の情報を確認することはできないようです。

アップデートの背景と詳細

Control Towerには、ガードレールというリスクのある操作の禁止や危険な設定を監視するプリセットを簡単に設定できる機能が提供されています。

参考: AWS Control Tower でマルチアカウント管理しませんか

図に示されているように、ガードレールには以下の2つが存在しています。

  • 予防的ガードレール
    • 対象の操作を実施できないようにするガードレール
    • AWS OrganizationsのSCPで実装されている
  • 発見的ガードレール
    • 望ましくない操作を行なった場合、それを発見するガードレール
    • AWS Config Rulesで実装されている

これまでのControl Towerでは、コンソールの組織-[アカウント名]-有効なコントロールからガードレール(予防的 / 発見的)の設定状態を確認することができました。

動作欄に予防的ガードレールは予防、発見的ガードレールは検出と表記されていて、OU単位で有効化されているかの状態を画面上から確認できます。

今回のアップデートによって確認できるようになった外部設定ルールは、Control Tower環境上にデプロイされたControl Tower以外によって作成されたConfigルールを指します。

具体的に例を挙げると、Security Hubによって作成されたConfigルールがそれにあたります。

以前まで外部設定ルールはControl Tower管理アカウントのControl Towerコンソール上では確認できなかったため、ルールの準拠状況を確認したい場合はConfigの管理者アカウント(Audit)もしくは各メンバーアカウントにログインし確認する必要がありました。

アップデートによりControl Tower管理アカウントから直接Security HubなどのConfigルールの準拠状況を確認できるようになったため、大変便利になったと思います。

最後に

本記事が今回のアップデートのキャッチアップに貢献できれば幸いです。

以上、AWS事業本部コンサルティング部の芦沢(@ashi_ssan)でした。