ランディングゾーン4.0アップデート後、Security OUのベースラインが無効化されOU登録等ができなくなりました。対応は必要でしょうか。
Control Tower環境をランディングゾーン4.0へアップデートした後、Security OUのベースラインステータスが有効状態ではなくなり、OUに対する削除以外の操作(OU登録など)が実施できなくなりました。何か対応は必要でしょうか。
2026.01.14
困っていた内容
Control Tower環境をランディングゾーン4.0へアップデートした後、Security OUのベースラインステータスが有効状態ではなくなり、OUに対する削除以外の操作(OU登録など)が実施できなくなりました。何か対応は必要でしょうか。
どう対応すればいいの?
いいえ、対応は不要です。
ランディングゾーン4.0より、Security OUについては、AWS Control Towerベースライン(AWSControlTowerBaseline)とAWS Configベースライン(ConfigBaseline)が適用されない仕様となり、以下の状態が想定される状態となります。
- ベースラインステータス: 有効状態ではない
- 実施可能な操作: 削除のみ
- 実施できない操作: OU登録、ベースライン更新などの操作
上記理由により、OUに対する登録などのベースライン関連の操作は実施できなくなりました。
補足情報
ランディングゾーン4.0では、Security OUの管理方法が大きく変更されました。
AWS Control Towerは、Security OUの作成を強制または管理しなくなったため、顧客は独自の組織構造を定義および管理できます。
ランディングゾーン4.0以降、サービス統合アカウント(Log ArchiveやAuditなど)が配置されているOUが、実質的なSecurity OUとして扱われます。
また、Security OUに対しては以下のベースラインが適用されない仕様に変更されました。
- AWS Control Towerベースライン(
AWSControlTowerBaseline) - AWS Configベースライン(
ConfigBaseline)
これにより、ベースラインとサービス統合を切り離した柔軟な設定が可能となります。
なお、ランディングゾーン4.0へのアップデート前からAWS Control Towerを利用していて、すでにSecurity OUを持っている環境への影響はありません。
既存のSecurity OUは残り続けますが、ベースラインが適用されなくなることで、本記事で説明したような状態(ベースラインステータスが無効)になります。これは想定される動作です。
参考情報
