Control Tower v2.2が出たので更新してみた

こんにちは、臼田です。

みなさん、AWSのガバナンス効かせてますか?(挨拶

今回は以前設定したControl Towerのバージョンがv2.2にアップデートできるようになっていたのでやってみました。

Control Towerなんぞや?みたいな場合にはまず下記をご参照ください。

AWS Control Towerのラボをやりながら学んでみた-B1セットアップ編

Control Towerのバージョンアップってなに?

Control Towerでは各アカウントにガードレールなどを提供していますが、新しいガードレールのルールが追加されたりしています。

バージョンを上げることによりこれを適用することができます。詳細は下記をご確認ください。

AWS Control Tower での設定更新管理 - AWS Control Tower

今回v2.2のリリースノートには最新の設計図とガードレールへの更新。と書かれていました。

やってみた

新しいバージョンが出たことはControl Towerのダッシュボードにアクセスすると一発で分かるように画面上部に青く出ました。また、「設定」ページでもバージョンの情報が確認できます。

更新する場合にはどちらかの「更新」ボタンを押します。

更新の確認画面が出てくるので確認します。作成時と同じように1時間程度かかります。よければボタンをポチリ。

1時間程度待ちます。この状態になれば画面を閉じても問題ありません。ちなみにアップデート前は予防ガードレールが17、検出ガードレールが3です。

時間が経過してバージョンが上がりました。「設定」ページで確認できます。

ダッシュボードを確認すると、予防ガードレールが20とv2.1より3つ増えていました。

diffしてみると下記3つが追加されていました。

名前 ガイダンス カテゴリ 動作
ログアーカイブの削除を許可しない 必須 監査ログ 予防
AWS Config 集約承認の削除を許可しない 必須 Control Tower のセットアップ 予防
CloudWatch Logs ロググループへの変更を許可しない 必須 監査ログ 予防

うっかりログを消したり、設定変更してしまうことを防ぐガードレールが追加されました!

まとめ

Control Towerを更新してみました。

最新の状態に更新することが非常にかんたんなので、どんどんアップデートしていきたいですね。

ガンガンガバナンスを効かせて行きましょう!