こんにちは。AWS CLI が好きなテクニカルサポート課の市野です。
本日も、お客様からいただいたお問い合わせに対し社内検証した結果、得られた知見についての投稿です。
お客様のお困りごと
AWS Control Tower で、東京リージョン、および、大阪リージョンを管理対象としている環境で、コントロールライブラリからコントロールを有効にした際に以下のようなエラーが発生する。
AWS Control Towerは、この OU で選択されたコントロールを有効にできません。 AWS Control Tower could not enable the control XX.XXX.X, because that control is not supported in all the AWS Regions governed by your landing zone.
このお客様では、コントロール [AWS-GR_RESTRICTED_COMMON_PORTS] 無制限の着信 TCP トラフィックが許可されているかどうかを検出する
の有効化や、Security Hub サービスマネージド標準: AWS Control Tower
の有効化のご検討をされておられました。
推察
[AWS-GR_RESTRICTED_COMMON_PORTS] 無制限の着信 TCP トラフィックが許可されているかどうかを検出する でエラー発生する件
AWS ドキュメント AWS Config デベロッパーガイド restricted-common-ports の記載より、現時点で未対応のコントロールであることが要因であると考えられました。
AWS リージョン: アジアパシフィック (ジャカルタ)、アフリカ (ケープタウン)、中東 (アラブ首長国連邦)、アジアパシフィック (ハイデラバード)、アジアパシフィック (大阪)、アジアパシフィック (メルボルン)、欧州 (ミラノ)、欧州 (スペイン)、欧州 (チューリッヒ) の各リージョンを除く、サポートされているすべての AWS リージョン
Security Hub サービスマネージド標準: AWS Control Tower の有効化でエラー発生する件
本件についても、AWS ドキュメントの記載により、現時点で、Security Hub サービスマネージド標準: AWS Control Tower の一部であるコントロールをサポートされていないと記載されていることに起因すると考えられました。
次の AWS リージョンは、Security Hub サービスマネージド標準: AWS Control Tower の一部であるコントロールをサポートしていません
・アジアパシフィック (香港) リージョン、ap-east-1
・アジアパシフィック (ジャカルタ) リージョン、ap-southeast-3
・アジアパシフィック (大阪) リージョン、ap-northeast-3
・欧州 (ミラノ) リージョン、eu-south-1
・アフリカ (ケープタウン) リージョン、af-south-1
・中東 (バーレーン) リージョン、me-south-1
各コントロールのリージョンは、AWS Control Tower コンソールで表示できます。
検証結果
前述の推察をもとに以下のとおり検証をしてみました。
- ランディングゾーン設定で、東京リージョン、大阪リージョンが管理対象となっている状態で、
[AWS-GR_RESTRICTED_COMMON_PORTS] 無制限の着信 TCP トラフィックが許可されているかどうかを検出する
の有効化を実施- → お客様のご申告と同様のエラー発生となることを確認。
- ランディングゾーン設定で、管理対象から大阪リージョンを外し、
[AWS-GR_RESTRICTED_COMMON_PORTS] 無制限の着信 TCP トラフィックが許可されているかどうかを検出する
の有効化を実施- → 問題なく有効化が行える
- 上記、<2>で
[AWS-GR_RESTRICTED_COMMON_PORTS] 無制限の着信 TCP トラフィックが許可されているかどうかを検出する
の有効化が正常完了した状態で、ランディングゾーン設定で大阪リージョンを管理対象に追加し、ランディングゾーンの設定変更を試みる。- →
選択した AWS リージョンでサポートされていないコントロールが有効になっているため、AWS Control Tower はランディングゾーンを完全にセットア ップできませんでした。ランディングゾーンを他のリージョンに拡張する前に、コントロールの制限を確認してから、再試行してください。
のエラーが発生し、ランディングゾーンの設定変更を進めることができない。
- →
また、上記の挙動は、Security Hub サービスマネージド標準: AWS Control Tower
の有効化を伴う、コントロール [SH.EC2.1] EBS スナップショットはパブリックに復元可能であってはならない
の有効化の際にも同様の挙動を示しました。
まとめ
上記検証結果より、以下のような挙動を示すことが確認できました。
- AWS Control Tower のコントロールが対応していないリージョンを含む場合に、当該のコントロールの有効化を行うことはできない。
- すでに有効化されているコントロールが、管理対象として加えたいリージョンで未対応だった場合には、ランディングゾーンの設定変更で、当該のリージョンを管理対象に追加することはできない。
上記の通りですので、日本国内で AWS をご利用されているお客様にとっては、東京+大阪の両リージョンのご利用がスコープとなってくるかと思われますが、現時点で大阪リージョンで一部利用できない Control Tower コントロールが存在する以上、有効化できる範囲に一定の制限がある状況です。
この点に関しては、AWS のアップデートを待ちたいところですね。
本エントリがお客様のお役に立てば幸いです。
ではまた。
市野 和明 (記事一覧)
マネージドサービス部・テクニカルサポート課
お客様から寄せられたご質問や技術検証を通じて得られた気づきを投稿していきます。
情シスだった前職までの経験で、UI がコロコロ変わる AWS においては GUI で手順を残していると画面構成が変わってしまって後々まごつくことが多かった経験から、極力変わりにくい AWS CLI での記事が多めです。
X(Twitter):@kazzpapa3(AWS Community Builder)