CloudFormation StackSetsで展開したConfig Ruleの自動修復を特定アカウントだけ無効化してみた

• URL: https://dev.classmethod.jp/articles/cloudformation-stacksets-config-rule-disable-auto-remediation-per-account
• 日付: 2026-06-25
• Tier: Tier 2
• 要旨: CloudFormation StackSets で展開した Config Rule の自動修復を、CloudFormation Conditions と AWS::AccountId 疑似パラメータを組み合わせることで特定アカウントのみ無効化できる。StackSets 自動デプロイはアカウント単位の除外に非対応だが、テンプレート側で RemediationConfiguration の作成を条件付けることで制御可能。例外アカウントでは Config Rule は動作してコンプライアンス可視化は維持しながら、自動修復のみ実行されない。

詳細

StackSets 自動デプロイはテンプレートレベルで設定されており、OU・アカウント・リージョン単位での調整は不可。Parameters に ExceptionAccountId1 や ExceptionAccountId2 を設定し、Conditions で AWS::AccountId と比較することで、デプロイ先アカウントごとに異なる評価結果を実現する。RemediationConfiguration リソースに Condition: AutoRemediationEnabled を付与すると、例外アカウントではリソースが作成されない。

S3 パブリックアクセスブロック用テンプレート例では、通常アカウントで自動修復が設定されるが、例外アカウントでは Config Rule のみ作成され修復アクションは無効。この手法は Config Rule + 自動修復のほか StackSets パターンにも応用可能。複数アカウント例外設定時は ExceptionAccountId3 といった具合でパラメータを追加し、!Or の条件も拡張する（!Or は2〜10個の条件に対応）。