全 AWS Control Towerユーザー歓喜?のアップデートが来ました!
Control Towerのログ集約機能
Control Towerでは各アカウントのAWS CloudTrailとAWS Configを自動設定してくれます。CloudTrailは証跡、Configは設定情報の履歴をログアーカイブバケットにある共通のS3バケット上に送信するよう設定されます。 この保存期間が1年で設定され、Control Towerからは設定変更できない状態でした。
※細かい話ですが、Control TowerからはマネジメントアカウントのConfigレコーダーは設定されません。
S3バケットのライフサイクルポリシー状態は以下のようになっています。
ここが変更できるようになりました。
AWSのアップデート文を見ると、アップデート前もカスタマイズすれば変えれたように見えますが、私の場合はAWSサポート等とも相談した結果、Control Tower管理外の設定変更は非推奨とのアドバイスもあり、変更しないでおりました。
The default settings of 1-year for standard account logging and 10-years for access logging are applied if a user chooses not to customized their log retention policy.
保存期間を変更する
実際に変更してみます。変更はランディングゾーンの設定変更から実施します。
ちなみに私の環境は最新のランディングゾーン3.0の状態で試しています。アップデートドキュメントを見る限りでは、3.0へのアップデートは必須でないように見えます。(すいません、古いバージョンで試せてはいません)
ステップ2に進むと「Amazon S3のログ設定」というオプションが追加されています。
今回はアップデート情報に最大と書かれていた15年を設定してみます。
ちなみに、15.00だとエラーとなりました。
14.99ではエラーになりませんでした。今のところ最大を設定する場合は「15」が良さそうです。
他の項目は特に変えずに最後まで進み、更新を押します。(ここでは15.00年と表示されています)
私の環境では30分ほどで完了しました。
ログバケットの設定が以下のとおり変更されています。非現行バージョンの保持期間も合わせて変更されていました。
アクセスログのバケットも同じライフサイクルポリシー設定に変更されていました。
検証は以上です。
ちなみに、CloudWatch Logsのほうは、変わらず2週間で固定です。監視用途や、リアルタイムの調査用途になりそうです。
まとめ
とても嬉しいアップデートです。3.0のアップデートもそうですが、Control Towerのアップデートは多くどんどん良くなってきているので、今後のアップデートにも期待しています。大阪リージョンに来れば完璧です・・!
