【Control Tower】Landing Zone v4.0 の CentralizedLogging って何？

はじめに

こんにちは、パーソル&サーバーワークスの Endo です。
今回 AWS Control Tower（以下、Control Tower）の構築を行った際につまずいたポイントをご紹介します。

Control Tower とは

Control Tower は、AWS マルチアカウント環境をセットアップして管理するためのサービスです。
Control Tower には、以下の機能が存在します。

※AWS Control Tower とは より一部引用

Control Tower の設定をすると、自動的に監査アカウント、ログアーカイブアカウントという AWS アカウントが作成されます。

• ログアーカイブアカウントは、ランディングゾーンに登録された組織単位 (OU) 内の全ての登録済みアカウントの全ログ情報にアクセスする必要があるユーザーチームのためのものです。
• 監査アカウントは、AWS Control Tower によって利用可能となる監査情報へのアクセスを必要とするユーザーチームのためのものです。また、このアカウントは、コンプライアンス目的の監査を支援するために、お客様の環境に対する自動監査を実行するサードパーティツールのアクセスポイントとしても使用することができます。

※ AWS Control Tower で既存のログアーカイブアカウントと監査アカウントを使用する より引用

本記事でご紹介する内容は、上記のランディングゾーン内の設定およびログアーカイブアカウントに関するものとなります。

Landing Zone とは

ランディングゾーンは、Control Tower を作成する際に、マルチアカウント環境内で 1 つだけ設定されるアカウントに関連付けられたリソースを指します。
このリソースには、デフォルトアカウント、アカウント構造、ネットワーク、セキュリティレイアウトなどが含まれます。

表題にあるランディングゾーン最新バージョンの v4.0 は、2025 年にリリースされました。
従来の最新バージョンであった 3.3 から、いくつかの仕様が変更されています。
変更された仕様の詳細については、こちらをご参照ください。

当社ブログでもこの変更された仕様についてご紹介していますが、この内、ログ保管手法の設定につまずきポイントがありました。

CentralizedLogging について

CentralizedLogging は、組織全体のログを一元的に記録・管理するための設定群を指します。 対象には、Config Recorder、Delivery Channel、CloudTrail の設定が含まれます。

ランディングゾーン v4.0 では、これらの設定のうち1つでも無効にすると、CentralizedLogging 自体が無効になります。 その場合、Control Tower はログアーカイブアカウントの管理を行いません。

例えば、AWS Config は統合、CloudTrail は統合しない、といったような設定を行った場合は、ログ記録アカウントでの AWS Config 設定が無効化されます。
この仕様は AWS ドキュメントにも記載されていますが、v4.0 からの仕様変更となりますので注意が必要です。

バージョン 4.0 での CentralizedLogging の動作変更
ランディングゾーンバージョン 3.3 以前では、CentralizedLogging を無効にすると、Organization CloudTrail がオフに切り替えられ、デプロイされたすべてのリソースが保持されました。
バージョン 4.0 では、CentralizedLogging を無効にすると、ログ記録アカウントから関連するすべてのリソースが削除されます。
これらのリソースには、Config Recorder、Delivery Channel、CloudTrail 関連のスタックインスタンスが含まれます。
無効化後、AWS Control Tower はログ記録アカウントを管理しなくなります。
ログ記録アカウントの管理を復元するには、CentralizedLogging を再度有効にするか、アカウントをマネージド OU に移動してガバナンスを拡張します。

※主な変更点 より引用

おわりに

本記事がどなたかの参考になりましたら幸いです。

この記事は私が書きました

S.Endo

記事一覧

コーヒーインストラクター検定2級を所持しているエンジニアです。コーヒーを飲みながら仕事をしています。