- 公開日
- 最終更新日
【ControlTower】LandingZone4.0に更新する際に気になったこと
この記事を共有する
目次
はじめに
AWS Control Tower の Landing Zone にバージョン4.0 が追加されました。 今回のアップデートではより柔軟にControlTowerを利用できるようになりました。
変更点については以下の公式ドキュメントで確認ができます。
Landing Zone 4.0 key-changes
Control Tower Release notes
この記事では、すでにLanding Zone3.xを利用していてこれから更新するという方に向けて、私が気になった点についてまとめたいと思います。
結局既存のハブアカウント(Audit,Log Archive)にどんな影響があるの?
大きく以下の2つの影響があります。
- Auditアカウントに存在していた Config Aggregatorを削除し、新たに組織レベルの Config Aggregatorが利用可能になる
- AWS Config/CloudTrail のログ保管先とSNSトピックを分離
Auditアカウントに存在していた Config Aggregatorを削除し、新たに組織レベルの Config Aggregatorが利用可能になる
AWS Config により記録されたデータは引き続き Audit アカウントに集約されますが、これまでと異なり、組織レベルの Aggregator が利用できるようになります。
これに伴い、今まで存在していた個々のアカウントレベルの Aggregator「aws-controltower-GuardrailsComplianceAggregator」は削除されます。
ただ見れる情報にほとんど差はないものになります。
更新前
更新後
AWS Config/CloudTrail のログ保管先とSNSトピックを分離
これまで AWS Config のログと、CloudTrail 証跡のログが Log Archive アカウント内の単一 S3 バケット(aws-controltower-logs*)に集約されていましたが、それぞれ Audit アカウント、Log Archive アカウント内の S3 バケットに分割されるようになります。
これに伴い、Audit アカウント内に、Configログ用バケット(aws-controltower-config-logs*)とそのアクセスログ用バケットの 2 つ新規作成されます。
更新前
更新後
併せて通知に利用するSNSもConfig用とCloudTrail用で分離します。
Config用は据え置きでCloudTrail用のものが新たに作成されます。
更新前
更新後
比較表は以下の通りとなります。
| サービス | 3.x | 4.0 |
|---|---|---|
| Config用ログバケット | aws-controltower-logs* アカウント:Log Archive |
aws-controltower-config-logs* アカウント:Audit |
| CloudTrail用ログバケット | aws-controltower-logs* アカウント:Log Archive |
aws-controltower-logs* アカウント:Log Archive |
| Config用SNS | aws-controltower-AllConfigNotifications アカウント:Audit |
aws-controltower-AllConfigNotifications アカウント:Audit |
| CloudTrail用SNS | aws-controltower-AllConfigNotifications アカウント:Audit |
aws-controltower-CentralizedLoggingNotifications アカウント:Log Archive |
また、バケットやSNSを分離するにあたり、従来利用していたバケットのバケットポリシーやSNSのアクセスポリシーも変更になります。
詳しくは触れませんが、ざっくり以下のように変更されます。
- S3: aws-controltower-logs* → CloudTrailのみ許可
- SNSトピック: aws-controltower-AllConfigNotifications → Configのみ許可
ログバケットの保管するディレクトリは変わる?
Configのバケットが変更になること以外は変わりません。
- CloudTrailの証跡ログ: aws-controltower-logs*/o-xxxxx/AWSLogs/o-xxxxx/アカウントID/CloudTrail/リージョン/yyyy/mm/dd/
- Configログ: aws-controltower-config-logs*/o-xxxxx/AWSLogs/アカウントID/Config/リージョン/yyyy/mm/dd/
また、もともとaws-controltower-logs*にて取得されていたConfigのログはそのまま残ります。
ログの保管先は今まで通り一つにまとめられない?
現行の機能を維持したままLanding Zoneを更新したり、一つにまとめるような機能はありません。
ユーザー側で手動で設定を行うことは可能ですが、ドリフト状態になるため非推奨です。
なお、S3のレプリケーション機能を利用することでログをまとめることが可能です。
まとめ
今回は Landing Zone 4.0の私が気になった点について、公式ドキュメントを見ても確認できない情報がいくつかあったため実際に更新をして調べてみました。
特にログの保管先が変更になるため影響がある方もいるのではないでしょうか。
更新する際は慎重に行ってください。
この記事がどなたかの役に立てたら幸いです。
この記事は私が書きました
渡邉 和貴
記事一覧CCoEをやってます。森と山に出没します。 好きなAWSサービスは IAM と CloudFormation
