[アップデート]Control TowerでCloudTrailログを保持するS3バケットのログ保持期間を指定できるようになりました

Control TowerでのCloudTrailログ管理がまたひとつ楽になりました!!!!
2022.08.22

みなさん、こんにちは。

AWS事業本部コンサルティング部の芦沢(@ashi_ssan)です。

Control TowerでCloudTrailログのログ保持期間を指定できるようになったというアップデートが発表されたため、早速試してみました。

アップデート概要

本アップデートにより、ControlTowerでCloudTrailログを保存するS3バケットのログ保持期間を1日単位で指定することが可能になりました。

CloudTrailログを保存するS3のデフォルトのログ保持期間は以下の日数となっています。

  • 標準アカウントログ:365日(1年)
  • アクセスログ:3650日(10年)

こちらの期間をそれぞれ以下の日数を直接指定して設定することが可能になりました。

  • 標準アカウントログ:1日〜5475日(15年)
  • アクセスログ:1日〜5475日(15年)

やってみた

0. 検証環境と留意事項について

  • 今回検証に使用したControl Tower環境のランディングゾーン バージョンは3.0
    • ※ランディングゾーン 3.0以前のバージョンでの動作は検証できていません。
  • Control Tower環境の組織レベルのCloudTrailを有効化済み。
    • ※組織レベルのCloudTrail無効化時の挙動について検証できていません。

1. 初期設定の確認

まずは、デフォルトのS3ログ設定を確認してみます。

Control Tower管理アカウント(=Organizations組織の管理アカウント)でログインし、Control Towerコンソールのランディングゾーン設定 > 設定タブのAmazon S3のログ設定を確認すると、現在のログ保持期間設定が確認できます。

Control TowerのLog Archiveアカウントでログインしてください。

標準アカウントログが保存されている、S3バケットaws-controltower-logs-[AWSアカウントID]-[リージョン]のライフサイクル設定を確認すると、365日が指定されていますね。

※365日でオブジェクトの有効期限切れ、有効期限切れから更に365日で完全に削除、なので実質的な保持期間は2年間(365日×2)となっています。

アクセスログが保存されている、S3バケットaws-controltower-s3-access-logs-[AWSアカウントID]-[リージョン]のライフサイクル設定を確認すると、3650日が指定されています。

※標準アカウントログと同様、実質的なログ保持期間は20年間(3650日×2)となっています。

2. ログ保持期間の設定変更

ここからはControl Tower管理アカウントでログインして作業を行います。

Control Towerコンソールのランディングゾーン設定から設定を変更するをクリックします。

ステップ2 設定を更新Amazon S3 のログ設定という入力欄が今回のアップデートで追加されたオプションです。

ログの保持設定は年(years)単位もしくは日(days)単位で指定が可能です。

※年単位(years)指定の場合、小数点を利用した日数指定も可能

今回は標準アカウントログ:2.5年(912日)、アクセスログ:12.5年(4562日)を指定してみます。

ランディングゾーンの更新にしばらく時間がかかる(60分程度)ため待機します。

3. 設定変更後の確認

更新完了後、Control Towerコンソールのランディングゾーン設定 > 設定タブのAmazon S3のログ設定を確認すると、指定した通りのログ保持期間に変更できていることが確認できます。

再度、Control TowerのLog Archiveアカウントでログインしてください。

標準アカウントログが保存されている、S3バケットaws-controltower-logs-[AWSアカウントID]-[リージョン]のライフサイクル設定を確認すると、変更後の912日が指定されています。

アクセスログが保存されている、S3バケットaws-controltower-s3-access-logs-[AWSアカウントID]-[リージョン]のライフサイクル設定を確認すると、変更後の4562日が指定されています。

最後に

本エントリで、Control TowerのCloudTrailログ保持期間を変更できるという内容のアップデートを試してみました。

このアップデートにより、別アカウントで管理する組織レベルのCloudTrailログを保存するのS3のライフサイクルルールの変更を、Control Tower管理アカウントのControl Towerコンソール上から行えることになります。

Control Tower運用管理がさらに楽になる嬉しいアップデートでした。

以上、AWS事業本部コンサルティング部の芦沢(@ashi_ssan)でした。