CloudTrail Lake ダッシュボード

CloudTrail Lake ダッシュボードを使用して、アカウント内のイベントデータストアのイベント傾向を表示できます。CloudTrail Lake には、次のタイプのダッシュボードが用意されています。

マネージドダッシュボード – マネージドダッシュボードを表示して、管理イベント、データイベント、または Insights イベントを収集するイベントデータストアのイベント傾向を表示できます。これらのダッシュボードは自動的に利用でき、CloudTrail Lake によって管理されます。CloudTrail には、14 のマネージドダッシュボードから選択できます。マネージドダッシュボードは手動で更新できます。これらのダッシュボードのウィジェットを変更、追加、または削除することはできませんが、ウィジェットを変更したり、更新スケジュールを設定したりする場合は、マネージドダッシュボードをカスタムダッシュボードとして保存できます。
カスタムダッシュボード – カスタムダッシュボードを使用すると、任意のイベントデータストアタイプのイベントをクエリできます。カスタムダッシュボードには最大 10 個のウィジェットを追加できます。カスタムダッシュボードを手動で更新することも、更新スケジュールを設定することもできます。
ハイライトダッシュボード – Highlights ダッシュボードを有効にして、アカウント内のイベントデータストアによって収集された AWS アクティビティの概要をat-a-glance確認できます。Highlights ダッシュボードは CloudTrail によって管理され、アカウントに関連するウィジェットが含まれています。Highlights ダッシュボードに表示されるウィジェットは、各アカウントに固有です。これらのウィジェットは、検出された異常なアクティビティや異常を表示する可能性があります。例えば、ハイライトダッシュボードには、異常なクロスアカウントアクティビティが増加しているかどうかを示すクロスアカウントアクセスウィジェットの合計を含めることができます。CloudTrail は 6 時間ごとに Highlights ダッシュボードを更新します。ダッシュボードには、前回の更新からの過去 24 時間のデータが表示されます。

各ダッシュボードは 1 つ以上のウィジェットで構成され、各ウィジェットは SQL クエリの結果をグラフィカルに表示します。ウィジェットのクエリを表示するには、クエリの表示と編集を選択してクエリエディタを開きます。

ダッシュボードが更新されると、CloudTrail Lake はクエリを実行してダッシュボードのウィジェットにデータを入力します。クエリを実行するとコストが発生するため、CloudTrail はクエリの実行に関連するコストを確認するよう求めます。CloudTrail の料金の詳細については、「CloudTrail の料金」を参照してください。

トピック

前提条件

CloudTrail Lake ダッシュボードには、次の前提条件が適用されます。

Lake ダッシュボードを表示して使用するには、少なくとも 1 つの CloudTrail Lake イベントデータストアを作成する必要があります。イベントデータストアは、コンソール AWS CLI、、または SDKsを使用して作成できます。コンソールを使用してイベントデータストアを作成する方法の詳細については、「コンソールを使用して CloudTrail イベント用にイベントデータストアを作成する」を参照してください。を使用してイベントデータストアを作成する方法については AWS CLI、「」を参照してくださいを使用してイベントデータストアを作成する AWS CLI。
ダッシュボードを表示、作成、更新、更新するには、適切なアクセス許可が必要です。詳細については、「必要なアクセス許可」を参照してください。

制限

CloudTrail Lake ダッシュボードには、次の制限が適用されます。

Highlights ダッシュボードは、アカウントに存在するイベントデータストアに対してのみ有効にできます。
アカウントに存在するイベントデータストアのマネージドダッシュボードのみを表示できます。
カスタムダッシュボードの場合、サンプルウィジェットを追加したり、アカウントに存在するイベントデータストアをクエリする新しいウィジェットを作成したりすることしかできません。
AWS Organizations 組織の委任管理者は、管理アカウントが所有するダッシュボードを表示または管理することはできません。

リージョンのサポート

CloudTrail Lake ダッシュボードは、CloudTrail Lake AWS リージョンがサポートされているすべてのでサポートされています。

Highlights ダッシュボードのアクティビティ概要ウィジェットは、次のリージョンでサポートされています。

アジアパシフィック (東京) リージョン (ap-northeast-1)
米国東部 (バージニア北部) (us-east-1)
米国西部 (オレゴン) リージョン (us-west-1)

他のすべてのウィジェットは、CloudTrail Lake AWS リージョンがサポートされているすべてのでサポートされています。

CloudTrail Lake がサポートされているリージョンについては、「CloudTrail Lake でサポートされるリージョン」を参照してください。

必要なアクセス許可

このセクションでは、CloudTrail Lake ダッシュボードに必要なアクセス許可について説明し、次の 2 種類の IAM ポリシーについて説明します。

ダッシュボードを作成、管理、削除するためのアクションを実行できるアイデンティティベースのポリシー。
ダッシュボードの更新時に CloudTrail がイベントデータストアでクエリを実行し、ユーザーに代わってカスタムダッシュボードと Highlights ダッシュボードのスケジュールされた更新を実行できるようにするリソースベースのポリシー。CloudTrail コンソールを使用してダッシュボードを作成すると、リソースベースのポリシーをアタッチするオプションが表示されます。コマンドを実行して AWS CLI put-resource-policy、イベントデータストアまたはダッシュボードにリソースベースのポリシーを追加することもできます。

アイデンティティベースのポリシー要件

アイデンティティベースポリシーは、IAM ユーザーグループ、ユーザーのグループ、ロールなど、アイデンティティにアタッチできる JSON 許可ポリシードキュメントです。これらのポリシーは、ユーザーとロールが実行できるアクション、リソース、および条件をコントロールします。アイデンティティベースポリシーの作成方法については、「IAM ユーザーガイド」の「カスタマー管理ポリシーでカスタム IAM アクセス許可を定義する」を参照してください。

CloudTrail Lake ダッシュボードを表示および管理するには、次のいずれかのポリシーが必要です。

CloudTrailFullAccess マネージドポリシー。
AdministratorAccess マネージドポリシー。
以下のセクションで説明する特定のアクセス許可を 1 つ以上含むカスタムポリシー。

ダッシュボードの作成に必要なアクセス許可

次のサンプルポリシーは、ダッシュボードの作成に必要な最小限のアクセス許可を提供します。partition、region、account-id、eds-id を、設定の値に置き換えます。

StartQuery アクセス許可は、リクエストにウィジェットが含まれている場合にのみ必要です。ウィジェットクエリに含まれるすべてのイベントデータストアにアクセスStartQuery許可を付与します。
StartDashboardRefresh ダッシュボードに更新スケジュールがある場合にのみ、アクセス許可が必要です。
Highlights ダッシュボードの場合、呼び出し元にはアカウント内のすべてのイベントデータストアに対するStartQueryアクセス許可が必要です。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": [
                "cloudtrail:CreateDashboard",
                "cloudtrail:StartDashboardRefresh",
                "cloudtrail:StartQuery"
            ],
            "Resource": [
                "arn:partition:cloudtrail:region:account-id:dashboard/*",
                "arn:partition:cloudtrail:region:account-id:eventdatastore/eds-id"
            ]
        }
    ]
}

ダッシュボードを更新するために必要なアクセス許可

次のサンプルポリシーは、ダッシュボードを更新するために必要な最小限のアクセス許可を提供します。partition、region、account-id、eds-id を、設定の値に置き換えます。

StartQuery アクセス許可は、リクエストにウィジェットが含まれている場合にのみ必要です。ウィジェットクエリに含まれるすべてのイベントデータストアにアクセスStartQuery許可を付与します。
StartDashboardRefresh ダッシュボードに更新スケジュールがある場合にのみ、アクセス許可が必要です。
Highlights ダッシュボードの場合、呼び出し元にはアカウント内のすべてのイベントデータストアに対するStartQueryアクセス許可が必要です。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": [
                "cloudtrail:UpdateDashboard",
                "cloudtrail:StartDashboardRefresh",
                "cloudtrail:StartQuery"
            ],
            "Resource": [
                "arn:partition:cloudtrail:region:account-id:dashboard/*",
                "arn:partition:cloudtrail:region:account-id:eventdatastore/eds-id"
            ]
        }
    ]
}

ダッシュボードを更新するために必要なアクセス許可

次のサンプルポリシーは、ダッシュボードを更新するために必要な最小限のアクセス許可を提供します。partition、region、account-id、dashboard-name、eds-id を設定の値に置き換えます。

カスタムダッシュボードと Highlights ダッシュボードの場合、発信者にはが必要ですcloudtrail:StartDashboardRefresh permissions。
マネージドダッシュボードの場合、呼び出し元には更新に関係するイベントデータストアに対するcloudtrail:StartDashboardRefreshアクセス許可とアクセスcloudtrail:StartQuery許可が必要です。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": [
                "cloudtrail:StartDashboardRefresh",
                "cloudtrail:StartQuery"
            ],
            "Resource": [
                "arn:partition:cloudtrail:region:account-id:dashboard/dashboard-name",
                "arn:partition:cloudtrail:region:account-id:eventdatastore/eds-id"
            ]
        }
    ]
}

ダッシュボードとイベントデータストアのリソースベースのポリシー

リソースベースのポリシーは、リソースに添付する JSON ポリシードキュメントです。リソースベースのポリシーには例として、IAM ロールの信頼ポリシーや Amazon S3 バケットポリシーがあげられます。ポリシーがアタッチされているリソースの場合、指定されたプリンシパルがそのリソースに対して実行できるアクションと条件は、ポリシーによって定義されます。リソースベースのポリシーでは、プリンシパルを指定する必要があります。

手動またはスケジュールされた更新中にダッシュボードでクエリを実行するには、ダッシュボード上のウィジェットに関連付けられているすべてのイベントデータストアにリソースベースのポリシーをアタッチする必要があります。これにより、CloudTrail Lake はユーザーに代わってクエリを実行できます。カスタムダッシュボードを作成するか、CloudTrail コンソールを使用して Highlights ダッシュボードを有効にすると、CloudTrail はアクセス許可を適用するイベントデータストアを選択するオプションを提供します。リソースベースのポリシーの詳細については、「」を参照してください例: CloudTrail がクエリを実行してダッシュボードを更新できるようにする。

ダッシュボードの更新スケジュールを設定するには、リソースベースのポリシーをダッシュボードにアタッチして、CloudTrail Lake がユーザーに代わってダッシュボードを更新できるようにする必要があります。カスタムダッシュボードの更新スケジュールを設定するか、CloudTrail コンソールを使用して Highlights ダッシュボードを有効にすると、CloudTrail はリソースベースのポリシーをダッシュボードにアタッチするオプションを提供します。ポリシーの例についてはダッシュボードのリソースベースのポリシーの例を参照してください。

CloudTrail コンソール、、または PutResourcePolicy API オペレーションを使用してAWS CLI、リソースベースのポリシーをアタッチできます。

イベントデータストア内のデータを復号するための KMS キーアクセス許可

クエリ対象のイベントデータストアが KMS キーで暗号化されている場合は、KMS キーポリシーで CloudTrail がイベントデータストア内のデータを復号化できることを確認してください。次のポリシーステートメントの例では、CloudTrail サービスプリンシパルがイベントデータストアを復号することを許可します。


{
      "Sid": "AllowCloudTrailDecryptAccess",
      "Effect": "Allow",
      "Principal": {
          "Service": "cloudtrail.amazonaws.com"
        },
      "Action": "kms:Decrypt",
      "Resource": "*"
}

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

CloudTrail Lake 統合のイベントスキーマ

マネージドダッシュボードを表示する