CloudTrail Lake ダッシュボード

CloudTrail Lake ダッシュボードを使用して、アカウント内のイベントデータストアのイベント傾向を表示できます。 CloudTrail Lake には、次のタイプのダッシュボードが用意されています。

マネージドダッシュボード – マネージドダッシュボードを表示して、管理イベント、データイベント、または Insights イベントを収集するイベントデータストアのイベント傾向を表示できます。これらのダッシュボードは自動的に利用でき、 CloudTrail Lake によって管理されます。 CloudTrail には、14 のマネージドダッシュボードが用意されています。マネージドダッシュボードは手動で更新できます。これらのダッシュボードのウィジェットを変更、追加、または削除することはできませんが、ウィジェットを変更したり、更新スケジュールを設定したりする場合は、マネージドダッシュボードをカスタムダッシュボードとして保存できます。
カスタムダッシュボード – カスタムダッシュボードを使用すると、任意のイベントデータストアタイプのイベントをクエリできます。カスタムダッシュボードには、最大 10 個のウィジェットを追加できます。カスタムダッシュボードを手動で更新することも、更新スケジュールを設定することもできます。
ハイライトダッシュボード – Highlights ダッシュボードを有効にして、アカウント内のイベントデータストアによって収集された AWS アクティビティの概要を表示します at-a-glance。Highlights ダッシュボードはによって CloudTrail 管理され、アカウントに関連するウィジェットが含まれています。Highlights ダッシュボードに表示されるウィジェットは、各アカウントに固有です。これらのウィジェットは、検出された異常なアクティビティや異常を表示する可能性があります。例えば、ハイライトダッシュボードにクロスアカウントアクセスウィジェットの合計を含めることができます。これは、異常なクロスアカウントアクティビティが増加しているかどうかを示します。はハイライトダッシュボードを 6 時間ごとに CloudTrail 更新します。ダッシュボードには、前回の更新からの過去 24 時間のデータが表示されます。

各ダッシュボードは 1 つ以上のウィジェットで構成され、各ウィジェットはSQLクエリの結果をグラフィカルに表示します。ウィジェットのクエリを表示するには、クエリの表示と編集を選択してクエリエディタを開きます。

ダッシュボードが更新されると、 CloudTrail Lake はクエリを実行してダッシュボードのウィジェットにデータを入力します。クエリを実行するとコストが発生するため、はクエリの実行に関連するコストを確認するよう CloudTrail 求めます。 CloudTrail 料金の詳細については、CloudTrail 「の料金」を参照してください。

トピック

前提条件

CloudTrail Lake ダッシュボードには、次の前提条件が適用されます。

Lake ダッシュボードを表示して使用するには、少なくとも 1 つの CloudTrail Lake イベントデータストアを作成する必要があります。イベントデータストアは、コンソール、 AWS CLI、またはを使用して作成できますSDKs。コンソールを使用してイベントデータストアを作成する方法の詳細については、「コンソールを使用してイベントのイベントデータストア CloudTrailを作成する」を参照してください。を使用してイベントデータストアを作成する方法については AWS CLI、「」を参照してくださいを使用してイベントデータストアを作成する AWS CLI。
ダッシュボードを表示、作成、更新、更新するには、適切なアクセス許可が必要です。詳細については、「必要なアクセス許可」を参照してください。

制限

CloudTrail Lake ダッシュボードには、次の制限が適用されます。

Highlights ダッシュボードは、アカウントに存在するイベントデータストアに対してのみ有効にできます。
アカウントに存在するイベントデータストアのマネージドダッシュボードのみを表示できます。
カスタムダッシュボードの場合、サンプルウィジェットを追加したり、アカウントに存在するイベントデータストアをクエリする新しいウィジェットを作成したりすることしかできません。
AWS Organizations 組織の委任管理者は、管理アカウントが所有するダッシュボードを表示または管理することはできません。

リージョンのサポート

CloudTrail Lake ダッシュボードは、 CloudTrail Lake AWS リージョンがサポートされているすべてのでサポートされています。

Highlights ダッシュボードのアクティビティ概要ウィジェットは、次のリージョンでサポートされています。

アジアパシフィック (東京) リージョン (ap-northeast-1)
米国東部 (バージニア北部) (us-east-1)
米国西部 (オレゴン) リージョン (us-west-1)

他のすべてのウィジェットは、 CloudTrail Lake AWS リージョンがサポートされているすべてのでサポートされています。

CloudTrail Lake でサポートされているリージョンの詳細については、「」を参照してくださいCloudTrail Lake でサポートされるリージョン。

必要なアクセス許可

このセクションでは、 CloudTrail Lake ダッシュボードに必要なアクセス許可と、次の 2 種類のIAMポリシーについて説明します。

ダッシュボードを作成、管理、削除するためのアクションを実行できるアイデンティティベースのポリシー。
ダッシュボードの更新時にイベントデータストアでクエリを実行 CloudTrail したり、ユーザーに代わってカスタムダッシュボードとハイライトダッシュボードのスケジュールされた更新を実行したりできるようにするリソースベースのポリシー。 CloudTrail コンソールを使用してダッシュボードを作成すると、リソースベースのポリシーをアタッチするオプションが表示されます。コマンドを実行して AWS CLI put-resource-policy、イベントデータストアまたはダッシュボードにリソースベースのポリシーを追加することもできます。

ID ベースのポリシー要件

アイデンティティベースのポリシーは、 IAM ユーザー、ユーザーのグループ、ロールなど、アイデンティティにアタッチできるJSONアクセス許可ポリシードキュメントです。これらのポリシーは、ユーザーとロールが実行できるアクション、リソース、および条件をコントロールします。ID ベースのポリシーを作成する方法については、「 IAMユーザーガイド」の「カスタマー管理ポリシーを使用してカスタムIAMアクセス許可を定義する」を参照してください。

CloudTrail Lake ダッシュボードを表示および管理するには、次のいずれかのポリシーが必要です。

CloudTrailFullAccess マネージドポリシー。
AdministratorAccess マネージドポリシー。
以下のセクションで説明する特定のアクセス許可を 1 つ以上含むカスタムポリシー。

ダッシュボードの作成に必要なアクセス許可

次のサンプルポリシーは、ダッシュボードを作成するために必要な最小限のアクセス許可を提供します。partition、region、account-id、およびを設定の値eds-idに置き換えます。

StartQuery アクセス許可は、リクエストにウィジェットが含まれている場合にのみ必要です。ウィジェットクエリに含まれるすべてのイベントデータストアにアクセスStartQuery許可を付与します。
StartDashboardRefresh ダッシュボードに更新スケジュールがある場合にのみ、アクセス許可が必要です。
Highlights ダッシュボードの場合、呼び出し元にはアカウント内のすべてのイベントデータストアに対するStartQueryアクセス許可が必要です。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": [
                "cloudtrail:CreateDashboard",
                "cloudtrail:StartDashboardRefresh",
                "cloudtrail:StartQuery"
            ],
            "Resource": [
                "arn:partition:cloudtrail:region:account-id:dashboard/*",
                "arn:partition:cloudtrail:region:account-id:eventdatastore/eds-id"
            ]
        }
    ]
}

ダッシュボードを更新するために必要なアクセス許可

次のサンプルポリシーは、ダッシュボードを更新するために必要な最小限のアクセス許可を提供します。partition、region、account-id、およびを設定の値eds-idに置き換えます。

StartQuery アクセス許可は、リクエストにウィジェットが含まれている場合にのみ必要です。ウィジェットクエリに含まれるすべてのイベントデータストアにアクセスStartQuery許可を付与します。
StartDashboardRefresh ダッシュボードに更新スケジュールがある場合にのみ、アクセス許可が必要です。
Highlights ダッシュボードの場合、呼び出し元にはアカウント内のすべてのイベントデータストアに対するStartQueryアクセス許可が必要です。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": [
                "cloudtrail:UpdateDashboard",
                "cloudtrail:StartDashboardRefresh",
                "cloudtrail:StartQuery"
            ],
            "Resource": [
                "arn:partition:cloudtrail:region:account-id:dashboard/*",
                "arn:partition:cloudtrail:region:account-id:eventdatastore/eds-id"
            ]
        }
    ]
}

ダッシュボードを更新するために必要なアクセス許可

次のサンプルポリシーは、ダッシュボードを更新するために必要な最小限のアクセス許可を提供します。partition、region、、account-id、を、設定の値dashboard-nameeds-idに置き換えます。

カスタムダッシュボードと Highlights ダッシュボードの場合、発信者にはが必要ですcloudtrail:StartDashboardRefresh permissions。
マネージドダッシュボードの場合、呼び出し元には、更新に関係するイベントデータストアに対するcloudtrail:StartDashboardRefreshアクセス許可とcloudtrail:StartQueryアクセス許可が必要です。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": [
                "cloudtrail:StartDashboardRefresh",
                "cloudtrail:StartQuery"
            ],
            "Resource": [
                "arn:partition:cloudtrail:region:account-id:dashboard/dashboard-name",
                "arn:partition:cloudtrail:region:account-id:eventdatastore/eds-id"
            ]
        }
    ]
}

ダッシュボードとイベントデータストアのリソースベースのポリシー

リソースベースのポリシーは、リソースにアタッチするJSONポリシードキュメントです。リソースベースのポリシーの例としては、IAMロール信頼ポリシーと Amazon S3 バケットポリシーがあります。ポリシーがアタッチされているリソースの場合、指定されたプリンシパルがそのリソースに対して実行できるアクションと条件は、ポリシーによって定義されます。リソースベースのポリシーでは、プリンシパルを指定する必要があります。

手動またはスケジュールされた更新中にダッシュボードでクエリを実行するには、ダッシュボードのウィジェットに関連付けられているすべてのイベントデータストアにリソースベースのポリシーをアタッチする必要があります。これにより、 CloudTrail Lake はユーザーに代わってクエリを実行できます。カスタムダッシュボードを作成するか、 CloudTrail コンソールを使用して Highlights ダッシュボードを有効にすると、はアクセス許可を適用するイベントデータストアを選択するオプション CloudTrail を提供します。リソースベースのポリシーの詳細については、「」を参照してください例: CloudTrail がクエリを実行してダッシュボードを更新することを許可する。

ダッシュボードの更新スケジュールを設定するには、リソースベースのポリシーをダッシュボードにアタッチして、 CloudTrail Lake がユーザーに代わってダッシュボードを更新できるようにする必要があります。カスタムダッシュボードの更新スケジュールを設定するか、 CloudTrail コンソールを使用して Highlights ダッシュボードを有効にすると、は、ダッシュボードにリソースベースのポリシーをアタッチするオプション CloudTrail を提供します。ポリシーの例については、「ダッシュボードのリソースベースのポリシーの例」を参照してください。

リソースベースのポリシーは、 CloudTrail コンソール、、AWS CLIまたは PutResourcePolicyAPIオペレーションを使用してアタッチできます。

KMS イベントデータストア内のデータを復号するためのキーアクセス許可

クエリ対象のイベントデータストアがKMSキーで暗号化されている場合は、KMSキーポリシーで CloudTrail がイベントデータストア内のデータを復号できることを確認してください。次のポリシーステートメントの例では、 CloudTrail サービスプリンシパルがイベントデータストアを復号化できるようにします。


{
      "Sid": "AllowCloudTrailDecryptAccess",
      "Effect": "Allow",
      "Principal": {
          "Service": "cloudtrail.amazonaws.com"
        },
      "Action": "kms:Decrypt",
      "Resource": "*"
}

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

CloudTrail Lake 統合のイベントスキーマ

マネージドダッシュボードを表示する