CloudTrail Lake ダッシュボード - AWS CloudTrail
前提条件制限リージョンのサポート必要なアクセス許可

CloudTrail Lake ダッシュボード

CloudTrail Lake ダッシュボードを使用して、アカウント内のイベントデータストアのイベントトレンドを確認できます。CloudTrail Lake には、次のタイプのダッシュボードが用意されています。

  • マネージドダッシュボード - マネージドダッシュボードを表示して、管理イベント、データイベント、または Insights イベントを収集するイベントデータストアのイベントトレンドを確認できます。これらのダッシュボードは自動的に利用可能になり、CloudTrail Lake によって管理されます。CloudTrail は 14 種類のマネージドダッシュボードを提供しています。マネージドダッシュボードは手動で更新できます。これらのダッシュボードのウィジェットを変更、追加、削除することはできませんが、ウィジェットを変更したり、更新スケジュールを設定したりする場合は、マネージドダッシュボードをカスタムダッシュボードとして保存できます。

  • カスタムダッシュボード - カスタムダッシュボードでは、任意のイベントデータストアタイプのイベントをクエリできます。カスタムダッシュボードには最大 10 個のウィジェットを追加できます。カスタムダッシュボードを手動で更新することも、更新スケジュールを設定することもできます。

  • Highlights ダッシュボード - Highlights ダッシュボードを有効にして、アカウントのイベントデータストアによって収集された AWS アクティビティの概要を一目で確認します。Highlights ダッシュボードは CloudTrail によって管理されており、アカウントに関連するウィジェットが含まれています。Highlights ダッシュボードに表示されるウィジェットは、アカウントごとに異なります。これらのウィジェットには、検出された異常なアクティビティや異常が表示される可能性があります。例えば、Highlights ダッシュボードには、[合計クロスアカウントアクセスウィジェット] を含めることができます。このウィジェットは、異常なクロスアカウントアクティビティが増加しているかどうかを示します。CloudTrail は 6 時間ごとに Highlights ダッシュボードをアップデートします。ダッシュボードには、前回のアップデートからのデータのうち最後の 24 時間分が表示されます。

各ダッシュボードは 1 つ以上のウィジェットで構成され、各ウィジェットは SQL クエリの結果をグラフィカルに表示します。ウィジェットのクエリを表示するには、[クエリを表示および編集] を選択してクエリエディタを開きます。

ダッシュボードが更新されると、CloudTrail Lake はクエリを実行してダッシュボードのウィジェットを入力します。クエリを実行するとコストがかかるため、CloudTrail ではクエリの実行に関連するコストを承認するよう要求されます。CloudTrail の料金の詳細については、「CloudTrail の料金」を参照してください。

トピック

前提条件

CloudTrail Lake ダッシュボードには次の前提条件が適用されます。

  • Lake ダッシュボードを表示して使用するには、少なくとも 1 つの CloudTrail Lake イベントデータストアを作成する必要があります。イベントデータストアは、コンソール、AWS CLI、または SDK を使用して作成できます。コンソールを使用してイベントデータストアを作成する方法の詳細については、「コンソールを使用して CloudTrail イベント用にイベントデータストアを作成する」を参照してください。AWS CLI を使用してイベントデータストアを作成する方法の詳細については、「AWS CLI でイベントデータストアを作成する」を参照してください。

  • ダッシュボードを表示、作成、アップデート、更新するには、適切なアクセス許可が必要です。詳細については、「必要なアクセス許可」を参照してください。

制限

CloudTrail Lake ダッシュボードには、次の制限が適用されます。

  • Highlights ダッシュボードは、アカウントに存在するイベントデータストアでのみ有効にできます。

  • マネージドダッシュボードは、アカウントに存在するイベントデータストアでのみ表示できます。

  • カスタムダッシュボードでは、サンプルウィジェットを追加したり、アカウントに存在するイベントデータストアをクエリする新しいウィジェットを作成したりすることしかできません。

  • AWS Organizations 組織の委任管理者は、管理アカウントが所有するダッシュボードを表示または管理することはできません。

リージョンのサポート

CloudTrail Lake ダッシュボードは、CloudTrail Lake がサポートされているすべての AWS リージョン でサポートされています。

Highlights ダッシュボードの [アクティビティ概要] ウィジェットは、次のリージョンでサポートされています。

  • アジアパシフィック (東京) リージョン (ap-northeast-1)

  • 米国東部 (バージニア北部) (us-east-1)

  • 米国西部 (オレゴン) リージョン (us-west-1)

他のすべてのウィジェットは、CloudTrail Lake がサポートされているすべての AWS リージョン でサポートされています。

CloudTrail Lake がサポートされているリージョンについては、「CloudTrail Lake でサポートされるリージョン」を参照してください。

必要なアクセス許可

このセクションでは、CloudTrail Lake ダッシュボードに必要なアクセス許可と、次の 2 つのタイプの IAM ポリシーについて説明します。

  • ダッシュボードを作成、管理、削除するためのアクションを実行できる ID ベースのポリシー。

  • ダッシュボードの更新時に CloudTrail がイベントデータストアでクエリを実行し、ユーザーに代わってカスタムダッシュボードと Highlights ダッシュボードのスケジュールされた更新を実行できるようにするリソースベースのポリシー。CloudTrail コンソールを使用してダッシュボードを作成すると、リソースベースのポリシーをアタッチするオプションが表示されます。AWS CLI put-resource-policy コマンドを実行して、イベントデータストアまたはダッシュボードにリソースベースのポリシーを追加することもできます。

ID ベースのポリシー要件

アイデンティティベースのポリシーは、IAM ユーザーグループ、ユーザーのグループ、ロールなど、アイデンティティにアタッチできる JSON 許可ポリシードキュメントです。これらのポリシーは、ユーザーとロールが実行できるアクション、リソース、および条件をコントロールします。アイデンティティベースポリシーの作成方法については、「IAM ユーザーガイド」の「カスタマー管理ポリシーでカスタム IAM アクセス許可を定義する」を参照してください。

CloudTrail Lake ダッシュボードを表示および管理するには、次のいずれかのポリシーが必要です。

  • CloudTrailFullAccess マネージドポリシー。

  • AdministratorAccess マネージドポリシー。

  • 以下のセクションで説明する特定のアクセス許可を 1 つ以上含むカスタムポリシー。

ダッシュボードの作成に必要なアクセス許可

次のサンプルポリシーは、ダッシュボードの作成に必要な最小限のアクセス許可を提供します。partitionregionaccount-ideds-id を設定の値に置き換えます。

  • StartQuery アクセス許可は、リクエストにウィジェットが含まれている場合にのみ必要です。ウィジェットクエリに含まれるすべてのイベントデータストアに StartQuery アクセス許可を付与します。

  • StartDashboardRefresh アクセス許可は、ダッシュボードに更新スケジュールがある場合にのみ必要です。

  • Highlights ダッシュボードの場合、呼び出し元にはアカウント内のすべてのイベントデータストアに対する StartQuery アクセス許可が必要です。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": [
                "cloudtrail:CreateDashboard",
                "cloudtrail:StartDashboardRefresh",
                "cloudtrail:StartQuery"
            ],
            "Resource": [
                "arn:aws:cloudtrail:us-east-1:111111111111:dashboard/*",
                "arn:aws:cloudtrail:us-east-1:111111111111:eventdatastore/eds-id"
            ]
        }
    ]
}

ダッシュボードをアップデートするために必要なアクセス許可

次のサンプルポリシーは、ダッシュボードをアップデートするために必要な最小限のアクセス許可を提供します。partitionregionaccount-ideds-id を設定の値に置き換えます。

  • StartQuery アクセス許可は、リクエストにウィジェットが含まれている場合にのみ必要です。ウィジェットクエリに含まれるすべてのイベントデータストアに StartQuery アクセス許可を付与します。

  • StartDashboardRefresh アクセス許可は、ダッシュボードに更新スケジュールがある場合にのみ必要です。

  • Highlights ダッシュボードの場合、呼び出し元にはアカウント内のすべてのイベントデータストアに対する StartQuery アクセス許可が必要です。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": [
                "cloudtrail:UpdateDashboard",
                "cloudtrail:StartDashboardRefresh",
                "cloudtrail:StartQuery"
            ],
            "Resource": [
                "arn:aws:cloudtrail:us-east-1:111111111111:dashboard/*",
                "arn:aws:cloudtrail:us-east-1:111111111111:eventdatastore/eds-id"
            ]
        }
    ]
}

ダッシュボードを更新するために必要なアクセス許可

次のサンプルポリシーは、ダッシュボードを更新するために必要な最小限のアクセス許可を提供します。partitionregionaccount-iddashboard-nameeds-id を設定の値に置き換えます。

  • カスタムダッシュボードと Highlights ダッシュボードの場合、呼び出し元には cloudtrail:StartDashboardRefresh permissions が必要です。

  • マネージドダッシュボードの場合、呼び出し元には更新に関連するイベントデータストアに対する cloudtrail:StartDashboardRefresh アクセス許可と cloudtrail:StartQuery アクセス許可が必要です。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": [
                "cloudtrail:StartDashboardRefresh",
                "cloudtrail:StartQuery"
            ],
            "Resource": [
                "arn:aws:cloudtrail:us-east-1:111111111111:dashboard/dashboard-name",
                "arn:aws:cloudtrail:us-east-1:111111111111:eventdatastore/eds-id"
            ]
        }
    ]
}

ダッシュボードとイベントデータストアのリソースベースのポリシー

リソースベースのポリシーは、リソースに添付する JSON ポリシードキュメントです。リソースベースのポリシーには例として、IAM ロールの信頼ポリシーや Amazon S3 バケットポリシーがあげられます。ポリシーがアタッチされているリソースの場合、指定されたプリンシパルがそのリソースに対して実行できるアクションと条件は、ポリシーによって定義されます。リソースベースのポリシーでは、プリンシパルを指定する必要があります。

手動またはスケジュールされた更新中にダッシュボードでクエリを実行するには、ダッシュボードのウィジェットに関連付けられているすべてのイベントデータストアにリソースベースのポリシーをアタッチする必要があります。これにより、CloudTrail Lake はユーザーに代わってクエリを実行できます。カスタムダッシュボードを作成するか、CloudTrail コンソールを使用して Highlights ダッシュボードを有効にすると、CloudTrail はアクセス許可を適用するイベントデータストアを選択するオプションを提供します。リソースベースのポリシーの詳細については、「例: CloudTrail がクエリを実行してダッシュボードを更新できるようにする」を参照してください。

ダッシュボードの更新スケジュールを設定するには、リソースベースのポリシーをダッシュ​​ボードにアタッチし、CloudTrail がユーザーに代わってダッシュボードを更新できるようにします。カスタムダッシュボードの更新スケジュールを設定するか、CloudTrail コンソールを使用して Highlights ダッシュボードを有効にすると、CloudTrail はリソースベースのポリシーをダッシュボードにアタッチするオプションを提供します。ポリシーの例についてはダッシュボードのリソースベースのポリシーの例を参照してください。

CloudTrail コンソール、AWS CLI、または PutResourcePolicy API オペレーションを使用して、リソースベースのポリシーをアタッチできます。

イベントデータストア内のデータを復号するための KMS キーアクセス許可

クエリ対象のイベントデータストアが KMS キーで暗号化されている場合は、KMS キーポリシーで CloudTrail がイベントデータストア内のデータを復号化できることを確認してください。CloudTrail サービスプリンシパルがイベントデータストアを復号できるようにするポリシーステートメントの例を次に示します。

{
      "Sid": "AllowCloudTrailDecryptAccess",
      "Effect": "Allow",
      "Principal": {
          "Service": "cloudtrail.amazonaws.com"
        },
      "Action": "kms:Decrypt",
      "Resource": "*"
}