翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# CloudTrail Lake ダッシュボード
**注記**
AWS CloudTrail Lake は、2026 年 5 月 31 日以降、新規のお客様に公開されなくなります。CloudTrail Lake を使用する場合は、その日付より前にサインアップします。既存のお客様は、通常どおりサービスを引き続き使用できます。詳細については、「[CloudTrail Lake の可用性の変更](cloudtrail-lake-service-availability-change.md)」を参照してください。
CloudTrail Lake ダッシュボードを使用して、アカウント内のイベントデータストアのイベントトレンドを確認できます。CloudTrail Lake には、次のタイプのダッシュボードが用意されています。
+ **マネージドダッシュボード** - マネージドダッシュボードを表示して、管理イベント、データイベント、または Insights イベントを収集するイベントデータストアのイベントトレンドを確認できます。これらのダッシュボードは自動的に利用可能になり、CloudTrail Lake によって管理されます。CloudTrail は 14 種類のマネージドダッシュボードを提供しています。マネージドダッシュボードは手動で更新できます。これらのダッシュボードのウィジェットを変更、追加、削除することはできませんが、ウィジェットを変更したり、更新スケジュールを設定したりする場合は、マネージドダッシュボードをカスタムダッシュボードとして保存できます。
+ **カスタムダッシュボード** - カスタムダッシュボードでは、任意のイベントデータストアタイプのイベントをクエリできます。カスタムダッシュボードには最大 10 個のウィジェットを追加できます。カスタムダッシュボードを手動で更新することも、更新スケジュールを設定することもできます。
+ **Highlights ダッシュボード** - Highlights ダッシュボードを有効にして、アカウントのイベントデータストアによって収集された AWS アクティビティの概要を一目で確認します。Highlights ダッシュボードは CloudTrail によって管理されており、アカウントに関連するウィジェットが含まれています。Highlights ダッシュボードに表示されるウィジェットは、アカウントごとに異なります。これらのウィジェットには、検出された異常なアクティビティや異常が表示される可能性があります。例えば、Highlights ダッシュボードには、**[合計クロスアカウントアクセスウィジェット]** を含めることができます。このウィジェットは、異常なクロスアカウントアクティビティが増加しているかどうかを示します。CloudTrail は 6 時間ごとに Highlights ダッシュボードをアップデートします。ダッシュボードには、前回のアップデートからのデータのうち最後の 24 時間分が表示されます。
各ダッシュボードは 1 つ以上のウィジェットで構成され、各ウィジェットは SQL クエリの結果をグラフィカルに表示します。ウィジェットのクエリを表示するには、**[クエリを表示および編集]** を選択してクエリエディタを開きます。
ダッシュボードが更新されると、CloudTrail Lake はクエリを実行してダッシュボードのウィジェットを入力します。クエリを実行するとコストがかかるため、CloudTrail ではクエリの実行に関連するコストを承認するよう要求されます。CloudTrail の料金の詳細については、「[CloudTrail の料金](https://aws.amazon.com/cloudtrail/pricing/)」を参照してください。
**Topics**
+ [前提条件](#lake-dashboard-prerequisites)
+ [制限事項](#lake-dashboard-limitations)
+ [リージョンのサポート](#lake-dashboard-regions)
+ [必要なアクセス許可](#lake-dashboard-permissions)
+ [CloudTrail コンソールでマネージドダッシュボードを表示する](lake-dashboard-managed.md)
+ [CloudTrail コンソールを使用して Highlights ダッシュボードを有効にする](lake-dashboard-highlights.md)
+ [CloudTrail コンソールで Highlights ダッシュボードを無効にする](lake-dashboard-highlights-disable.md)
+ [CloudTrail コンソールを使用してカスタムダッシュボードを作成する](lake-dashboard-custom.md)
+ [CloudTrail コンソールを使用してカスタムダッシュボードの更新スケジュールを設定する](lake-dashboard-refresh.md)
+ [CloudTrail コンソールを使用してカスタムダッシュボードの更新スケジュールを無効にする](lake-dashboard-refresh-disable.md)
+ [CloudTrail コンソールで終了保護を変更する](lake-dashboard-termination-protection.md)
+ [CloudTrail コンソールを使用してカスタムダッシュボードを削除する](lake-dashboard-delete.md)
+ [を使用してダッシュボードを作成、更新、管理する AWS CLI](lake-dashboard-cli.md)
## 前提条件
CloudTrail Lake ダッシュボードには次の前提条件が適用されます。
+ Lake ダッシュボードを表示して使用するには、少なくとも 1 つの CloudTrail Lake イベントデータストアを作成する必要があります。イベントデータストアは、 コンソール AWS CLI、、または SDKsを使用して作成できます。コンソールを使用してイベントデータストアを作成する方法の詳細については、「[コンソールを使用して CloudTrail イベント用にイベントデータストアを作成する](query-event-data-store-cloudtrail.md)」を参照してください。を使用してイベントデータストアを作成する方法については AWS CLI、「」を参照してください[を使用してイベントデータストアを作成する AWS CLI](lake-cli-create-eds.md)。
+ ダッシュボードを表示、作成、アップデート、更新するには、適切なアクセス許可が必要です。詳細については、「[必要なアクセス許可](#lake-dashboard-permissions)」を参照してください。
## 制限事項
CloudTrail Lake ダッシュボードには、次の制限が適用されます。
+ Highlights ダッシュボードは、アカウントに存在するイベントデータストアでのみ有効にできます。
+ マネージドダッシュボードは、アカウントに存在するイベントデータストアでのみ表示できます。
+ カスタムダッシュボードでは、サンプルウィジェットを追加したり、アカウントに存在するイベントデータストアをクエリする新しいウィジェットを作成したりすることしかできません。
+ AWS Organizations 組織の委任管理者は、管理アカウントが所有するダッシュボードを表示または管理することはできません。
## リージョンのサポート
CloudTrail Lake ダッシュボードは、CloudTrail Lake AWS リージョン がサポートされているすべての でサポートされています。
**Highlights** ダッシュボードの **[アクティビティ概要]** ウィジェットは、次のリージョンでサポートされています。
+ アジアパシフィック (東京) リージョン (ap-northeast-1)
+ 米国東部 (バージニア北部) (us-east-1)
+ 米国西部 (オレゴン) リージョン (us-west-1)
他のすべてのウィジェットは、CloudTrail Lake AWS リージョン がサポートされているすべての でサポートされています。
CloudTrail Lake がサポートされているリージョンについては、「[CloudTrail Lake でサポートされるリージョン](cloudtrail-lake-supported-regions.md)」を参照してください。
## 必要なアクセス許可
このセクションでは、CloudTrail Lake ダッシュボードに必要なアクセス許可と、次の 2 つのタイプの IAM ポリシーについて説明します。
+ ダッシュボードを作成、管理、削除するためのアクションを実行できる ID ベースのポリシー。
+ ダッシュボードの更新時に CloudTrail がイベントデータストアでクエリを実行し、ユーザーに代わってカスタムダッシュボードと Highlights ダッシュボードのスケジュールされた更新を実行できるようにするリソースベースのポリシー。CloudTrail コンソールを使用してダッシュボードを作成すると、リソースベースのポリシーをアタッチするオプションが表示されます。コマンドを実行して AWS CLI [`put-resource-policy`](lake-dashboard-cli-manage.md#lake-dashboard-cli-add-rbp)、イベントデータストアまたはダッシュボードにリソースベースのポリシーを追加することもできます。
### ID ベースのポリシー要件
アイデンティティベースのポリシーは、IAM ユーザーグループ、ユーザーのグループ、ロールなど、アイデンティティにアタッチできる JSON 許可ポリシードキュメントです。これらのポリシーは、ユーザーとロールが実行できるアクション、リソース、および条件をコントロールします。アイデンティティベースポリシーの作成方法については、「*IAM ユーザーガイド*」の「[カスタマー管理ポリシーでカスタム IAM アクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)」を参照してください。
CloudTrail Lake ダッシュボードを表示および管理するには、次のいずれかのポリシーが必要です。
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_FullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_FullAccess.html) マネージドポリシー。
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AdministratorAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AdministratorAccess.html) マネージドポリシー。
+ 以下のセクションで説明する特定のアクセス許可を 1 つ以上含むカスタムポリシー。
**Topics**
+ [ダッシュボードの作成に必要なアクセス許可](#lake-dashboard-permissions-identity-create)
+ [ダッシュボードをアップデートするために必要なアクセス許可](#lake-dashboard-permissions-identity-update)
+ [ダッシュボードを更新するために必要なアクセス許可](#lake-dashboard-permissions-identity-create)
#### ダッシュボードの作成に必要なアクセス許可
次のサンプルポリシーは、ダッシュボードの作成に必要な最小限のアクセス許可を提供します。{{partition}}、{{region}}、{{account-id}}、{{eds-id}} を設定の値に置き換えます。
+ `StartQuery` アクセス許可は、リクエストにウィジェットが含まれている場合にのみ必要です。ウィジェットクエリに含まれるすべてのイベントデータストアに `StartQuery` アクセス許可を付与します。
+ `StartDashboardRefresh` アクセス許可は、ダッシュボードに更新スケジュールがある場合にのみ必要です。
+ Highlights ダッシュボードの場合、呼び出し元にはアカウント内のすべてのイベントデータストアに対する `StartQuery` アクセス許可が必要です。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"cloudtrail:CreateDashboard",
"cloudtrail:StartDashboardRefresh",
"cloudtrail:StartQuery"
],
"Resource": [
"arn:aws:cloudtrail:{{us-east-1}}:{{111111111111}}:dashboard/*",
"arn:aws:cloudtrail:{{us-east-1}}:{{111111111111}}:eventdatastore/{{eds-id}}"
]
}
]
}
```
------
#### ダッシュボードをアップデートするために必要なアクセス許可
次のサンプルポリシーは、ダッシュボードをアップデートするために必要な最小限のアクセス許可を提供します。{{partition}}、{{region}}、{{account-id}}、{{eds-id}} を設定の値に置き換えます。
+ `StartQuery` アクセス許可は、リクエストにウィジェットが含まれている場合にのみ必要です。ウィジェットクエリに含まれるすべてのイベントデータストアに `StartQuery` アクセス許可を付与します。
+ `StartDashboardRefresh` アクセス許可は、ダッシュボードに更新スケジュールがある場合にのみ必要です。
+ Highlights ダッシュボードの場合、呼び出し元にはアカウント内のすべてのイベントデータストアに対する `StartQuery` アクセス許可が必要です。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"cloudtrail:UpdateDashboard",
"cloudtrail:StartDashboardRefresh",
"cloudtrail:StartQuery"
],
"Resource": [
"arn:aws:cloudtrail:{{us-east-1}}:{{111111111111}}:dashboard/*",
"arn:aws:cloudtrail:{{us-east-1}}:{{111111111111}}:eventdatastore/{{eds-id}}"
]
}
]
}
```
------
#### ダッシュボードを更新するために必要なアクセス許可
次のサンプルポリシーは、ダッシュボードを更新するために必要な最小限のアクセス許可を提供します。{{partition}}、{{region}}、{{account-id}}、{{dashboard-name}}、{{eds-id}} を設定の値に置き換えます。
+ カスタムダッシュボードと Highlights ダッシュボードの場合、呼び出し元には `cloudtrail:StartDashboardRefresh permissions` が必要です。
+ マネージドダッシュボードの場合、呼び出し元には更新に関連するイベントデータストアに対する `cloudtrail:StartDashboardRefresh` アクセス許可と `cloudtrail:StartQuery` アクセス許可が必要です。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"cloudtrail:StartDashboardRefresh",
"cloudtrail:StartQuery"
],
"Resource": [
"arn:aws:cloudtrail:{{us-east-1}}:{{111111111111}}:dashboard/{{dashboard-name}}",
"arn:aws:cloudtrail:{{us-east-1}}:{{111111111111}}:eventdatastore/{{eds-id}}"
]
}
]
}
```
------
### ダッシュボードとイベントデータストアのリソースベースのポリシー
リソースベースのポリシーは、リソースに添付する JSON ポリシードキュメントです。リソースベースのポリシーには例として、IAM ロールの信頼ポリシー や Amazon S3 バケットポリシー があげられます。ポリシーがアタッチされているリソースの場合、指定されたプリンシパルがそのリソースに対して実行できるアクションと条件は、ポリシーによって定義されます。リソースベースのポリシーで、プリンシパルを指定する必要があります。
手動またはスケジュールされた更新中にダッシュボードでクエリを実行するには、ダッシュボードのウィジェットに関連付けられているすべてのイベントデータストアにリソースベースのポリシーをアタッチする必要があります。これにより、CloudTrail Lake はユーザーに代わってクエリを実行できます。カスタムダッシュボードを作成するか、CloudTrail コンソールを使用して **Highlights** ダッシュボードを有効にすると、CloudTrail はアクセス許可を適用するイベントデータストアを選択するオプションを提供します。リソースベースのポリシーの詳細については、「[例: CloudTrail がクエリを実行してダッシュボードを更新できるようにする](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds-dashboard)」を参照してください。
ダッシュボードの更新スケジュールを設定するには、リソースベースのポリシーをダッシュボードにアタッチし、CloudTrail がユーザーに代わってダッシュボードを更新できるようにします。カスタムダッシュボードの更新スケジュールを設定するか、CloudTrail コンソールを使用して **Highlights** ダッシュボードを有効にすると、CloudTrail はリソースベースのポリシーをダッシュボードにアタッチするオプションを提供します。ポリシーの例については「[ダッシュボードのリソースベースのポリシーの例](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-dashboards)」を参照してください。
CloudTrail コンソール、[AWS CLI](lake-dashboard-cli-manage.md#lake-dashboard-cli-add-rbp)、または [PutResourcePolicy](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_PutResourcePolicy.html) API オペレーションを使用して、リソースベースのポリシーをアタッチできます。
### イベントデータストア内のデータを復号するための KMS キーアクセス許可
クエリ対象のイベントデータストアが KMS キーで暗号化されている場合は、KMS キーポリシーで CloudTrail がイベントデータストア内のデータを復号化できることを確認してください。CloudTrail サービスプリンシパルがイベントデータストアを復号できるようにするポリシーステートメントの例を次に示します。
```
{
"Sid": "AllowCloudTrailDecryptAccess",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "kms:Decrypt",
"Resource": "*"
}
```