目次
Amazon Managed Grafana 完全ガイド v2.0
フルマネージドのGrafanaダッシュボードプラットフォームとマルチデータソース統合
Amazon Managed Grafana は、Grafana OSS・Enterprise の インフラ管理・スケーリング・セキュリティ・アップグレードを AWS が完全に管理するフルマネージドダッシュボード・可視化サービスです。CloudWatch・Amazon Managed Service for Prometheus・X-Ray・OpenSearch・Timestream・IoT SiteWise 等の AWS データソースと 50+ の外部データソース(Datadog・Splunk・Dynatrace 等)をネイティブ統合。IAM Identity Center / SAML による SSO・RBAC・監査ログでエンタープライズ要件に対応。本ドキュメントは Managed Grafana の本質・アーキテクチャ・実装パターン・2026 年最新動向を体系的に解説します。
ドキュメントの目的
本ガイドは以下を対象としています。
- 初心者向け: Managed Grafana とは何か、なぜセルフホスト Grafana から乗り換えるのかを学びたい方
- DevOps / SRE 向け: CloudWatch・Prometheus・X-Ray を統一ダッシュボードで可視化したい方
- 運用・DBA 向け: Grafana のインフラ管理を AWS に任せたい方
- 意思決定者向け: セルフホスト Grafana・Grafana Cloud・Azure Managed Grafana との比較検討
2025-2026年の最新動向
- Grafana Enterprise プラグイン拡張(2026年3月):Datadog・Splunk・Dynatrace connector の自動検出機能
- IAM Identity Center との深い統合(2026年2月):SCIM プロビジョニング・チーム・ロール管理の完全自動化
- Alerting Rules UI 改善(2026年4月):Grafana 11 の新 Alerting エンジン・Unified Rules 対応
- Workspace リソース タグ対応(2026年3月):tag-based access control・AWS Resource Groups との統合
目次
- 概要
- Managed Grafana が解決する課題
- 主な特徴
- アーキテクチャ
- コアコンポーネント
- データソース統合
- 主要ユースケース
- 設定・操作の具体例
- 類似サービス比較
- ベストプラクティス
- トラブルシューティング
- 2025-2026最新動向
- 学習リソース
- 導入ロードマップ
- 実装チェックリスト
- まとめ
- 参考文献
概要
初心者向けメモ: Amazon Managed Grafana は「AWS が Grafana サーバーを管理してくれるサービス」です。従来はセルフホストで EC2 + RDS(ダッシュボード保存)+ ロードバランサーを構成する必要がありましたが、Managed Grafana では「Workspace を作成 → IAM Identity Center で SSO 有効化 → CloudWatch・Prometheus データソース追加 → ダッシュボード作成」の 4 ステップで可視化基盤が完成。Grafana のアップグレード・パッチ・HA 構成・バックアップは AWS が自動管理します。
Amazon Managed Grafana は AWS がホスト・管理する完全マネージド Grafana ワークスペース(logically isolated Grafana server)を提供。ユーザーは「ダッシュボード作成」と「データソース設定」のみに専念できます。CloudWatch・Amazon Managed Service for Prometheus・X-Ray・OpenSearch・Timestream・Athena・IoT SiteWise 等の AWS データソースを IAM ロールで自動認証。SAML 2.0・OAuth・AWS IAM Identity Center で SSO 実現。Grafana Enterprise(有料プラン)で Datadog・Splunk・Dynatrace 等の 50+ 外部プラグインを利用可能です。
Managed Grafana の位置づけ
ダッシュボード・可視化プラットフォームの役割:
- マネージド運用:Grafana インフラ管理・アップグレード・HA を AWS に委譲
- AWS データソース統合:CloudWatch・Prometheus・X-Ray を一元ダッシュボードで可視化
- マルチデータソース統合:AWS + 外部(Datadog・Splunk)を同一ダッシュボール化
- エンタープライズセキュリティ:IAM Identity Center・RBAC・監査ログ・暗号化
Managed Grafana が解決する課題
Managed Grafana は、ダッシュボード・可視化プラットフォーム運用における次の問いに答えるための基盤です。
| 課題 | Managed Grafana のソリューション |
|---|---|
| Grafana インフラ管理が負担(EC2・RDS・LB 運用) | フルマネージドで インフラ管理ゼロ化。AWS が HA・バックアップ・パッチ管理 |
| CloudWatch・Prometheus・X-Ray を別々のツールで監視中 | 同一 Grafana ワークスペースで統一。スイッチコスト削減・運用効率化 |
| Grafana ユーザー管理が複雑(複数アカウント手動作成) | IAM Identity Center SSO で シングルサインオン。ユーザー管理を AD に統一 |
| Grafana アップグレードが手作業(ダウンタイム・テスト手間) | AWS が自動 upgrade・無停止運用。バージョン統一が容易 |
| セルフホスト Grafana の高可用性構成が困難 | Managed Grafana は 自動マルチ AZ・リーダーレプリカ構成 |
| Enterprise プラグイン(Datadog・Splunk)利用が複雑 | Managed Grafana Enterprise で シンプル設定・IAM 認証自動 |
| 大量ユーザーの アクセス制御が困難 | RBAC(ロールベースアクセス)で team・folder・dashboard 単位の権限管理 |
| ダッシュボード・ユーザーデータの暗号化が必須 | KMS 統合・transist・rest 両方で暗号化。コンプライアンス対応 |
主な特徴
| 特徴 | 説明 |
|---|---|
| Workspace(ワークスペース) | 論理的に隔離された Grafana サーバー。Enterprise・Standard プラン選択可 |
| AWS IAM 認証統合 | EC2・RDS 等の AWS リソース対して IAM ロールで自動認証。追加認証情報不要 |
| AWS データソース自動統合 | CloudWatch・Prometheus(AMP)・X-Ray・OpenSearch・Timestream を ワンクリック接続 |
| IAM Identity Center / SAML SSO | AWS IAM Identity Center / Okta・Azure AD でシングルサインオン。ユーザー管理を AD に統一 |
| RBAC(ロールベースアクセス) | ユーザー・チーム・ロール で folder・dashboard 単位の権限管理が可能 |
| Grafana Enterprise プラグイン(50+) | Datadog・Splunk・Dynatrace・Pagerduty・Jira・ServiceNow 等の接続 |
| ダッシュボード プロビジョニング | JSON・Terraform でダッシュボード・アラームを Infrastructure as Code 化 |
| Alert Notifications | Email・Slack・PagerDuty・Opsgenie・Webhook でアラート通知・ワークフロー自動化 |
| 監査ログ・Compliance | すべてのユーザーアクション・ダッシュボード変更を CloudTrail に記録 |
| 自動スケーリング | ユーザー数・ダッシュボード数に応じた自動スケーリング(ユーザー数課金) |
| マルチリージョン対応 | 複数リージョンで workspace 構築・複数リージョン メトリクスを一元管理 |
アーキテクチャ
【図1】Managed Grafana インフラストラクチャ:
graph TD
Users["👥 エンドユーザー<br/>(デベロッパー / オペレーター)"]
SSO["IAM Identity Center<br/>SAML 2.0<br/>OAuth"]
Users -->|Login| SSO
SSO -->|Authorize| Workspace["Managed Grafana Workspace<br/>(AWS 管理)"]
Workspace -->|Query| CW["CloudWatch<br/>(メトリクス・ログ)"]
Workspace -->|Query| AMP["Amazon Managed Service<br/>for Prometheus<br/>(PromQL)"]
Workspace -->|Query| XRay["X-Ray<br/>(分散トレース)"]
Workspace -->|Query| OpenSearch["OpenSearch Service<br/>(ログ・分析)"]
Workspace -->|Query| Timestream["Timestream<br/>(時系列 DB)"]
Workspace -->|Query| Athena["Athena<br/>(SQL 分析)"]
Workspace -->|Query| SiteWise["IoT SiteWise<br/>(産業 IoT)"]
Workspace -->|Query| External["外部 API<br/>(Datadog・Splunk 等)"]
Dashboard["🖥️ Grafana Dashboard<br/>(リアルタイム可視化)"]
Workspace -->|Display| Dashboard
Alerts["🔔 Alert Notifications<br/>(Email / Slack / PagerDuty)"]
Workspace -->|Notify| Alerts
AuditLog["📋 Audit Logs<br/>(CloudTrail / CloudWatch Logs)"]
Workspace -->|Log| AuditLog
style Users fill:#e1f5ff
style SSO fill:#c8e6c9
style Workspace fill:#fff3e0
style CW fill:#bbdefb
style AMP fill:#bbdefb
style XRay fill:#bbdefb
style OpenSearch fill:#bbdefb
style Timestream fill:#bbdefb
style Athena fill:#bbdefb
style SiteWise fill:#bbdefb
style External fill:#ffe0b2
style Dashboard fill:#e8f5e9
style Alerts fill:#f8bbd0
style AuditLog fill:#fff9c4
【図2】Managed Grafana vs セルフホスト Grafana:
graph LR
subgraph SelfHost["セルフホスト Grafana"]
EC2["EC2<br/>(Grafana Server)"]
RDS["RDS PostgreSQL<br/>(Dashboard DB)"]
LB["Load Balancer<br/>(HA 構成)"]
EC2 <-->|Read/Write| RDS
LB -->|Route| EC2
Backup["Backup<br/>(手動管理)"]
Upgrade["Upgrade<br/>(ダウンタイム)"]
end
subgraph ManagedGrafana["Managed Grafana"]
Workspace["Workspace<br/>(AWS 管理)"]
Backup2["✅ 自動 Backup"]
Upgrade2["✅ 無停止 Upgrade"]
HA["✅ 自動 HA 構成"]
end
style SelfHost fill:#ffebee
style ManagedGrafana fill:#e8f5e9
style EC2 fill:#ffccbc
style RDS fill:#ffccbc
style LB fill:#ffccbc
style Backup fill:#ffccbc
style Upgrade fill:#ffccbc
style Workspace fill:#c8e6c9
style Backup2 fill:#a5d6a7
style Upgrade2 fill:#a5d6a7
style HA fill:#a5d6a7
コアコンポーネント
1. Workspace(ワークスペース)
論理的に隔離された Grafana インスタンス。複数 workspace を独立管理可能。
Workspace 構成要素:
Workspace: prod-monitoring
├─ Endpoint: https://g-abc123def456.grafana-workspace.ap-northeast-1.amazonaws.com
├─ Plan: Enterprise
├─ Region: ap-northeast-1
├─ SSO: IAM Identity Center
├─ Users: 45 active(月単位課金)
├─ Data Sources:
│ ├─ CloudWatch
│ ├─ Prometheus (AMP)
│ ├─ X-Ray
│ └─ Splunk(Enterprise plugin)
└─ Dashboards: 23 custom dashboards
2. Data Source(データソース)
Workspace が接続・クエリするデータ源。AWS・外部両対応。
AWS Data Sources:
AWS CloudWatch
├─ EC2 / RDS / Lambda / ELB メトリクス
├─ CloudWatch Logs(Logs Insights クエリ)
├─ Metric Insights(カスタムクエリ)
└─ IAM ロール で自動認証
Amazon Managed Service for Prometheus
├─ PromQL クエリ
├─ EKS / EC2 メトリクス
├─ SigV4 認証(自動)
└─ Grafana が標準対応
AWS X-Ray
├─ Service Map
├─ Trace 検索
├─ Performance metrics
└─ IAM ロール で認証
OpenSearch Service
├─ ログ全文検索
├─ ダッシュボード統合
└─ OpenSearch Dashboards との切り替え
Timestream
├─ 時系列メトリクス
├─ IoT データ
└─ SQL クエリ
Athena
├─ S3 上の ログ分析
├─ SQL クエリ
└─ Cost 分析
IoT SiteWise
├─ 産業 IoT データ
├─ 設備監視
└─ Asset Hierarchy
外部 Data Sources(Enterprise プラン):
50+ プラグイン対応
├─ Datadog
├─ Splunk
├─ Dynatrace
├─ New Relic
├─ Elastic(Elasticsearch)
├─ InfluxDB
├─ Prometheus(セルフホスト)
├─ VictoriaMetrics
├─ Cortex / Thanos
├─ PostgreSQL / MySQL
├─ GraphQL / JSON API
└─ ... 他多数
3. Dashboard(ダッシュボード)
データソースから可視化パネルを構成した画面。複数ユーザーで共有。
Dashboard: Kubernetes Cluster Overview
├─ Row 1: Cluster Health
│ ├─ Panel: Node CPU %
│ ├─ Panel: Node Memory %
│ └─ Panel: Pod Count
├─ Row 2: Workload Performance
│ ├─ Panel: Request Rate
│ ├─ Panel: Error Rate
│ ├─ Panel: Latency P95
│ └─ Panel: Saturated Resources
├─ Row 3: Storage / Network
│ ├─ Panel: Disk I/O
│ ├─ Panel: Network In/Out
│ └─ Panel: PVC Usage
└─ Annotations:
├─ Deployment Events
├─ Pod Restarts
└─ Node Maintenance
4. User / Team / Role(ユーザー・チーム・ロール)
IAM Identity Center / SAML と連携したアクセス制御。
Workspace: prod-monitoring
Users:
├─ alice@company.com(Team: SRE, Role: Editor)
├─ bob@company.com(Team: DevOps, Role: Viewer)
└─ charlie@company.com(Team: Database, Role: Editor)
Teams:
├─ SRE
│ ├─ Members: alice, david
│ ├─ Folders: «Kubernetes» «CloudWatch»
│ └─ Permissions: Edit Dashboards
├─ DevOps
│ ├─ Members: bob, evan
│ ├─ Folders: «CI/CD» «Infrastructure»
│ └─ Permissions: View Only
└─ Database
├─ Members: charlie, frank
├─ Folders: «RDS» «DynamoDB»
└─ Permissions: Edit Dashboards
Folder Permissions:
├─ Kubernetes(Editor: SRE Team, Viewer: DevOps Team)
├─ RDS(Editor: Database Team, Viewer: All Users)
└─ Secrets(Admin Only)
5. Alerting Rules(アラートルール)
Grafana 11 新 Unified Alerting エンジン。複数データソースからの条件判定。
# Alert Rule: High CPU on Kubernetes Nodes
name: KubernetesNodeHighCPU
uid: alertrule-001
condition: C # Math expression 結果が条件
data:
- refId: A
datasource: Prometheus (AMP)
model:
expr: node_cpu_percent > 80
- refId: B
datasource: CloudWatch
model:
expression: EC2:CPUUtilization > 80
- refId: C
type: math
expression: $A or $B # A または B が true なら alert
noDataState: NoData # データなし時は NoAlert
for: 5m # 5分継続で alert 発火
annotations:
summary: "High CPU on Kubernetes Node {{ $labels.node }}"
runbook_url: "https://wiki.company.com/runbook/high-cpu"
labels:
severity: warning
team: sre
データソース統合
AWS CloudWatch の設定
# IAM ロール(Workspace に付与)
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics",
"cloudwatch:GetMetricData",
"logs:DescribeLogGroups",
"logs:GetLogGroupDataProtectionPolicy",
"logs:GetQueryResults",
"logs:StartQuery"
],
"Resource": "*"
}
]
}
# CloudWatch Data Source(Grafana 内で設定)
POST /api/datasources
{
"name": "CloudWatch",
"type": "cloudwatch",
"access": "proxy",
"jsonData": {
"authType": "arn",
"assumeRoleArn": "arn:aws:iam::123456789012:role/GrafanaRole",
"defaultRegion": "ap-northeast-1"
}
}
Prometheus (AMP) の設定
# IAM ロール(SigV4 署名)
{
"Effect": "Allow",
"Action": [
"aps:QueryMetrics",
"aps:GetMetricStatistics"
],
"Resource": "arn:aws:aps:ap-northeast-1:123456789012:workspace/ws-abc123"
}
# Prometheus Data Source
POST /api/datasources
{
"name": "Prometheus (AMP)",
"type": "prometheus",
"url": "https://aps-workspaces.ap-northeast-1.amazonaws.com/workspaces/ws-abc123/",
"access": "proxy",
"jsonData": {
"sigv4Auth": true,
"sigv4AuthType": "keys",
"sigv4Region": "ap-northeast-1"
}
}
外部 Data Source(Datadog 例)
# Enterprise プラン で Datadog プラグイン有効化
# Datadog API キー設定
POST /api/datasources
{
"name": "Datadog",
"type": "datadog-datasource",
"jsonData": {
"apiKey": "your-api-key",
"appKey": "your-app-key",
"site": "datadoghq.com" # US リージョン
},
"secureJsonData": {
"apiKey": "xxxxxxxxxxxxx",
"appKey": "yyyyyyyyyyyyy"
}
}
# Datadog ダッシュボード埋め込み
主要ユースケース
1. EKS クラスター監視ダッシュボード
背景: Kubernetes クラスターの Node・Pod・ワークロードを一元監視。
構成:
- データソース: CloudWatch Logs(Container Logs)・Amazon Managed Service for Prometheus(メトリクス)
- パネル: Node CPU / Memory・Pod Restarts・Network Throughput・Storage Usage
実装:
{
"dashboard": {
"title": "EKS Cluster Monitoring",
"panels": [
{
"title": "Node CPU Usage",
"targets": [
{
"datasource": "Prometheus (AMP)",
"expr": "rate(node_cpu_seconds_total[5m])",
"legendFormat": "{{node}}"
}
]
},
{
"title": "Pod Restart Count",
"targets": [
{
"datasource": "Prometheus (AMP)",
"expr": "kube_pod_container_status_restarts_total",
"legendFormat": "{{pod}}"
}
]
}
]
}
}
2. マルチリージョン・マルチクラウド 統合ダッシュボード
背景: AWS + GCP / Azure の 複数クラウド・複数リージョンのメトリクスを統一管理。
構成:
- AWS Data Sources: CloudWatch(複数リージョン)・Managed Prometheus
- GCP Data Sources: Google Cloud Monitoring
- Azure Data Sources: Azure Monitor
- 統一ダッシュボード: すべてのクラウド メトリクスを一画面で可視化
3. インシデント対応ダッシュボード
背景: 本番障害発生時に 必要なすべての情報(メトリクス・ログ・トレース)を 1 ダッシュボードに集約。
構成:
- Row 1: Infrastructure Health(EC2 / RDS / ECS)
- Row 2: Application Performance(API レイテンシ・エラーレート)
- Row 3: X-Ray Service Map(依存関係・遅延)
- Row 4: CloudWatch Logs(エラーログ抜粋)
- Row 5: Alert History(過去 24 時間のアラート)
4. ビジネスメトリクス + 技術メトリクス統合
背景: DevOps がビジネス指標(収益・ユーザー数)と技術指標(CPU・エラーレート)を相関分析。
構成:
- External Data Source: Datadog(ユーザーセッション)・GA(ページビュー)
- AWS Data Source: CloudWatch Metrics(技術指標)
- 統一ダッシュボード: ページビュー減少 ↔ エラーレート増加 の相関を可視化
設定・操作の具体例
AWS CLI での Workspace 作成
# Workspace 作成
aws grafana create-workspace \
--region ap-northeast-1 \
--workspace-name prod-monitoring \
--account-access-type CURRENT_ACCOUNT \
--authentication-providers AWS_SSO \
--permission-type SERVICE_MANAGED \
--role-arn arn:aws:iam::123456789012:role/GrafanaWorkspaceRole
# → 出力:
# {
# "workspace": {
# "id": "g-abc123def456",
# "endpoint": "https://g-abc123def456.grafana-workspace.ap-northeast-1.amazonaws.com"
# }
# }
# IAM Identity Center でユーザー割り当て
aws grafana update-permissions \
--workspace-id g-abc123def456 \
--update-instruction-batch '[
{
"action": "ADD",
"role": "ADMIN",
"users": [
{
"id": "user-001",
"type": "SSO_USER"
}
]
}
]'
CloudFormation での構築
AWSTemplateFormatVersion: '2010-09-09'
Description: 'Managed Grafana Workspace for Multi-Cloud Monitoring'
Resources:
# IAM ロール(Workspace が使用)
GrafanaRole:
Type: AWS::IAM::Role
Properties:
AssumeRolePolicyDocument:
Version: '2012-10-17'
Statement:
- Effect: Allow
Principal:
Service: grafana.amazonaws.com
Action: 'sts:AssumeRole'
ManagedPolicyArns:
- arn:aws:iam::aws:policy/CloudWatchReadOnlyAccess
- arn:aws:iam::aws:policy/AmazonPrometheusReadOnlyAccess
# Managed Grafana Workspace
GrafanaWorkspace:
Type: AWS::Grafana::Workspace
Properties:
WorkspaceName: prod-monitoring
Description: Production Monitoring Platform
AccountAccessType: CURRENT_ACCOUNT
AuthenticationProviders:
- AWS_SSO
PermissionType: SERVICE_MANAGED
RoleArn: !GetAtt GrafanaRole.Arn
Tags:
Environment: Production
Team: Platform
Outputs:
WorkspaceEndpoint:
Value: !GetAtt GrafanaWorkspace.Endpoint
Description: Grafana Workspace URL
WorkspaceId:
Value: !Ref GrafanaWorkspace
Description: Workspace ID
Terraform での構築
resource "aws_grafana_workspace" "main" {
name = "prod-monitoring"
account_access_type = "CURRENT_ACCOUNT"
authentication_providers = ["AWS_SSO"]
permission_type = "SERVICE_MANAGED"
role_arn = aws_iam_role.grafana.arn
tags = {
Environment = "Production"
}
}
# IAM ロール
resource "aws_iam_role" "grafana" {
name = "grafana-workspace-role"
assume_role_policy = jsonencode({
Version = "2012-10-17"
Statement = [
{
Effect = "Allow"
Principal = {
Service = "grafana.amazonaws.com"
}
Action = "sts:AssumeRole"
}
]
})
}
resource "aws_iam_role_policy_attachment" "grafana_cloudwatch" {
role = aws_iam_role.grafana.name
policy_arn = "arn:aws:iam::aws:policy/CloudWatchReadOnlyAccess"
}
ダッシュボード JSON(Infrastructure as Code)
{
"dashboard": {
"id": null,
"uid": "eks-monitoring",
"title": "EKS Cluster Monitoring",
"tags": ["kubernetes", "observability"],
"timezone": "browser",
"panels": [
{
"id": 1,
"title": "Node CPU Usage",
"type": "graph",
"targets": [
{
"datasource": "Prometheus (AMP)",
"expr": "rate(node_cpu_seconds_total[5m])",
"legendFormat": "{{node}}"
}
],
"gridPos": {"h": 8, "w": 12, "x": 0, "y": 0}
},
{
"id": 2,
"title": "Pod Restarts",
"type": "stat",
"targets": [
{
"datasource": "Prometheus (AMP)",
"expr": "kube_pod_container_status_restarts_total > 0",
"legendFormat": "{{pod}}"
}
],
"gridPos": {"h": 8, "w": 12, "x": 12, "y": 0}
}
]
}
}
類似サービス比較
| 特性 | Managed Grafana | セルフホスト | Grafana Cloud | Azure Managed |
|---|---|---|---|---|
| インフラ管理 | ✅ AWS 管理 | ❌ 自分で管理 | ✅ Grafana 管理 | ✅ Azure 管理 |
| AWS 統合 | ✅ 深い | △ 手動設定 | △ API | △ API |
| IAM Identity Center | ✅ ネイティブ | ❌ なし | ❌ なし | ❌ なし |
| コスト | ⭐⭐⭐⭐⭐ | ⭐⭐⭐ | ⭐⭐⭐ | ⭐⭐⭐ |
| 推奨用途 | AWS Primary | カスタマイズ | Multi-Cloud | Azure Primary |
まとめ
Amazon Managed Grafana は、CloudWatch・Prometheus・X-Ray・OpenSearch 等の AWS データソースと Datadog・Splunk 等の外部ツールを統一ダッシュボールで可視化する フルマネージドダッシュボード・可視化プラットフォーム です。Grafana のインフラ管理・アップグレード・HA 構成を AWS が完全管理。IAM Identity Center SSO・RBAC・監査ログでエンタープライズセキュリティに対応。AWS 中心のマルチデータソース統合ダッシュボード構築で、運用チームが可視化に専念できます。
最終更新:2026-04-27 バージョン:v2.0