Verifica la chiave utilizzata da QuickSight

Quando viene utilizzata una chiave, viene creato un log di controllo in AWS CloudTrail. È possibile utilizzare il log per tenere traccia dell'utilizzo della chiave. Se hai bisogno di sapere con quale chiave vengono crittografati i QuickSight dati, puoi trovare queste informazioni in CloudTrail.

Per ulteriori informazioni su quali dati possono essere gestiti con la chiave, consultaCrittografia dei dati con chiavi gestite dal cliente QuickSight AWS Key Management Service.

Verifica della CMK correntemente utilizzata da un set di dati SPICE

Accedi al tuo CloudTrail registro. Per ulteriori informazioni, consulta Registrazione delle QuickSight informazioni con AWS CloudTrail.

Individua gli eventi di concessione più recenti per il set di dati SPICE, utilizzando i seguenti argomenti di ricerca:

Il nome dell'evento (eventName) contiene Grant.
I parametri della richiesta requestParameters contengono l' QuickSight ARN per il set di dati.


{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "quicksight.amazonaws.com"
},
"eventTime": "2022-10-26T00:11:08Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "quicksight.amazonaws.com",
"userAgent": "quicksight.amazonaws.com",
"requestParameters": {
"constraints": {
    "encryptionContextSubset": {
        "aws:quicksight:arn": "arn:aws:quicksight:us-west-2:111122223333:dataset/12345678-1234-1234-1234-123456789012"
    }
},
"retiringPrincipal": "quicksight.amazonaws.com",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/87654321-4321-4321-4321-210987654321",
"granteePrincipal": "quicksight.amazonaws.com",
"operations": [
    "Encrypt",
    "Decrypt",
    "DescribeKey",
    "GenerateDataKey"
]
},
....
}

A seconda del tipo di evento, si applica una delle seguenti condizioni:

CreateGrant: è possibile trovare la CMK utilizzata più di recente nell'ID chiave (keyID) per l'ultimo evento CreateGrant per il set di dati SPICE.

RetireGrant— Se l'ultimo CloudTrail evento dei SPICE set di dati èRetireGrant, non esiste un ID chiave e la risorsa non è più crittografata in CMK.

Verifica la CMK attualmente utilizzata per generare gli artefatti del report

Accedi al tuo registro. CloudTrail Per ulteriori informazioni, consulta Registrazione delle QuickSight informazioni con AWS CloudTrail.

Individua gli GenerateDataKey eventi più recenti per l'esecuzione del report, utilizzando i seguenti argomenti di ricerca:

Il nome dell'evento (eventName) contiene GenerateDataKey oDecrypt.
I parametri della richiesta (requestParameters) contengono l' QuickSightARN per l'analisi o il dashboard per cui è stato generato il report.


{
    "eventVersion": "1.11",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "quicksight.amazonaws.com"
    },
    "eventTime": "2025-07-23T23:33:46Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "quicksight.amazonaws.com",
    "userAgent": "quicksight.amazonaws.com",
    "requestParameters": {
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/87654321-4321-4321-4321-210987654321",
        "keySpec": "AES_256",
        "encryptionContext": {
            "aws:quicksight:arn": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1ca456fe-eb34-4250-805c-b1b9350bd164",
            "aws:s3:arn": "arn:aws:s3:::sn-imagegen.prod.us-west-2"
        }
    },
    ...
}

aws:s3:arnè il bucket S3 QuickSight di proprietà in cui sono archiviati gli elementi del report.
Se non lo vedi piùGenerateDataKey, significa che le nuove esecuzioni di report non sono più crittografate in CMK. Gli elementi del report esistenti rimarranno crittografati.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Aggiungi un CMK

Modifica della CMK predefinita