QuickSight で使用されるキーを検証する - Amazon QuickSight

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

QuickSight で使用されるキーを検証する

キーを使用すると、監査ログが AWS CloudTrailに作成されます。ログを使用してキーの使用状況を追跡できます。QuickSight データが暗号化されているキーを知る必要がある場合は、CloudTrail でこの情報を確認できます。

キーで管理できるデータの詳細については、「」を参照してくださいAWS Key Management Service カスタマーマネージドキーを使用した QuickSight データの暗号化

SPICE データセットで現在使用されている CMK を確認する

  1. CloudTrail ログに移動します。詳細については、「を使用した QuickSight 情報のログ記録 AWS CloudTrail」を参照してください。

  2. 以下の検索引数を使用して、SPICE データセットの最新のグラントイベントを検索します。

    • イベント名 (eventName) には Grant が含まれます。

    • リクエストパラメータ requestParameters には、データセットの QuickSight ARN が含まれています。

    {
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "quicksight.amazonaws.com"
},
"eventTime": "2022-10-26T00:11:08Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "quicksight.amazonaws.com",
"userAgent": "quicksight.amazonaws.com",
"requestParameters": {
"constraints": {
    "encryptionContextSubset": {
        "aws:quicksight:arn": "arn:aws:quicksight:us-west-2:111122223333:dataset/12345678-1234-1234-1234-123456789012"
    }
},
"retiringPrincipal": "quicksight.amazonaws.com",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/87654321-4321-4321-4321-210987654321",
"granteePrincipal": "quicksight.amazonaws.com",
"operations": [
    "Encrypt",
    "Decrypt",
    "DescribeKey",
    "GenerateDataKey"
]
},
....
}

  3. イベントタイプに応じて、次のいずれかが適用されます。

    CreateGrant — 最近使用された CMK は、SPICE データセットの最後の CreateGrant イベントのキー ID (keyID) で確認できます。

    RetireGrant – SPICEデータセットの最新の CloudTrail イベントが の場合RetireGrant、キー ID はなく、リソースは CMK 暗号化されなくなります。

レポートアーティファクトの生成時に現在使用されている CMK を検証する

  1. CloudTrail ログに移動します。詳細については、「を使用した QuickSight 情報のログ記録 AWS CloudTrail」を参照してください。

  2. 次の検索引数を使用して、レポート実行の最新のGenerateDataKeyイベントを見つけます。

    • イベント名 (eventName) には GenerateDataKeyまたは が含まれますDecrypt

    • リクエストパラメータ (requestParameters) には、レポートが生成された分析またはダッシュボードの QuickSight ARN が含まれます。

    {
    "eventVersion": "1.11",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "quicksight.amazonaws.com"
    },
    "eventTime": "2025-07-23T23:33:46Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "quicksight.amazonaws.com",
    "userAgent": "quicksight.amazonaws.com",
    "requestParameters": {
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/87654321-4321-4321-4321-210987654321",
        "keySpec": "AES_256",
        "encryptionContext": {
            "aws:quicksight:arn": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1ca456fe-eb34-4250-805c-b1b9350bd164",
            "aws:s3:arn": "arn:aws:s3:::sn-imagegen.prod.us-west-2"
        }
    },
    ...
}

  3. aws:s3:arn は、レポートアーティファクトが保存されている QuickSight 所有の S3 バケットです。

  4. が表示されなくなった場合GenerateDataKey、新しいレポート実行は CMK で暗号化されなくなります。既存のレポートアーティファクトは暗号化されたままになります。