キー管理 - Amazon QuickSight
AWS でのマネージドキーの使用 QuickSightカスタマーマネージドキーによる SPICE データセットの暗号化

重要:Amazon QuickSight 分析ワークスペースを再設計しました。コンソールの新しい外観を反映していないスクリーンショットや手順のテキストが表示される場合があります。 QuickSight 現在、スクリーンショットと手順のテキストを更新しています。

機能または項目を検索するには、クイック検索バーを使用します。

QuickSightの新しい外観について詳しくは、「Amazon での新しい分析機能の紹介」を参照してください QuickSight。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

キー管理

AWS でのマネージドキーの使用 QuickSight

Amazon QuickSight AWSに関連する顧客管理以外のキーはすべてによって管理されます。

AWS 管理対象外のデータベースサーバー証明書はお客様の責任であり、信頼できる CA が署名する必要があります。詳細については、「ネットワークとデータベースの設定要件」を参照してください。

Amazon SPICE のデータセットにある顧客管理キーを使用する AWS KMS QuickSight

QuickSight SPICE保存したキーを使用してデータセットを暗号化できます。 AWS Key Management Serviceこれにより、データへのアクセスを監査し、規制上のセキュリティ要件を満たすためのツールが提供されます。必要な場合は、キーへのアクセスを取り消すことで、データへのアクセスを直ちにロックダウンすることもできます。 AWS KMS QuickSight SPICE暗号化されたデータセットへのデータアクセスはすべてログインされます。 AWS CloudTrail管理者や監査人は、 CloudTrail データへのアクセスを追跡して、いつ、どこからデータにアクセスされたかを特定できます。

カスタマー管理キー (CMK) を作成するには、Amazon AWS AWS データセットと同じアカウントとリージョンで AWS Key Management Service (AWS KMS) を使用します。 QuickSight SPICEその後、 QuickSight 管理者は CMK を使用してデータセットを暗号化し、SPICEアクセスを制御できます。

SPICE データセットで CMK を使用するときには、次のルールが適用されます。

  • Amazon QuickSight AWS KMS は非対称キーをサポートしていません。

  • 1 つにつき、複数の CMK と 1 つのデフォルト CMK を設定できます。 AWS アカウント AWS リージョン

  • 現在デフォルト CMK になっているキーは、新しい SPICE データセットの暗号化に自動的に使用されます。

  • SPICECMK QuickSight 設定を適用する代わりに常にデフォルトの暗号化を使用する機能もあります。

    • Amazon S3 分析ダッシュボード

    • Amazon によるデータの拡張 SageMaker

    • ファイルの直接アップロード

    • 次の方法でデータをエクスポートします。

      • .csv、.xlsx、または.pdf ファイルへのビジュアルデータのエクスポート

      • .csv、.xlsx、または.pdf ファイル内のデータのレポート

    • ML による異常検出

    • QuickSight Q:

注記

Amazon AWS Key Management Service と併用する場合 QuickSight、AWS Key Management Service 料金ページに記載されているように、アクセスとメンテナンスの料金が請求されます。請求明細書では、 AWS KMS 費用は下ではなく下に明記されています。 QuickSight

CMK をアカウントに追加する

始める前に、管理者ユーザーに Amazon QuickSight 管理キー管理コンソールへのアクセスを許可する IAM ロールがあることを確認してください。必要なアクセス権限の詳細については、「Amazon の IAM アイデンティティベースのポリシー QuickSight:管理者キー管理コンソールの使用 」を参照してください。

AWS KMS QuickSight アカウントにすでに存在するキーを追加して、データセットを暗号化することができますSPICE。追加したキーは、SPICE で作成された新しいデータセットにのみ影響します。暗号化したい既存の SPICE データセットがある場合は、そのデータセットを完全に更新してデフォルト CMK で暗号化します。

で使用するキーを作成する方法の詳細については QuickSight、『AWS キー管理サービス開発者ガイド』を参照してください。

QuickSight アカウントに新しい CMK を追加するには。

  1. QuickSight スタートページで [管理 QuickSight] を選択し、[KMS キー] を選択します。

  2. [KMS keys] (KMS キー) ページで、[Manage] (管理) を選択します。[KMS keys] (KMS キー) ダッシュボードが開きます。

  3. [KMS Keys] (KMS キー) ダッシュボードで、[Select key] (キーを選択) を選択します。

  4. [Select key] (キーの選択) ポップアップボックスで、[Key] (キー) を選択してリストを開きます。次に、追加するキーを選択します。

    キーがリストにない場合は、キーの ARN を手動で入力できます。

  5. (オプション) SPICE QuickSight このアカウントのすべての新しいデータセットの [デフォルトの暗号化キーとして使用] を選択し、選択したキーをデフォルトキーとして設定します。デフォルトキーの横に、ステータスを示す青いバッジが表示されます。

    デフォルトキーを選択すると、SPICE QuickSight アカウントをホストするリージョンで作成された新しいデータセットはすべてデフォルトキーで暗号化されます。

  6. (オプション) この手順に記載している前の手順を繰り返して、キーをさらに追加します。キーはいくつでも追加できますが、デフォルトキーは一度に 1 つしか使用できません。

注記

既存のデータセットに特定のキーを使用するには、アカウントのデフォルトキーを新しいキーに切り替えてから、SPICE データセットを完全に更新します。

SPICE データセットが使用するキーを確認する

キーを使用すると、監査ログが AWS CloudTrailに作成されます。ログを使用してキーの使用状況を追跡できます。SPICEデータセットがどのキーで暗号化されているかを知る必要がある場合は、 CloudTrailこの情報をで確認できます。

SPICE データセットで現在使用されている CMK を確認する

  1. CloudTrail ログに移動します。詳細については、「によるロギング操作 AWS CloudTrail」を参照してください。

  2. 以下の検索引数を使用して、SPICE データセットの最新のグラントイベントを検索します。

    • イベント名 (eventName) には Grant が含まれます。

    • requestParametersリクエストパラメータには、データセットの QuickSight ARN が含まれます。

    {
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "quicksight.amazonaws.com"
    },
    "eventTime": "2022-10-26T00:11:08Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "quicksight.amazonaws.com",
    "userAgent": "quicksight.amazonaws.com",
    "requestParameters": {
        "constraints": {
            "encryptionContextSubset": {
                "aws:quicksight:arn": "arn:aws:quicksight:us-west-2:111122223333:dataset/12345678-1234-1234-1234-123456789012"
            }
        },
        "retiringPrincipal": "quicksight.amazonaws.com",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/87654321-4321-4321-4321-210987654321",
        "granteePrincipal": "quicksight.amazonaws.com",
        "operations": [
            "Encrypt",
            "Decrypt",
            "DescribeKey",
            "GenerateDataKey"
        ]
    },
....
}

  3. イベントタイプに応じて、次のいずれかが適用されます。

    CreateGrant — 最近使用された CMK は、SPICE データセットの最後の CreateGrant イベントのキー ID (keyID) で確認できます。

    RetireGrant— CloudTrail SPICE データセットの最新のイベントがの場合RetireGrant、キー ID は表示されず、SPICEデータセットは CMK で暗号化されなくなります。

デフォルトの CMK の変更

デフォルトキーを [KMS keys] (KMS キー) ダッシュボードにすでに存在する別のキーに変更できます。デフォルトキーを変更すると、SPICE で作成されたすべての新しいデータセットが新しいキーで暗号化されます。新しいデフォルトキーは、新しい SPICE データセットの暗号化方法を変更します。ただし、既存のデータセットは、データセットが完全に更新されるまで、以前のデフォルトキーを引き続き使用します。データセットを新しいデフォルトキーで暗号化するには、データセットを完全に更新します。

デフォルトキーを既存のキーに変更するには

  1. QuickSight スタートページで [管理] を選択し QuickSight、[KMS キー] を選択します。

  2. [KMS keys] (KMS キー) ページで、[MANAGE] (管理) を選択して [KMS keys] (KMS キー) ダッシュボードを開きます。

  3. 新しいデフォルトとして設定したいキーに移動します。キーのメニューを開きたいキーの行で [Actions] (アクション) (3 点リーダー) を選択します。

  4. [デフォルトとして設定] をクリックします。

    選択したキーがデフォルトキーになりました。

アカウントの CMK 暗号化を削除します。 QuickSight

デフォルトキーを削除して、SPICE QuickSight アカウントのデータセットの暗号化を無効にできます。キーを削除すると、新しいデータセットが CMK で暗号化されなくなります。

新しい SPICE データセットの CMK 暗号化を削除するには

  1. QuickSight スタートページで [Manage QuickSight] を選択し、次に [KMS Keys] を選択します。

  2. [KMS keys] (KMS キー) ページで、[Manage] (管理) を選択して [KMS keys] (KMS キー) ダッシュボードを開きます。

  3. デフォルトキーの行で [Actions] (アクション) (3 点リーダー) を選択し、[Delete] (削除) を選択します。

  4. 表示されるポップアップボックスで、[Remove] (削除する) を選択します。

アカウントからデフォルトキーを削除すると、 QuickSight SPICE新しいデータセットの暗号化を停止します。既存の暗号化されたデータセットは、完全に更新されるまで暗号化されたままになります。

の CMK の使用状況の監査 CloudTrail

アカウントの CMK の使用状況は、 AWS CloudTrailで監査できます。キーの使用状況を監査するには、 AWS アカウントにログインして開き CloudTrail、「イベント履歴」を選択します。

CMK で暗号化されたデータセットへのアクセスの取り消し

CMK で暗号化された SPICE データセットへのアクセスを取り消すことができます。データセットの暗号化に使用されるキーへのアクセスを取り消すと、取り消しを元に戻すまでデータセットへのアクセスは拒否されます。アクセスを取り消す方法の例を以下に示します。

  • AWS KMSのキーをオフにします。

  • IAM の QuickSight KMS Deny ポリシーにポリシーを追加します。

以下の手順を使用して、の CMK で暗号化されたデータセットへのアクセスを取り消します。 AWS KMS

CMK をオフにするには AWS Key Management Service

  1. AWS アカウントにログインし AWS KMS、開いて [カスタマー管理キー] を選択します。

  2. オフにするキーを選択します。

  3. [Key actions] (キーアクション) メニューを開き、[Disable] (無効) を選択します。

CMK が今後使用されないようにするには、 AWS Identity and Access Management (IAM) Deny にポリシーを追加できます。"Service": "quicksight.amazonaws.com" をプリンシパルとして使用し、キーの ARN をリソースとして使用します。次のアクションを拒否してください: "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey"

重要

いずれかの方法でアクセスを取り消した後、SPICE データセットにアクセスできなくなるまでに最大 15 分かかる場合があります。

暗号化された SPICE データセットのリカバリ

アクセスが取り消された状態で SPICE データセットを回復するには

  1. CMK へのアクセスを復元します。通常、データセットを復元するにはこれで十分です。

  2. SPICE データセットをテストして、データが表示されるかどうかを確認します。

  3. (オプション) CMK へのアクセスを回復してもデータが完全に回復しない場合は、データセットの完全更新を実行します。