키 관리 - 아마존 QuickSight
에서 AWS 관리형 키 사용하기 QuickSight고객 관리 키로 SPICE 데이터 세트 암호화

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

키 관리

에서 AWS 관리형 키 사용하기 QuickSight

QuickSight Amazon과 관련된 모든 비고객 관리 키는 에서 관리합니다 AWS.

에서 관리하지 않는 데이터베이스 서버 인증서는 고객의 AWS 책임이며 신뢰할 수 있는 CA에서 서명해야 합니다. 자세한 내용은 네트워크 및 데이터베이스 구성 요구 사항 단원을 참조하십시오.

Amazon 콘솔의 SPICE 데이터세트와 AWS KMS 함께 고객 관리 키 사용 QuickSight

QuickSight 저장한 키를 사용하여 SPICE 데이터 세트를 암호화할 수 있습니다. AWS Key Management Service이를 통해 데이터에 대한 액세스를 감사하고 규제 보안 요구 사항을 충족할 수 있는 도구가 제공됩니다. 필요한 경우 키에 대한 액세스를 취소하여 데이터에 대한 액세스를 즉시 잠글 수 있습니다. AWS KMS 로그인한 암호화된 데이터세트에 대한 모든 데이터 QuickSight SPICE 액세스는 로그인됩니다. AWS CloudTrail관리자 또는 감사자는 데이터 액세스를 CloudTrail 추적하여 데이터에 액세스한 시기와 위치를 식별할 수 있습니다.

고객 관리 키 (CMKs) 를 생성하려면 Amazon QuickSight SPICE 데이터세트와 동일한 AWS 계정 및 AWS 지역에서 AWS Key Management Service (AWS KMS) 를 사용합니다. 그러면 QuickSight 관리자는 a를 사용하여 SPICE 데이터세트를 암호화하고 CMK 액세스를 제어할 수 있습니다.

CMKs QuickSight 콘솔에서 또는 를 사용하여 생성하고 관리할 수 있습니다. QuickSight APIs 를 CMKs 사용하여 만들고 관리하는 방법에 대한 자세한 내용은 키 관리 작업을 참조하십시오. QuickSight APIs

SPICE데이터세트와 CMKs 함께 사용할 때는 다음 규칙이 적용됩니다.

  • QuickSight Amazon은 비대칭 키를 AWS KMS 지원하지 않습니다.

  • 기본값은 여러 개CMKs, 한 CMK 개씩 AWS 계정 설정할 수 있습니다. AWS 리전

  • 현재 CMK 기본값인 키는 새 SPICE 데이터세트를 암호화하는 데 자동으로 사용됩니다.

  • 일부 기능은 설정을 적용하는 SPICE CMK 대신 항상 QuickSight 의 기본 암호화를 사용합니다.

    • Amazon S3 분석 대시보드

    • Amazon을 통한 데이터 보강 SageMaker

    • 직접 파일 업로드

    • 다음과 같은 방법으로 데이터를 내보냅니다.

      • 시각적 데이터를.csv, .xlsx 또는.pdf 파일로 내보내기

      • .csv, .xlsx 또는.pdf 파일로 데이터를 보고합니다.

    • ML 기반 이상 탐지

    • QuickSight Q

참고

Amazon에서 QuickSight 사용하는 AWS Key Management Service 경우 AWS Key Management Service 요금 페이지에 설명된 대로 액세스 및 유지 관리 비용이 청구됩니다. 청구서에는 AWS KMS 미달과 미달 비용이 항목별로 구분되어 있습니다. QuickSight

CMK계정에 추가

시작하기 전에 관리자 사용자에게 Amazon QuickSight 관리자 키 관리 콘솔에 대한 액세스 권한을 부여하는 IAM 역할이 있는지 확인하십시오. 필요한 권한에 대한 자세한 내용은 IAMAmazon의 자격 증명 기반 정책 QuickSight: 관리자 키 관리 콘솔 사용을(를) 참조하십시오.

이미 존재하는 키를 QuickSight 계정에 AWS KMS 추가하여 SPICE 데이터세트를 암호화할 수 있습니다. 추가하는 키는 SPICE에서 생성된 새 데이터 세트에만 영향을 줍니다. 기존 SPICE 데이터세트를 암호화하려는 경우 데이터세트를 전체 새로고침하여 기본값으로 암호화하세요. CMK

에서 QuickSight 사용할 키를 만드는 방법에 대해 자세히 알아보려면 AWS 키 관리 서비스 개발자 가이드를 참조하세요.

계정에 새 CMK QuickSight 계정을 추가하려면.

  1. QuickSight 시작 페이지에서 관리를 QuickSight 선택한 다음 KMS키를 선택합니다.

    QuickSight dashboard with analysis tiles for Web, Sales Pipeline, Business Review, and People Overview.

  2. KMS키 페이지에서 관리를 선택합니다. KMS키 대시보드가 열립니다.

    QuickSight account settings page with KMS keys option highlighted and Manage button.

  3. KMS키 대시보드에서 키 선택을 선택합니다.

    KMS Keys dashboard showing no keys added, with CREATE KEY and SELECT KEY buttons.

  4. 키 선택 팝업 상자에서 를 선택하여 목록을 엽니다. 그런 다음 추가할 키를 선택합니다.

    Select key dialog box with search field and list of KMS keys to choose from.

    키가 목록에 없는 경우 키를 수동으로 입력할 수 ARN 있습니다.

  5. (선택사항) 이 QuickSight 계정의 모든 새 SPICE 데이터세트에 대해 기본 암호화 키로 사용을 선택하여 선택한 키를 기본 키로 설정합니다. 기본 키 옆에는 상태를 나타내는 파란색 배지가 나타납니다.

    기본 키를 선택하면 QuickSight 계정을 호스팅하는 지역에서 생성되는 모든 새 SPICE 데이터세트가 기본 키로 암호화됩니다.

    KMS Keys interface showing key ARN, default status, and key aliases for encryption.

  6. (선택 사항) 이 절차의 이전 단계를 반복하여 키를 더 추가합니다. 원하는 만큼 키를 추가할 수 있지만 기본 키는 한 번에 하나만 사용할 수 있습니다.

참고

기존 데이터 세트에 특정 키를 사용하려면 계정 기본 키를 새 키로 전환한 다음 SPICE 데이터 세트를 전체 새로고침하세요.

SPICE 데이터 세트에서 사용하는 키를 확인하세요.

키를 사용하면 AWS CloudTrail에서 감사 로그가 생성됩니다. 로그를 사용하여 키 사용을 추적할 수 있습니다. SPICE데이터세트가 어떤 키로 암호화되는지 알아야 하는 경우 에서 이 정보를 찾을 수 있습니다. CloudTrail

데이터세트에서 현재 사용하고 CMK 있는 정보인지 확인하세요. SPICE

  1. CloudTrail 로그로 이동하세요. 자세한 내용은 로깅 작업은 다음과 같습니다. AWS CloudTrail 단원을 참조하십시오.

  2. 다음 검색 인수를 사용하여 SPICE 데이터 세트에 대한 가장 최근의 승인 이벤트를 찾습니다.

    • 이벤트 이름(eventName)에는 Grant이(가) 포함됩니다.

    • 요청 requestParameters 매개변수에는 데이터세트에 QuickSight ARN 대한 매개변수가 포함됩니다.

    {
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "quicksight.amazonaws.com"
    },
    "eventTime": "2022-10-26T00:11:08Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "quicksight.amazonaws.com",
    "userAgent": "quicksight.amazonaws.com",
    "requestParameters": {
        "constraints": {
            "encryptionContextSubset": {
                "aws:quicksight:arn": "arn:aws:quicksight:us-west-2:111122223333:dataset/12345678-1234-1234-1234-123456789012"
            }
        },
        "retiringPrincipal": "quicksight.amazonaws.com",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/87654321-4321-4321-4321-210987654321",
        "granteePrincipal": "quicksight.amazonaws.com",
        "operations": [
            "Encrypt",
            "Decrypt",
            "DescribeKey",
            "GenerateDataKey"
        ]
    },
....
}

  3. 이벤트 유형에 따라 다음 중 하나가 적용됩니다.

    CreateGrant— SPICE 데이터세트의 마지막 CreateGrant 이벤트의 키 ID (keyID) CMK 에서 가장 최근에 사용된 항목을 찾을 수 있습니다.

    RetireGrant— SPICE 데이터세트의 최신 CloudTrail 이벤트인 경우 키 ID가 없으며 SPICE 데이터세트는 더 이상 암호화되지 않습니다. RetireGrant CMK

기본값 변경 CMK

기본 키를 키 대시보드에 이미 있는 다른 KMS키로 변경할 수 있습니다. 기본 키를 변경하면 SPICE에서 생성되는 모든 새 데이터 세트가 새 키로 암호화됩니다. 새 기본 키는 새 SPICE 데이터 세트가 암호화되는 방식을 변경합니다. 하지만 기존 데이터 세트는 데이터 세트를 완전히 새로 고칠 때까지 이전 기본 키를 계속 사용합니다. 새 기본 키로 데이터 세트를 암호화하려면 데이터 세트를 완전히 새로고침하세요.

기본 키를 기존 키로 변경하기

  1. QuickSight 시작 페이지에서 관리를 QuickSight 선택한 다음 KMS키를 선택합니다.

  2. KMS키 페이지에서 KMS키 대시보드를 MANAGE열도록 선택합니다.

  3. 새 기본값으로 설정하려는 키로 이동합니다. 키 메뉴를 열려는 키 행에서 작업(점 3개)을 선택합니다.

  4. 기본값으로 설정을 선택합니다.

    KMS Keys interface showing key ARNs, aliases, and options to create or select keys.

    이제 선택한 키가 기본 키가 됩니다.

QuickSight 계정의 CMK 암호화 제거

기본 키를 제거하여 QuickSight 계정에서 SPICE 데이터세트 암호화를 비활성화할 수 있습니다. 키를 제거하면 a에서 새 데이터세트를 암호화할 수 없습니다. CMK

새 데이터세트에 대한 CMK 암호화를 제거하려면 SPICE

  1. QuickSight 시작 페이지에서 관리를 QuickSight 선택한 다음 KMS키를 선택합니다.

  2. KMS키 페이지에서 관리를 선택하여 KMS키 대시보드를 엽니다.

  3. 기본 키 행에서 작업(점 3개)을 선택한 다음 삭제를 선택합니다.

  4. 표시되는 팝업 상자에서 제거를 선택합니다.

계정에서 기본 키를 삭제하면 새 SPICE 데이터세트 암호화가 QuickSight 중지됩니다. 기존의 암호화된 데이터 세트는 전체 새로 고침이 수행될 때까지 암호화된 상태로 유지됩니다.

에서 사용 감사 CMK CloudTrail

에서 계정 CMK 사용을 감사할 수 AWS CloudTrail있습니다. 키 사용을 감사하려면 AWS 계정에 로그인하여 열고 CloudTrail 이벤트 기록을 선택합니다.

CloudTrail event history showing KMS events with event name, time, and source details.

암호화된 데이터세트에 대한 액세스 권한 취소 CMK

암호화된 데이터세트에 대한 액세스 권한을 취소할 수 있습니다. CMK SPICE 데이터 세트를 암호화하는 데 사용된 키에 대한 액세스를 취소하면 취소를 취소할 때까지 데이터 세트에 대한 액세스가 거부됩니다. 액세스 권한을 취소하는 방법의 예는 다음과 같습니다.

  • AWS KMS에서 키를 끄십시오.

  • 에서 Deny 정책에 정책을 추가하세요. QuickSight KMS IAM

에서 CMK 암호화된 데이터세트에 대한 액세스를 취소하려면 다음 절차를 따르세요. AWS KMS

로그인 기능을 끄려면 CMK AWS Key Management Service

  1. AWS 계정에 로그인하고 열고 AWS KMS고객 관리 키를 선택합니다.

  2. 끄고 싶은 키를 선택합니다.

  3. 키 작업 메뉴를 열고 비활성화를 선택합니다.

AWS KMS console showing 고객 관리형 키 with options to enable, disable, or delete.

를 더 이상 사용하지 않도록 CMK 하려면 AWS Identity and Access Management (IAM) 에 Deny 정책을 추가할 수 있습니다. 보안 "Service": "quicksight.amazonaws.com" 주체로 사용하고 키를 리소스로 사용합니다. ARN 다음 작업을 거부하십시오. "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey"

중요

어떤 방법으로든 액세스를 취소한 후 SPICE 데이터 세트에 액세스할 수 없게 되기까지 최대 15분이 걸릴 수 있습니다.

암호화된 SPICE 데이터 세트 복구

액세스가 취소된 상태에서 SPICE 데이터 세트 복구하기

  1. 에 대한 액세스를 복원하십시오CMK. 일반적으로 이 정도면 데이터 세트를 복구하기에 충분합니다.

  2. SPICE 데이터 세트를 테스트하여 데이터를 볼 수 있는지 확인하십시오.

  3. (선택 사항) 에 대한 액세스를 복원한 후에도 데이터가 완전히 복구되지 않으면 데이터세트를 완전히 새로 고치세요. CMK