验证使用的密钥 QuickSight - Amazon QuickSight

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

验证使用的密钥 QuickSight

使用密钥时,将在 AWS CloudTrail中创建审计日志。您可以使用日志来跟踪密钥的使用情况。如果您需要知道 QuickSight 数据是用哪个密钥加密的,可以在中找到这些信息 CloudTrail。

要详细了解可以使用密钥管理哪些数据,请参阅使用 AWS Key Management Service 客户管理的密钥加密您的 QuickSight 数据

验证 SPICE 数据集当前使用的 CMK

  1. 导航到您的 CloudTrail 日志。有关更多信息,请参阅 使用记录 QuickSight 信息 AWS CloudTrail

  2. 使用以下搜索参数查找 SPICE 数据集的最新授权事件:

    • 事件名称 (eventName) 包含 Grant

    • 请求参数requestParameters包含数据 QuickSight 集的 ARN。

    {
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "quicksight.amazonaws.com"
},
"eventTime": "2022-10-26T00:11:08Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "quicksight.amazonaws.com",
"userAgent": "quicksight.amazonaws.com",
"requestParameters": {
"constraints": {
    "encryptionContextSubset": {
        "aws:quicksight:arn": "arn:aws:quicksight:us-west-2:111122223333:dataset/12345678-1234-1234-1234-123456789012"
    }
},
"retiringPrincipal": "quicksight.amazonaws.com",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/87654321-4321-4321-4321-210987654321",
"granteePrincipal": "quicksight.amazonaws.com",
"operations": [
    "Encrypt",
    "Decrypt",
    "DescribeKey",
    "GenerateDataKey"
]
},
....
}

  3. 根据不同的事件类型,适用以下情况之一:

    CreateGrant – 您可以在 SPICE 数据集最后一个 CreateGrant 事件的密钥 ID (keyID) 中找到最近使用的 CMK。

    RetireGrant— 如果SPICE数据集的最新 CloudTrail 事件是RetireGrant,则没有密钥 ID,资源不再加密 CMK。

验证生成报告构件时当前使用的 CMK

  1. 导航到您的 CloudTrail 日志。有关更多信息,请参阅 使用记录 QuickSight 信息 AWS CloudTrail

  2. 使用以下搜索参数查找最近执行报告GenerateDataKey的事件:

    • 事件名称 (eventName) 包含GenerateDataKeyDecrypt

    • 请求参数 (requestParameters) 包含为其生成报告的分析或控制面板的 QuickSight ARN。

    {
    "eventVersion": "1.11",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "quicksight.amazonaws.com"
    },
    "eventTime": "2025-07-23T23:33:46Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "quicksight.amazonaws.com",
    "userAgent": "quicksight.amazonaws.com",
    "requestParameters": {
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/87654321-4321-4321-4321-210987654321",
        "keySpec": "AES_256",
        "encryptionContext": {
            "aws:quicksight:arn": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1ca456fe-eb34-4250-805c-b1b9350bd164",
            "aws:s3:arn": "arn:aws:s3:::sn-imagegen.prod.us-west-2"
        }
    },
    ...
}

  3. aws:s3:arn是存储您的报告对象的 QuickSight 自有的 S3 存储桶。

  4. 如果您不再看到GenerateDataKey,则新的报告执行将不再加密 CMK。现有报告构件将保持加密状态。