確認 SPICE 資料集使用的金鑰

使用金鑰時，會在 AWS CloudTrail中建立稽核日誌。您可以使用日誌來追蹤金鑰的使用情況。如果您需要知道 SPICE 資料集使用哪個金鑰來加密，您可以在 CloudTrail 中找到此資訊。

確認 SPICE 資料集目前使用的 CMK

1. 瀏覽至 CloudTrail 日誌。如需詳細資訊，請參閱使用 記錄 QuickSight 資訊 AWS CloudTrail。

2. 使用下列搜尋引數，找到 SPICE 資料集的最近授權事件：

   • 事件名稱 (eventName) 包含 Grant。

   • 請求參數 requestParameters 包含資料集的 QuickSight ARN。

   {
   "eventVersion": "1.08",
   "userIdentity": {
   "type": "AWSService",
   "invokedBy": "quicksight.amazonaws.com"
   },
   "eventTime": "2022-10-26T00:11:08Z",
   "eventSource": "kms.amazonaws.com",
   "eventName": "CreateGrant",
   "awsRegion": "us-west-2",
   "sourceIPAddress": "quicksight.amazonaws.com",
   "userAgent": "quicksight.amazonaws.com",
   "requestParameters": {
   "constraints": {
       "encryptionContextSubset": {
           "aws:quicksight:arn": "arn:aws:quicksight:us-west-2:111122223333:dataset/12345678-1234-1234-1234-123456789012"
       }
   },
   "retiringPrincipal": "quicksight.amazonaws.com",
   "keyId": "arn:aws:kms:us-west-2:111122223333:key/87654321-4321-4321-4321-210987654321",
   "granteePrincipal": "quicksight.amazonaws.com",
   "operations": [
       "Encrypt",
       "Decrypt",
       "DescribeKey",
       "GenerateDataKey"
   ]
   },
   ....
   }

3. 根據事件類型，下列其中一項適用：

   CreateGrant – 您可以在 SPICE 資料集最後一個 CreateGrant 事件的金鑰 ID (keyID) 中找到最近使用的 CMK。

   RetireGrant – 如果SPICE資料集的最新 CloudTrail 事件是 RetireGrant，則不會有金鑰 ID，且資源不會再加密 CMK。