驗證 QuickSight 使用的金鑰 - Amazon QuickSight

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

驗證 QuickSight 使用的金鑰

使用金鑰時,會在 AWS CloudTrail中建立稽核日誌。您可以使用日誌來追蹤金鑰的使用情況。如果您需要知道 QuickSight 資料的加密金鑰,您可以在 CloudTrail 中找到此資訊。

若要進一步了解可使用 金鑰管理哪些資料,請參閱 使用 AWS Key Management Service 客戶受管金鑰加密 QuickSight 資料

確認 SPICE 資料集目前使用的 CMK

  1. 瀏覽至 CloudTrail 日誌。如需詳細資訊,請參閱使用 記錄 QuickSight 資訊 AWS CloudTrail

  2. 使用下列搜尋引數,找到 SPICE 資料集的最近授權事件:

    • 事件名稱 (eventName) 包含 Grant

    • 請求參數 requestParameters 包含資料集的 QuickSight ARN。

    {
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "quicksight.amazonaws.com"
},
"eventTime": "2022-10-26T00:11:08Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "quicksight.amazonaws.com",
"userAgent": "quicksight.amazonaws.com",
"requestParameters": {
"constraints": {
    "encryptionContextSubset": {
        "aws:quicksight:arn": "arn:aws:quicksight:us-west-2:111122223333:dataset/12345678-1234-1234-1234-123456789012"
    }
},
"retiringPrincipal": "quicksight.amazonaws.com",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/87654321-4321-4321-4321-210987654321",
"granteePrincipal": "quicksight.amazonaws.com",
"operations": [
    "Encrypt",
    "Decrypt",
    "DescribeKey",
    "GenerateDataKey"
]
},
....
}

  3. 根據事件類型,下列其中一項適用:

    CreateGrant – 您可以在 SPICE 資料集最後一個 CreateGrant 事件的金鑰 ID (keyID) 中找到最近使用的 CMK。

    RetireGrant – 如果SPICE資料集的最新 CloudTrail 事件是 RetireGrant,則沒有金鑰 ID 且資源不再加密 CMK。

驗證產生報告成品時目前使用的 CMK

  1. 瀏覽至 CloudTrail 日誌。如需詳細資訊,請參閱使用 記錄 QuickSight 資訊 AWS CloudTrail

  2. 使用下列搜尋引數找到報告執行的最新GenerateDataKey事件:

    • 事件名稱 (eventName) 包含 GenerateDataKeyDecrypt

    • 請求參數 (requestParameters) 包含產生報告之分析或儀表板的 QuickSight ARN。

    {
    "eventVersion": "1.11",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "quicksight.amazonaws.com"
    },
    "eventTime": "2025-07-23T23:33:46Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "quicksight.amazonaws.com",
    "userAgent": "quicksight.amazonaws.com",
    "requestParameters": {
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/87654321-4321-4321-4321-210987654321",
        "keySpec": "AES_256",
        "encryptionContext": {
            "aws:quicksight:arn": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1ca456fe-eb34-4250-805c-b1b9350bd164",
            "aws:s3:arn": "arn:aws:s3:::sn-imagegen.prod.us-west-2"
        }
    },
    ...
}

  3. aws:s3:arn 是 QuickSight 擁有的 S3 儲存貯體,用於存放您的報告成品。

  4. 如果您不再看到 GenerateDataKey,則新的報告執行不會再加密 CMK。現有的報告成品將保持加密。