使用 AWS Key Management Service 客戶受管金鑰加密 QuickSight 資料

QuickSight 可讓您使用存放於其中的金鑰來加密 QuickSight 資料 AWS Key Management Service。這為您提供了稽核資料存取權並滿足法規安全性要求的工具。如果您需要這樣做，您可以選擇透過撤銷 AWS KMS 對金鑰的存取，立即鎖定對資料的存取。QuickSight 中加密資源的所有資料存取都會登入 AWS CloudTrail。管理員或稽核員可以追蹤 CloudTrail 中的資料存取權，以識別存取資料的時間和地點。

若要建立客戶受管金鑰 (CMKs)，您可以在與 Amazon QuickSight 資源相同的 AWS 帳戶和 AWS 區域中使用 AWS Key Management Service (AWS KMS)。然後，QuickSight 管理員可以使用 CMK 來加密您的 QuickSight 資料並控制存取。

您可以在 QuickSight 主控台或使用 QuickSight APIs建立和管理 CMKs。如需使用 QuickSight APIs 建立和管理 CMKs 的詳細資訊，請參閱金鑰管理操作。

下列規則適用於搭配 QuickSight 資源使用 CMKs：

• Amazon QuickSight 不支援非對稱 AWS KMS 金鑰。

• 您可以 AWS 帳戶 為每個 擁有多個 CMKs 和一個預設 CMK AWS 區域。

• 根據預設，QuickSight 資源會使用 QuickSight 原生加密策略進行加密。

• 目前由 CMK 金鑰加密的資料將保持由金鑰加密。

注意

如果您將 與 Amazon QuickSight AWS Key Management Service 搭配使用，則會向您收取存取和維護費用，如 AWS Key Management Service 定價 頁面所述。在您的帳單中，費用會逐項列在 AWS KMS 下，而不是在 QuickSight 下。

目前為預設 CMK 的金鑰會自動用來加密下列項目：

• 新的 SPICE 資料集。現有的資料集需要完全重新整理，才能由新的預設金鑰加密。

• 透過儀表板快照 API、排程報告和匯出或儀表板產生的新報告成品。

與 Amazon QuickSight 相關聯的所有非客戶受管金鑰都由 管理 AWS。

非 管理的資料庫伺服器憑證 AWS 是客戶的責任，應該由信任的 CA 簽署。如需詳細資訊，請參閱網路和資料庫組態需求。

使用以下主題，進一步了解如何搭配 Amazon QuickSight 使用 CMKs。

主題

• 將 CMK 新增至您的帳戶

• 驗證 QuickSight 使用的金鑰

• 變更預設 CMK

• 移除您 QuickSight 帳戶的 CMK 加密

• 稽核 CloudTrail 中的 CMK 用量

• 撤銷對 CMK 加密 QuickSight 資料的存取權

• 復原加密的 QuickSight 資料