金鑰管理 - Amazon QuickSight
使用 AWS 受管理的金鑰 QuickSight使用客戶受管金鑰加密 SPICE 資料集

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

金鑰管理

使用 AWS 受管理的金鑰 QuickSight

與 Amazon 相關聯的所有非客戶受管金鑰 QuickSight 均由 AWS管理。

不受管理的資料庫伺服器憑證 AWS 是客戶的責任,且應由受信任的 CA 簽署。如需詳細資訊,請參閱 網路和資料庫組態需求

使用來自 Amazon QuickSight 主控 AWS KMS 台中的SPICE資料集的客戶管理金鑰

QuickSight 可讓您使用儲存在的金鑰來加密SPICE資料集 AWS Key Management Service。這為您提供了稽核資料存取權並滿足法規安全性要求的工具。如果您需要這樣做,您可以選擇透過撤銷 AWS KMS 金鑰存取權限來立即鎖定對資料的存取權。加密資料集的所有資料存取 QuickSight SPICE都會登入 AWS CloudTrail。管理員或稽核人員可以追蹤中 CloudTrail 的資料存取,以識別何時何地存取資料。

若要建立客戶管理金鑰 (CMK),請在與 Amazon QuickSight SPICE 資料集相同的 AWS 帳戶和 AWS 區域中使用 AWS Key Management Service (AWS KMS)。然後, QuickSight 系統管理員可以使用 CMK 來加密SPICE資料集並控制存取權限。

您可以在 QuickSight 主控台或使用 QuickSight API 建立和管理 CMK。如需使用 QuickSight API 建立及管理 CMK 的詳細資訊,請參閱金鑰管理作業

搭配使用 CMK 與 SPICE 資料集時,會套用以下規則:

  • Amazon QuickSight 不支持非對稱 AWS KMS 密鑰。

  • 每 AWS 帳戶 個 CMK 可以有多個 CMK 和一個預設 CMK。 AWS 區域

  • 目前預設 CMK 的金鑰會自動用來加密新的 SPICE 資料集。

  • 某些功能始終使用 QuickSight的默認加密,而不是應用 SPICE CMK 設置:

    • Amazon S3 分析儀表板

    • 使用 Amazon 擴大數據 SageMaker

    • 直接上傳檔案

    • 使用下列方法來匯出資料:

      • 將視覺化資料匯出至 .csv、.xlsx 或 .pdf 檔案

      • 以 .csv、.xlsx 或 .pdf 檔案格式報告資料

    • 採 ML 技術的異常偵測

    • QuickSight Q

注意

如果您 AWS Key Management Service 透過 Amazon 使用 QuickSight,則需按照AWS Key Management Service 定價頁面中所述向您收取存取和維護費用。在您的帳單中,費用會逐項列在下方, AWS KMS 而不是在下方 QuickSight。

將 CMK 新增至您的帳戶

在開始之前,請確定您具有可授與管理員使用者存取 Amazon 管理金鑰 QuickSight 管理主控台的 IAM 角色。如需所需許可的詳細資訊,請參閱 Amazon 的 IAM 身分型政策 QuickSight:使用管理金鑰管理主控台

您可以在 QuickSight 帳戶中新增已 AWS KMS 存在的金鑰,以便加密資SPICE料集。您新增的金鑰只會影響在 SPICE 中建立的新資料集。如果您有要加密的現有 SPICE 資料集,請對資料集執行完整重新整理,以使用預設 CMK 進行加密。

若要深入瞭解如何建立要在中使用的金鑰 QuickSight,請參閱AWS 金鑰管理服務開發人員指南

將新的 CMK 添加到您的 QuickSight 帳戶。

  1. 在 QuickSight 開始頁面上,選擇 [管理] QuickSight,然後選擇 [KMS 金鑰]。

  2. KMS 金鑰 頁面上,選擇管理。隨即便會開啟 KMS 金鑰儀表板。

  3. KMS 金鑰儀表板上,選擇選取金鑰

  4. 選取金鑰快顯方塊中,選擇金鑰以開啟清單。然後,選取您要新增的金鑰。

    如果您的金鑰不在清單中,您可以手動輸入金鑰的 ARN。

  5. (選擇性) 選取使用此 QuickSight 帳戶中所有新SPICE資料集的預設加密金鑰,將選取的金鑰設定為預設金鑰。預設金鑰旁會顯示一個藍色徽章,可表示其狀態。

    當您選擇預設金鑰時,在託管您 QuickSight 帳戶的區域中建立的所有新SPICE資料集都會使用預設金鑰加密。

  6. (選用) 透過重複此程序中先前的步驟,新增更多金鑰。雖然您可以新增任意數量的金鑰,但一次只能設定一個預設金鑰。

注意

若要針對現有資料集使用特定金鑰,請將帳戶預設金鑰切換為新金鑰,然後對 SPICE 資料集執行完整重新整理。

確認 SPICE 資料集使用的金鑰

使用金鑰時,會在 AWS CloudTrail中建立稽核日誌。您可以使用日誌來追蹤金鑰的使用情況。如果您需要知道資SPICE料集使用哪個金鑰加密,您可以在中找到此資訊 CloudTrail。

確認 SPICE 資料集目前使用的 CMK

  1. 導航到您的 CloudTrail 日誌。如需詳細資訊,請參閱 記錄作業 AWS CloudTrail

  2. 使用下列搜尋引數,找到 SPICE 資料集的最近授權事件:

    • 事件名稱 (eventName) 包含 Grant

    • 要求參數requestParameters包含資料集的 QuickSight ARN。

    {
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "quicksight.amazonaws.com"
    },
    "eventTime": "2022-10-26T00:11:08Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "quicksight.amazonaws.com",
    "userAgent": "quicksight.amazonaws.com",
    "requestParameters": {
        "constraints": {
            "encryptionContextSubset": {
                "aws:quicksight:arn": "arn:aws:quicksight:us-west-2:111122223333:dataset/12345678-1234-1234-1234-123456789012"
            }
        },
        "retiringPrincipal": "quicksight.amazonaws.com",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/87654321-4321-4321-4321-210987654321",
        "granteePrincipal": "quicksight.amazonaws.com",
        "operations": [
            "Encrypt",
            "Decrypt",
            "DescribeKey",
            "GenerateDataKey"
        ]
    },
....
}

  3. 根據事件類型,下列其中一項適用:

    CreateGrant – 您可以在 SPICE 資料集最後一個 CreateGrant 事件的金鑰 ID (keyID) 中找到最近使用的 CMK。

    RetireGrant— 如果SPICE資料集的最新 CloudTrail 事件是RetireGrant,則沒有金鑰 ID,且資SPICE料集不再是 CMK 加密。

變更預設 CMK

您可以將預設金鑰變更為 KMS 金鑰儀表板中已存在的另一個金鑰。當您變更預設金鑰時,在 SPICE 中建立的所有新的資料集都會使用新金鑰進行加密。新的預設金鑰會變更新的 SPICE 資料集的加密方式。不過,現有的資料集會繼續使用先前的預設金鑰,直到資料集完全重新整理為止。若要使用新的預設金鑰加密資料集,請對資料集執行完整重新整理。

將預設金鑰變更為現有的金鑰

  1. 在 QuickSight 開始頁面上,選擇 [管理] QuickSight,然後選擇 [KMS 金鑰]。

  2. KMS 金鑰頁面上,選擇管理,以開啟 KMS 金鑰儀表板。

  3. 瀏覽至您要設定為新預設值的金鑰。在您要開啟金鑰的選單的金鑰列上選擇動作 (三個點)。

  4. 選擇設定為預設值

    選取的金鑰現在就是您的預設金鑰。

移除帳戶上的 QuickSight CMK 加密

您可以移除預設金鑰,以停用 QuickSight 帳戶中的SPICE資料集加密功能。移除金鑰可防止新資料集在 CMK 上加密。

移除新的 SPICE 資料集的 CMK 加密

  1. 在 QuickSight 開始頁面上,選擇 [管理] QuickSight,然後選擇 [KMS 金鑰]。

  2. KMS 金鑰頁面上,選擇管理,以開啟 KMS 金鑰儀表板。

  3. 選擇預設金鑰列上的動作 (三個點),然後選擇刪除

  4. 在出現的快顯方塊中,選擇移除

從帳戶中刪除預設金鑰後, QuickSight 會停止加密新SPICE資料集。任何現有的加密資料集都會保持加密狀態,直至執行完整重新整理。

稽核 CMK 使用狀況 CloudTrail

您可以稽核 AWS CloudTrail中帳戶的 CMK 用量。要審核您的密鑰使用情況,請登錄到您的 AWS 帳戶 CloudTrail,打開並選擇事件歷史記錄。

撤銷對 CMK 加密資料集的存取權

您可以撤銷對 CMK 加密 SPICE 資料集的存取權。當您撤銷對用來加密資料集之金鑰的存取權時,系統會拒絕資料集的存取權,直到您還原撤銷為止。以下是如何撤銷存取權的方法範例:

  • 關閉 AWS KMS中的金鑰。

  • 在 IAM 中將Deny政策新增至您的 QuickSight KMS 政策。

使用下列程序來撤銷中 CMK 加密資料集的存取權。 AWS KMS

若要在中關閉 CMK 的步驟 AWS Key Management Service

  1. 登入您的 AWS 帳戶,開啟 AWS KMS,然後選擇「客戶管理金鑰」。

  2. 選取您要關閉的金鑰。

  3. 開啟金鑰動作選單,並選擇停用

若要避免進一步使用 CMK,您可以在 AWS Identity and Access Management (IAM) 中新增Deny政策。使用 "Service": "quicksight.amazonaws.com" 作為主體,並使用金鑰的 ARN 作為資源。拒絕下列動作:"kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey"

重要

使用任何方法撤銷存取權後,則可能需要長達 15 分鐘的時間才無法再存取 SPICE 資料集。

復原加密的 SPICE 資料集

若要在 SPICE 資料集存取權被撤銷時復原資料集

  1. 還原對 CMK 的存取權。通常,這足以用來恢復資料集。

  2. 測試 SPICE 資料集,看看是否可以查看資料。

  3. (選用) 如果資料未完全復原,即使在您還原其對 CMK 的存取權之後,也請對資料集執行完整重新整理。