Überprüfen Sie den Schlüssel, der verwendet wird von QuickSight - Amazon QuickSight

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Überprüfen Sie den Schlüssel, der verwendet wird von QuickSight

Wenn ein Schlüssel verwendet wird, wird ein Audit-Protokoll in AWS CloudTrail erstellt. Sie können das Protokoll verwenden, um die Verwendung des Schlüssels nachzuverfolgen. Wenn Sie wissen möchten, mit welchem Schlüssel die QuickSight Daten verschlüsselt sind, finden Sie diese Informationen unter CloudTrail.

Weitere Informationen darüber, welche Daten mit dem Schlüssel verwaltet werden können, finden Sie unterVerschlüsseln Sie Ihre QuickSight Daten mit AWS Key Management Service vom Kunden verwalteten Schlüsseln.

Überprüfen Sie den CMK, der derzeit von einem SPICE-Datensatz verwendet wird

  1. Navigieren Sie zu Ihrem CloudTrail Protokoll. Weitere Informationen finden Sie unter QuickSight Informationen protokollieren mit AWS CloudTrail.

  2. Suchen Sie mithilfe der folgenden Suchargumente nach den neuesten Zuschussereignissen für den SPICE-Datensatz:

    • Der Name des Ereignisses (eventName) enthält Grant.

    • Die Anforderungsparameter requestParameters enthalten den QuickSight ARN für den Datensatz.

    {
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "quicksight.amazonaws.com"
},
"eventTime": "2022-10-26T00:11:08Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "quicksight.amazonaws.com",
"userAgent": "quicksight.amazonaws.com",
"requestParameters": {
"constraints": {
    "encryptionContextSubset": {
        "aws:quicksight:arn": "arn:aws:quicksight:us-west-2:111122223333:dataset/12345678-1234-1234-1234-123456789012"
    }
},
"retiringPrincipal": "quicksight.amazonaws.com",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/87654321-4321-4321-4321-210987654321",
"granteePrincipal": "quicksight.amazonaws.com",
"operations": [
    "Encrypt",
    "Decrypt",
    "DescribeKey",
    "GenerateDataKey"
]
},
....
}

  3. Je nach Ereignistyp gilt eine der folgenden Möglichkeiten:

    CreateGrant – Den zuletzt verwendeten CMK finden Sie in der Schlüssel-ID (keyID) für das letzte CreateGrant-Ereignis für den SPICE-Datensatz.

    RetireGrant— Wenn das letzte CloudTrail Ereignis der SPICE Datensätze lautetRetireGrant, gibt es keine Schlüssel-ID und die Ressource ist nicht mehr CMK-verschlüsselt.

Überprüfen Sie den CMK, der derzeit beim Generieren von Berichtsartefakten verwendet wird

  1. Navigieren Sie zu Ihrem CloudTrail Protokoll. Weitere Informationen finden Sie unter QuickSight Informationen protokollieren mit AWS CloudTrail.

  2. Suchen Sie mithilfe der folgenden Suchargumente nach den neuesten GenerateDataKey Ereignissen für die Berichtsausführung:

    • Der Ereignisname (eventName) enthält GenerateDataKey oderDecrypt.

    • Die Anforderungsparameter (requestParameters) enthalten den QuickSight ARN für die Analyse oder das Dashboard, für das der Bericht generiert wurde.

    {
    "eventVersion": "1.11",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "quicksight.amazonaws.com"
    },
    "eventTime": "2025-07-23T23:33:46Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "quicksight.amazonaws.com",
    "userAgent": "quicksight.amazonaws.com",
    "requestParameters": {
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/87654321-4321-4321-4321-210987654321",
        "keySpec": "AES_256",
        "encryptionContext": {
            "aws:quicksight:arn": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1ca456fe-eb34-4250-805c-b1b9350bd164",
            "aws:s3:arn": "arn:aws:s3:::sn-imagegen.prod.us-west-2"
        }
    },
    ...
}

  3. aws:s3:arnist der QuickSight eigene S3-Bucket, in dem Ihre Berichtsartefakte gespeichert sind.

  4. Wenn Sie nichts mehr sehenGenerateDataKey, sind neue Berichtsausführungen nicht mehr CMK-verschlüsselt. Bestehende Berichtsartefakte bleiben verschlüsselt.