Verschlüsseln Ihrer Amazon Quick Suite-Daten mit AWS Key Management Service vom Kunden verwalteten Schlüsseln - Amazon Quick Suite
Hinzufügen eines CMKÜberprüfen eines CMKÄndern des Standard-CMKEntfernen eines Schlüssels aus Ihrem KontoAudit der SchlüsselnutzungWiderrufen des Zugriffs auf ein CMKWiederherstellen verschlüsselter Daten

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verschlüsseln Ihrer Amazon Quick Suite-Daten mit AWS Key Management Service vom Kunden verwalteten Schlüsseln

Mit Amazon Quick Suite können Sie Ihre Amazon Quick Suite-Daten mit den Schlüsseln verschlüsseln, in AWS Key Management Service denen Sie sie gespeichert haben. Damit haben Sie die Möglichkeit, den Zugriff auf Daten zu prüfen und die gesetzlichen Sicherheitsanforderungen zu erfüllen. Wenn Sie dies tun müssen, haben Sie die Möglichkeit, den Zugriff auf Ihre Daten sofort zu sperren, indem Sie den Zugriff AWS KMS auf Schlüssel widerrufen. Der gesamte Datenzugriff auf verschlüsselte Ressourcen in Amazon Quick Suite ist angemeldet AWS CloudTrail. Administratoren oder Prüfer können den Datenzugriff nachverfolgen CloudTrail , um festzustellen, wann und wo auf Daten zugegriffen wurde.

Um vom Kunden verwaltete Schlüssel (CMKs) zu erstellen, verwenden Sie AWS Key Management Service (AWS KMS) in demselben AWS Konto und derselben AWS Region wie die Amazon Quick Suite-Ressource. Ein Amazon Quick Suite-Administrator kann dann ein CMK verwenden, um Ihre Amazon Quick Suite-Daten zu verschlüsseln und den Zugriff zu kontrollieren.

Sie können CMKs in der Amazon Quick Suite-Konsole oder mit der Amazon Quick Suite erstellen und verwalten APIs. Weitere Informationen zum Erstellen und Verwalten CMKs mit der Amazon Quick Suite APIs finden Sie unter Schlüsselverwaltungsvorgänge.

Die folgenden Regeln gelten für die Verwendung CMKs mit Amazon Quick Suite-Ressourcen:

  • Amazon Quick Suite unterstützt keine asymmetrischen AWS KMS Schlüssel.

  • Sie können mehrere CMKs und ein Standard-CMK pro Person AWS-Konto verwenden. AWS-Region

  • Standardmäßig werden Amazon Quick Suite-Ressourcen mit Amazon Quick Suite-systemeigenen Verschlüsselungsstrategien verschlüsselt.

  • Daten, die derzeit mit einem CMK-Schlüssel verschlüsselt sind, bleiben mit dem Schlüssel verschlüsselt.

Anmerkung

Wenn Sie Amazon Quick Suite verwenden AWS Key Management Service , werden Ihnen Zugriff und Wartung wie auf der AWS Key Management Service Preisseite beschrieben in Rechnung gestellt. In Ihrer Abrechnung sind die Kosten unter AWS KMS und nicht unter Amazon Quick Suite aufgeführt.

Anmerkung

Amazon Q-Daten werden mit einem AWS verwalteten Schlüssel verschlüsselt, nicht mit dem AWS KMS Standardschlüssel.

Der Schlüssel, der derzeit der Standard-CMK ist, wird automatisch zum Verschlüsseln der folgenden Elemente verwendet:

  • Neue SPICE-Datensätze. Bestehende Datensätze müssen vollständig aktualisiert werden, um mit dem neuen Standardschlüssel verschlüsselt zu werden.

  • Neue Berichtsartefakte, die über die Dashboard-Snapshot-API, geplante Berichte und Exporte oder Dashboards generiert werden.

Alle nicht vom Kunden verwalteten Schlüssel, die mit Amazon Quick Suite verknüpft sind, werden von AWS verwaltet.

Datenbankserverzertifikate, die nicht von verwaltet werden, AWS liegen in der Verantwortung des Kunden und sollten von einer vertrauenswürdigen Zertifizierungsstelle signiert werden. Weitere Informationen finden Sie unter Anforderungen an die Netzwerk- und Datenbankkonfiguration.

In den folgenden Themen erfahren Sie mehr über die Verwendung CMKs mit Amazon Quick Suite. Weitere Informationen zur Datenverschlüsselung in Amazon Quick Suite finden Sie unter Datenschutz in Amazon Quick Suite.

Fügen Sie Ihrem Konto ein CMK hinzu

Bevor Sie beginnen, stellen Sie sicher, dass Sie über eine IAM-Rolle verfügen, die dem Admin-Benutzer Zugriff auf die Amazon Quick Suite-Verwaltungskonsole für Administratorschlüssel gewährt. Weitere Informationen zu den erforderlichen Berechtigungen finden Sie unter Identitätsbasierte IAM-Richtlinien für Amazon Quick Suite: Verwendung der Admin-Schlüsselverwaltungskonsole.

Sie können Schlüssel, die bereits in AWS KMS Ihrem Amazon Quick Suite-Konto vorhanden sind, hinzufügen, sodass Sie Ihre Amazon Quick Suite-Daten verschlüsseln können.

Weitere Informationen darüber, wie Sie einen Schlüssel zur Verwendung in Amazon Quick Suite erstellen können, finden Sie im AWS Key Management Service Developer Guide.

Um Ihrem Amazon Quick Suite-Konto ein neues CMK hinzuzufügen.

  1. Wählen Sie auf der Startseite von Amazon Quick Suite die Option Amazon Quick Suite verwalten und dann KMS-Schlüssel aus.

  2. Wählen Sie auf der Seite mit den KMS-Schlüsseln die Option Verwalten aus. Das KMS-Schlüssel-Dashboard wird geöffnet.

  3. Wählen Sie im KMS-Schlüssel-Dashboard die Option Schlüssel auswählen aus.

  4. Wählen Sie im Popup-Fenster Schlüssel auswählen die Option Schlüssel aus, um die Liste zu öffnen. Wählen Sie dann den Schlüssel, den Sie hinzufügen möchten.

    Wenn Ihr Schlüssel nicht in der Liste enthalten ist, können Sie den ARN des Schlüssels manuell eingeben.

  5. (Optional) Wählen Sie die Option Als Standard-Verschlüsselungsschlüssel für alle neuen Daten in der aktuellen Region dieses Amazon Quick Suite-Kontos verwenden, um den ausgewählten Schlüssel als Ihren Standardschlüssel festzulegen. Neben dem Standardschlüssel wird ein Symbol angezeigt, das auf seinen Status hinweist.

    Wenn Sie einen Standardschlüssel wählen, werden alle neuen Daten, die in der Region erstellt werden, in der Ihr Amazon Quick Suite-Konto gehostet wird, mit dem Standardschlüssel verschlüsselt.

  6. (Optional) Fügen Sie weitere Schlüssel hinzu, indem Sie die vorherigen Schritte in diesem Verfahren wiederholen. Sie können zwar beliebig viele Schlüssel hinzufügen, Sie können jedoch jeweils nur einen Standardschlüssel verwenden.

Überprüfen Sie den von Amazon Quick Suite verwendeten Schlüssel

Wenn ein Schlüssel verwendet wird, wird ein Audit-Protokoll in AWS CloudTrail erstellt. Sie können das Protokoll verwenden, um die Verwendung des Schlüssels nachzuverfolgen. Wenn Sie wissen möchten, mit welchem Schlüssel die Amazon Quick Suite-Daten verschlüsselt sind, finden Sie diese Informationen unter CloudTrail.

Weitere Informationen darüber, welche Daten mit dem Schlüssel verwaltet werden können, finden Sie unter Verschlüsseln Ihrer Amazon Quick Suite-Daten mit AWS Key Management Service vom Kunden verwalteten Schlüsseln.

Überprüfen Sie den CMK, der derzeit von einem SPICE-Datensatz verwendet wird

  1. Navigieren Sie zu Ihrem CloudTrail Protokoll. Weitere Informationen finden Sie unter Protokollieren von Amazon Quick Suite-Informationen mit CloudTrail.

  2. Suchen Sie mithilfe der folgenden Suchargumente nach den neuesten Zuschussereignissen für den SPICE-Datensatz:

    • Der Name des Ereignisses (eventName) enthält Grant.

    • Die Anforderungsparameter requestParameters enthalten den Amazon Quick Suite-ARN für den Datensatz.

    {
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "quicksight.amazonaws.com"
},
"eventTime": "2022-10-26T00:11:08Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "quicksight.amazonaws.com",
"userAgent": "quicksight.amazonaws.com",
"requestParameters": {
"constraints": {
    "encryptionContextSubset": {
        "aws:quicksight:arn": "arn:aws:quicksight:us-west-2:111122223333:dataset/12345678-1234-1234-1234-123456789012"
    }
},
"retiringPrincipal": "quicksight.amazonaws.com",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/87654321-4321-4321-4321-210987654321",
"granteePrincipal": "quicksight.amazonaws.com",
"operations": [
    "Encrypt",
    "Decrypt",
    "DescribeKey",
    "GenerateDataKey"
]
},
....
}

  3. Je nach Ereignistyp gilt eine der folgenden Möglichkeiten:

    CreateGrant – Den zuletzt verwendeten CMK finden Sie in der Schlüssel-ID (keyID) für das letzte CreateGrant-Ereignis für den SPICE-Datensatz.

    RetireGrant— Wenn das letzte CloudTrail Ereignis der SPICE Datensätze eintrittRetireGrant, gibt es keine Schlüssel-ID und die Ressource ist nicht mehr CMK-verschlüsselt.

Überprüfen des CMK, der derzeit beim Generieren von Berichtsartefakten verwendet wird

  1. Navigieren Sie zu Ihrem CloudTrail Protokoll. Weitere Informationen finden Sie unter Protokollieren von Amazon Quick Sight-Informationen mit AWS CloudTrail.

  2. Suchen Sie die neuesten GenerateDataKey-Ereignisse für die Berichtsausführung anhand der folgenden Suchargumente:

    • Der Name des Ereignisses (eventName) enthält GenerateDataKey oder Decrypt.

    • Die Anforderungsparameter (requestParameters) enthalten den Amazon Quick Suite-ARN für die Analyse oder das Dashboard, für das der Bericht generiert wurde.

    {
    "eventVersion": "1.11",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "quicksight.amazonaws.com"
    },
    "eventTime": "2025-07-23T23:33:46Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "quicksight.amazonaws.com",
    "userAgent": "quicksight.amazonaws.com",
    "requestParameters": {
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/87654321-4321-4321-4321-210987654321",
        "keySpec": "AES_256",
        "encryptionContext": {
            "aws:quicksight:arn": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1ca456fe-eb34-4250-805c-b1b9350bd164",
            "aws:s3:arn": "arn:aws:s3:::sn-imagegen.prod.us-west-2"
        }
    },
    ...
}

  3. aws:s3:arnist der Amazon Quick Suite-eigene S3-Bucket, in dem Ihre Berichtsartefakte gespeichert werden.

  4. Wenn Sie den GenerateDataKey nicht mehr sehen, sind neue Berichtsausführungen nicht mehr CMK-verschlüsselt. Bestehende Berichtsartefakte bleiben verschlüsselt.

Ändern des Standard-CMK

Sie können den Standardschlüssel in einen anderen Schlüssel ändern, der bereits im KMS-Schlüssel-Dashboard vorhanden ist. Wenn Sie den Standardschlüssel ändern, werden alle neuen Amazon Quick Suite-Daten mit dem neuen Schlüssel verschlüsselt. Der neue Standardschlüssel ändert, wie neue Amazon Quick Suite-Daten verschlüsselt werden. Bestehende Amazon Quick Suite-Daten verwenden jedoch weiterhin den vorherigen Standardschlüssel.

Weitere Informationen darüber, welche Daten mit dem Schlüssel verwaltet werden können, finden Sie unter Verschlüsseln Ihrer Amazon Quick Suite-Daten mit AWS Key Management Service vom Kunden verwalteten Schlüsseln.

So ändern Sie den Standardschlüssel in einen vorhandenen Schlüssel

  1. Wählen Sie auf der Startseite von Amazon Quick Suite die Option Amazon Quick Suite verwalten und dann KMS-Schlüssel aus.

  2. Wählen Sie VERWALTEN, um das Dashboard mit den KMS-Schlüsseln zu öffnen.

  3. Navigieren Sie zu dem Schlüssel, den Sie als neuen Standardschlüssel festlegen möchten. Wählen Sie in der Zeile des Schlüssels, mit dem Sie das Menü des Schlüssels öffnen möchten, Aktionen (drei Punkte) aus.

  4. Wählen Sie Als Standard festlegen und dann Festlegen aus.

Anmerkung

Der Q-Datenschlüssel kann nicht geändert werden. Q-Daten bleiben mit dem aktuellen Standardschlüssel verschlüsselt. Falls dieser Schlüssel kompromittiert wird, können Sie den Zugriff darauf widerrufen.

Der ausgewählte Schlüssel ist jetzt Ihr Standardschlüssel.

Entfernen der CMK-Verschlüsselung auf Ihrem Amazon Quick Suite-Konto

Sie können den Standardschlüssel entfernen, um die Datenverschlüsselung in Ihrem Amazon Quick Suite-Konto zu deaktivieren. Durch das Entfernen des Schlüssels wird verhindert, dass neue Ressourcen mit einem CMK verschlüsselt werden.

Um die CMK-Verschlüsselung für neue Amazon Quick Suite-Daten zu entfernen

  1. Wählen Sie auf der Startseite von Amazon Quick Suite die Option Amazon Quick Suite verwalten und dann KMS-Schlüssel aus.

  2. Wählen Sie auf der Seite KMS-Schlüssel die Option Verwalten aus, um das KMS-Schlüssel-Dashboard zu öffnen.

  3. Wählen Sie in der Zeile mit dem Standardschlüssel Aktionen (drei Punkte) und wählen Sie dann Löschen aus.

  4. Wählen Sie im anschließend angezeigten Popup-Feld Entfernen aus.

Nachdem Sie den Standardschlüssel aus Ihrem Konto gelöscht haben, beendet Amazon Quick Suite die Verschlüsselung neuer Amazon Quick Suite-Daten. Alle vorhandenen verschlüsselten Daten bleiben verschlüsselt. Q-Daten bleiben verschlüsselt, da der Q-Datenschlüssel nicht geändert werden kann. Falls der gelöschte Schlüssel kompromittiert ist, können Sie den Zugriff darauf widerrufen.

Prüfung der CMK-Nutzung in CloudTrail

Sie können die CMK-Nutzung Ihres Kontos in AWS CloudTrailüberprüfen. Um Ihre Schlüsselnutzung zu überprüfen, melden Sie sich bei Ihrem AWS Konto an CloudTrail, öffnen Sie es und wählen Sie Eventverlauf aus.

Widerrufen des Zugriffs auf ein CMK

Sie können den Zugriff auf Ihre widerrufen. CMKs Wenn Sie den Zugriff auf einen Schlüssel widerrufen, der zur Verschlüsselung Ihrer Amazon Quick Suite-Daten verwendet wird, wird der Zugriff darauf verweigert, bis Sie den Widerruf rückgängig machen. Die folgenden Methoden sind Beispiele dafür, wie Sie den Zugriff widerrufen können:

  • Schalten Sie den Schlüssel in AWS KMS aus.

  • Fügen Sie Ihrer Amazon Quick AWS KMS Suite-Richtlinie in IAM eine Deny Richtlinie hinzu.

Weitere Informationen darüber, welche Daten mit dem Schlüssel verwaltet werden können, finden Sie unter Verschlüsseln Ihrer Amazon Quick Suite-Daten mit AWS Key Management Service vom Kunden verwalteten Schlüsseln.

Gehen Sie wie folgt vor, um den Zugriff auf Ihr CMKs Konto zu widerrufen. AWS KMS

Um einen CMK in auszuschalten AWS Key Management Service

  1. Loggen Sie sich in Ihr AWS Konto ein AWS KMS, öffnen Sie es und wählen Sie Kundenverwaltete Schlüssel aus.

  2. Wählen Sie den Schlüssel, den Sie ausschalten möchten.

  3. Öffnen Sie das Menü Schlüsselaktionen und wählen Sie Deaktivieren.

Um eine weitere Verwendung des CMK zu verhindern, könnten Sie eine Deny-Richtlinie in AWS Identity and Access Management -(IAM) hinzufügen. Verwenden Sie "Service": "quicksight.amazonaws.com" als Prinzipal und den ARN des Schlüssels als Ressource. Verweigern Sie die folgenden Aktionen: "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey".

Wichtig

Nachdem Sie den Zugriff mit einer beliebigen Methode widerrufen haben, kann es bis zu 15 Minuten dauern, bis auf die Daten nicht mehr zugegriffen werden kann.

Wiederherstellung verschlüsselter Amazon Quick Suite-Daten

Um Amazon Quick Suite-Daten wiederherzustellen, während ihr Zugriff gesperrt ist

  1. Stellen Sie den Zugriff auf das CMK wieder her. Normalerweise reicht dies aus, um die Amazon Quick Suite-Daten wiederherzustellen.

  2. Testen Sie die Amazon Quick Suite-Daten, um zu überprüfen, ob Sie sie sehen können.

  3. (Optional) Wenn die Daten nicht vollständig wiederhergestellt sind, auch wenn Sie den Zugriff auf das CMK wiederhergestellt haben, führen Sie eine vollständige Aktualisierung der Daten durch.

Weitere Informationen darüber, welche Daten mit dem Schlüssel verwaltet werden können, finden Sie unter Verschlüsseln Ihrer Amazon Quick Suite-Daten mit AWS Key Management Service vom Kunden verwalteten Schlüsseln.