Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Verifica la clave utilizada por QuickSight
Cuando se utiliza una clave, se crea un registro de auditoría en AWS CloudTrail. Puede usar el registro para realizar un seguimiento del uso de la clave. Si necesita saber con qué clave se cifran los QuickSight datos, puede encontrar esta información en CloudTrail.
Para obtener más información sobre qué datos se pueden gestionar con la clave, consulteCifrar sus QuickSight datos con AWS Key Management Service claves administradas por el cliente.
Comprobación de la CMK que utiliza actualmente un conjunto de datos de SPICE
-
Navegue hasta su CloudTrail registro. Para obtener más información, consulte Registrar QuickSight información con AWS CloudTrail.
-
Localice los eventos de concesión más recientes del conjunto de datos de SPICE mediante los siguientes argumentos de búsqueda:
-
El nombre del evento (
eventName) contieneGrant. -
Los parámetros de solicitud
requestParameterscontienen el QuickSight ARN del conjunto de datos.
{ "eventVersion": "1.08", "userIdentity": { "type": "AWSService", "invokedBy": "quicksight.amazonaws.com" }, "eventTime": "2022-10-26T00:11:08Z", "eventSource": "kms.amazonaws.com", "eventName": "CreateGrant", "awsRegion": "us-west-2", "sourceIPAddress": "quicksight.amazonaws.com", "userAgent": "quicksight.amazonaws.com", "requestParameters": { "constraints": { "encryptionContextSubset": { "aws:quicksight:arn": "arn:aws:quicksight:us-west-2:111122223333:dataset/12345678-1234-1234-1234-123456789012" } }, "retiringPrincipal": "quicksight.amazonaws.com", "keyId": "arn:aws:kms:us-west-2:111122223333:key/87654321-4321-4321-4321-210987654321", "granteePrincipal": "quicksight.amazonaws.com", "operations": [ "Encrypt", "Decrypt", "DescribeKey", "GenerateDataKey" ] }, .... } -
-
Según el tipo de evento, se aplica una de las siguientes condiciones:
CreateGrant: puede encontrar la CMK utilizada más recientemente en el ID de la clave (keyID) del último eventoCreateGrantdel conjunto de datos de SPICE.RetireGrant— Si es el último CloudTrail evento de los SPICE conjuntos de datosRetireGrant, no hay ningún identificador clave y el recurso ya no está cifrado con CMK.
Compruebe la CMK que se utiliza actualmente al generar los artefactos del informe
-
Navegue hasta su CloudTrail registro. Para obtener más información, consulte Registrar QuickSight información con AWS CloudTrail.
-
Localice los
GenerateDataKeyeventos más recientes para la ejecución del informe mediante los siguientes argumentos de búsqueda:-
El nombre del evento (
eventName) contieneGenerateDataKeyoDecrypt. -
Los parámetros de la solicitud (
requestParameters) contienen el QuickSight ARN del análisis o panel para el que se generó el informe.
{ "eventVersion": "1.11", "userIdentity": { "type": "AWSService", "invokedBy": "quicksight.amazonaws.com" }, "eventTime": "2025-07-23T23:33:46Z", "eventSource": "kms.amazonaws.com", "eventName": "GenerateDataKey", "awsRegion": "us-west-2", "sourceIPAddress": "quicksight.amazonaws.com", "userAgent": "quicksight.amazonaws.com", "requestParameters": { "keyId": "arn:aws:kms:us-west-2:111122223333:key/87654321-4321-4321-4321-210987654321", "keySpec": "AES_256", "encryptionContext": { "aws:quicksight:arn": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1ca456fe-eb34-4250-805c-b1b9350bd164", "aws:s3:arn": "arn:aws:s3:::sn-imagegen.prod.us-west-2" } }, ... } -
-
aws:s3:arnes el depósito QuickSight de S3 de su propiedad en el que se almacenan los artefactos del informe. -
Si ya no lo ve
GenerateDataKey, significa que las ejecuciones de nuevos informes ya no están cifradas con CMK. Los artefactos de los informes existentes permanecerán cifrados.
