Verificación de la clave utilizada por QuickSight
Cuando se utiliza una clave, se crea un registro de auditoría en AWS CloudTrail. Puede usar el registro para realizar un seguimiento del uso de la clave. Si necesita saber con qué clave se cifran los datos de QuickSight, puede encontrar esta información en CloudTrail.
Para obtener más información sobre qué datos se pueden administrar con la clave, consulte Cifrado de datos de QuickSight con claves administradas por el cliente de AWS Key Management Service.
Comprobación de la CMK que utiliza actualmente un conjunto de datos de SPICE
-
Vaya hasta su registro de CloudTrail. Para obtener más información, consulte Registro de información de QuickSight con AWS CloudTrail.
-
Localice los eventos de concesión más recientes del conjunto de datos de SPICE mediante los siguientes argumentos de búsqueda:
-
El nombre del evento (
eventName) contieneGrant. -
Los parámetros de la solicitud
requestParameterscontienen el ARN de QuickSight del conjunto de datos.
{ "eventVersion": "1.08", "userIdentity": { "type": "AWSService", "invokedBy": "quicksight.amazonaws.com" }, "eventTime": "2022-10-26T00:11:08Z", "eventSource": "kms.amazonaws.com", "eventName": "CreateGrant", "awsRegion": "us-west-2", "sourceIPAddress": "quicksight.amazonaws.com", "userAgent": "quicksight.amazonaws.com", "requestParameters": { "constraints": { "encryptionContextSubset": { "aws:quicksight:arn": "arn:aws:quicksight:us-west-2:111122223333:dataset/12345678-1234-1234-1234-123456789012" } }, "retiringPrincipal": "quicksight.amazonaws.com", "keyId": "arn:aws:kms:us-west-2:111122223333:key/87654321-4321-4321-4321-210987654321", "granteePrincipal": "quicksight.amazonaws.com", "operations": [ "Encrypt", "Decrypt", "DescribeKey", "GenerateDataKey" ] }, .... } -
-
Según el tipo de evento, se aplica una de las siguientes condiciones:
CreateGrant: puede encontrar la CMK utilizada más recientemente en el ID de la clave (keyID) del último eventoCreateGrantdel conjunto de datos de SPICE.RetireGrant: si el último evento de CloudTrail de los conjuntos de datos de SPICE esRetireGrant, no hay ningún ID de clave y el recurso ya no está cifrado con CMK.
Verificación de la CMK que se utiliza actualmente al generar artefactos de informes
-
Vaya hasta su registro de CloudTrail. Para obtener más información, consulte Registro de información de QuickSight con AWS CloudTrail.
-
Localice los eventos
GenerateDataKeymás recientes de la ejecución del informe mediante los siguientes argumentos de búsqueda:-
El nombre del evento (
eventName) contieneGenerateDataKeyoDecrypt. -
Los parámetros de la solicitud (
requestParameters) contienen el ARN de QuickSight del análisis o el panel para el que se generó el informe.
{ "eventVersion": "1.11", "userIdentity": { "type": "AWSService", "invokedBy": "quicksight.amazonaws.com" }, "eventTime": "2025-07-23T23:33:46Z", "eventSource": "kms.amazonaws.com", "eventName": "GenerateDataKey", "awsRegion": "us-west-2", "sourceIPAddress": "quicksight.amazonaws.com", "userAgent": "quicksight.amazonaws.com", "requestParameters": { "keyId": "arn:aws:kms:us-west-2:111122223333:key/87654321-4321-4321-4321-210987654321", "keySpec": "AES_256", "encryptionContext": { "aws:quicksight:arn": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1ca456fe-eb34-4250-805c-b1b9350bd164", "aws:s3:arn": "arn:aws:s3:::sn-imagegen.prod.us-west-2" } }, ... } -
-
aws:s3:arnes el bucket de S3 que es propiedad de QuickSight donde se almacenan los artefactos de informes. -
Si ya no ve
GenerateDataKey, significa que las nuevas ejecuciones de informes ya no están cifradas con CMK. Los artefactos de los informes existentes permanecerán cifrados.
