Cifrado de datos de QuickSight con claves administradas por el cliente de AWS Key Management Service - Amazon QuickSight

Cifrado de datos de QuickSight con claves administradas por el cliente de AWS Key Management Service

QuickSight le permite cifrar sus datos de QuickSight con las claves que ha almacenado en AWS Key Management Service. Esto le proporciona las herramientas para auditar el acceso a los datos y cumplir con los requisitos reglamentarios de seguridad. Si lo necesita, tiene la opción de bloquear inmediatamente el acceso a sus datos revocando el acceso a las claves de AWS KMS. Todos los accesos a datos en recursos cifrados de QuickSight se registran en AWS CloudTrail. Los administradores o auditores pueden rastrear el acceso a los datos en CloudTrail para identificar cuándo y dónde se accedió a los datos.

Para crear claves administradas por el cliente (CMK), utilice AWS Key Management Service (AWS KMS) en la misma cuenta de AWS y región de AWS que el recurso de Amazon QuickSight. Luego, un administrador de QuickSight puede usar una CMK para cifrar datos de QuickSight y controlar el acceso.

Puede crear y administrar CMK en la consola de QuickSight o con las API de QuickSight. Para obtener más información sobre la creación y administración de CMK con las API de QuickSight, consulte Key management operations.

Las siguientes reglas se aplican al uso de CMK con recursos de QuickSight:

  • Amazon QuickSight no admite claves de AWS KMS asimétricas.

  • Puede tener varias CMK y una CMK predeterminada por cada Cuenta de AWS por Región de AWS.

  • De forma predeterminada, los recursos de QuickSight se cifran con estrategias de cifrado nativas de QuickSight.

  • Los datos cifrados actualmente por una clave de CMK permanecerán cifrados por la clave.

nota

Si utiliza AWS Key Management Service con Amazon QuickSight, se le facturarán el acceso y el mantenimiento tal y como se describe en la página de precios de AWS Key Management Service. En su extracto bancario, los costos se detallan en AWS KMS y no en QuickSight.

La clave que actualmente es la CMK predeterminada se usa automáticamente para cifrar lo siguiente:

  • Nuevos conjuntos de datos de SPICE. Los conjuntos de datos existentes deben actualizarse por completo para poder cifrarse con la nueva clave predeterminada.

  • Los nuevos artefactos de los informes se generan a través de la API de instantáneas del panel, las exportaciones y los informes programados o los paneles.

AWS administra todas las claves no administradas por el cliente asociadas a Amazon QuickSight.

Los certificados del servidor de bases de datos no administrados por AWS son responsabilidad del cliente. Una CA de confianza debe firmarlos. Para obtener más información, consulte Requisitos de configuración de la red y de la base de datos.

Use los siguientes temas para obtener más información sobre el uso de las CMK con Amazon QuickSight.

Temas