Cifrar los datos de Amazon Quick Suite con claves gestionadas por el AWS Key Management Service cliente - Amazon Quick Suite
Incorporación de CMKVerificación de CMKCambio de la CMK predeterminadaEliminación de una clave de su cuentaAuditoría del uso de clavesRevocar el acceso a una CMKRecuperación de datos cifrados

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cifrar los datos de Amazon Quick Suite con claves gestionadas por el AWS Key Management Service cliente

Amazon Quick Suite le permite cifrar los datos de Amazon Quick Suite con las claves que ha almacenado AWS Key Management Service. Esto le proporciona las herramientas para auditar el acceso a los datos y cumplir con los requisitos reglamentarios de seguridad. Si lo necesita, tiene la opción de bloquear inmediatamente el acceso a sus datos revocando el acceso a AWS KMS las claves. Todos los datos de acceso a los recursos cifrados en Amazon Quick Suite están registrados AWS CloudTrail. Los administradores o auditores pueden rastrear el acceso a los datos CloudTrail para identificar cuándo y dónde se accedió a los datos.

Para crear claves administradas por el cliente (CMKs), usa AWS Key Management Service (AWS KMS) en la misma AWS cuenta y AWS región que el recurso Amazon Quick Suite. A continuación, un administrador de Amazon Quick Suite puede utilizar una CMK para cifrar los datos de Amazon Quick Suite y controlar el acceso.

Puede crear y gestionar CMKs en la consola Amazon Quick Suite o con Amazon Quick Suite APIs. Para obtener más información sobre la creación y la administración CMKs con Amazon Quick Suite APIs, consulte Operaciones de administración clave.

Las siguientes reglas se aplican al uso CMKs con los recursos de Amazon Quick Suite:

  • Amazon Quick Suite no admite AWS KMS claves asimétricas.

  • Puede tener varios CMK CMKs y uno predeterminado por cada Cuenta de AWS uno. Región de AWS

  • De forma predeterminada, los recursos de Amazon Quick Suite se cifran con las estrategias de cifrado nativas de Amazon Quick Suite.

  • Los datos cifrados actualmente por una clave de CMK permanecerán cifrados por la clave.

nota

Si lo utilizas AWS Key Management Service con Amazon Quick Suite, se te facturarán los gastos de acceso y mantenimiento tal y como se describe en la página de AWS Key Management Service precios. En tu estado de cuenta, los costes se detallan en Amazon Quick AWS KMS Suite y no en Amazon.

nota

Los datos de Amazon Q se cifran mediante una clave AWS gestionada, no con la AWS KMS clave predeterminada.

La clave que actualmente es la CMK predeterminada se usa automáticamente para cifrar lo siguiente:

  • Nuevos conjuntos de datos de SPICE. Los conjuntos de datos existentes deben actualizarse por completo para poder cifrarse con la nueva clave predeterminada.

  • Los nuevos artefactos de los informes se generan a través de la API de instantáneas del panel, las exportaciones y los informes programados o los paneles.

Todas las claves no gestionadas por el cliente asociadas a Amazon Quick Suite son gestionadas por AWS.

Los certificados del servidor de bases de datos que no AWS estén gestionados por él son responsabilidad del cliente y deben estar firmados por una CA de confianza. Para obtener más información, consulte Requisitos de configuración de redes y bases de datos.

Utilice los siguientes temas para obtener más información sobre el uso CMKs de Amazon Quick Suite. Para obtener más información sobre el cifrado de datos en Amazon Quick Suite, consulte Protección de datos en Amazon Quick Suite.

Adición de una CMK a su cuenta

Antes de empezar, asegúrese de tener un rol de IAM que conceda al usuario administrador acceso a la consola de administración de claves de administración de Amazon Quick Suite. Para obtener más información sobre los permisos necesarios, consulte Políticas de IAM basadas en la identidad para Amazon Quick Suite: uso de la consola de administración de claves de administración.

Puede añadir claves que ya existan en AWS KMS su cuenta de Amazon Quick Suite para cifrar sus datos de Amazon Quick Suite.

Para obtener más información sobre cómo crear una clave para utilizarla en Amazon Quick Suite, consulte la Guía para desarrolladores de AWS Key Management Service.

Para añadir una nueva CMK a tu cuenta de Amazon Quick Suite.

  1. En la página de inicio de Amazon Quick Suite, selecciona Administrar Amazon Quick Suite y, a continuación, selecciona Claves KMS.

  2. En la página Claves de KMS, seleccione Administrar. Se abre el panel de Claves de KMS.

  3. En el panel de Claves de KMS, elija Seleccionar clave.

  4. En el cuadro emergente Seleccionar clave, elija Clave para abrir la lista. A continuación, elija el elemento que desee agregar.

    Si su clave no está en la lista, puede introducir manualmente el ARN de la clave.

  5. (Opcional) Seleccione Usar como clave de cifrado predeterminada para todos los datos nuevos de la región actual de esta cuenta de Amazon Quick Suite para establecer la clave seleccionada como clave predeterminada. Aparece una insignia junto a la clave predeterminada para indicar su estado.

    Al elegir una clave predeterminada, todos los datos nuevos que se creen en la región que aloja su cuenta de Amazon Quick Suite se cifran con la clave predeterminada.

  6. (Opcional) Agregue más claves repitiendo los pasos anteriores de este procedimiento. Si bien puede agregar tantas claves como desee, solo puede tener una clave predeterminada a la vez.

Verificar la clave utilizada por Amazon Quick Suite

Cuando se utiliza una clave, se crea un registro de auditoría en AWS CloudTrail. Puede usar el registro para realizar un seguimiento del uso de la clave. Si necesita saber con qué clave se cifran los datos de Amazon Quick Suite, puede encontrar esta información en CloudTrail.

Para obtener más información sobre qué datos se pueden administrar con la clave, consulte Cifrar los datos de Amazon Quick Suite con claves gestionadas por el AWS Key Management Service cliente.

Comprobación de la CMK que utiliza actualmente un conjunto de datos de SPICE

  1. Navegue hasta su CloudTrail registro. Para obtener más información, consulte Registrar información de Amazon Quick Suite con CloudTrail.

  2. Localice los eventos de concesión más recientes del conjunto de datos de SPICE mediante los siguientes argumentos de búsqueda:

    • El nombre del evento (eventName) contiene Grant.

    • Los parámetros de la solicitud requestParameters contienen el ARN de Amazon Quick Suite del conjunto de datos.

    {
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "quicksight.amazonaws.com"
},
"eventTime": "2022-10-26T00:11:08Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "quicksight.amazonaws.com",
"userAgent": "quicksight.amazonaws.com",
"requestParameters": {
"constraints": {
    "encryptionContextSubset": {
        "aws:quicksight:arn": "arn:aws:quicksight:us-west-2:111122223333:dataset/12345678-1234-1234-1234-123456789012"
    }
},
"retiringPrincipal": "quicksight.amazonaws.com",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/87654321-4321-4321-4321-210987654321",
"granteePrincipal": "quicksight.amazonaws.com",
"operations": [
    "Encrypt",
    "Decrypt",
    "DescribeKey",
    "GenerateDataKey"
]
},
....
}

  3. Según el tipo de evento, se aplica una de las siguientes condiciones:

    CreateGrant: puede encontrar la CMK utilizada más recientemente en el ID de la clave (keyID) del último evento CreateGrant del conjunto de datos de SPICE.

    RetireGrant— Si es el último CloudTrail evento de los SPICE conjuntos de datosRetireGrant, no hay ningún identificador clave y el recurso ya no está cifrado con CMK.

Verificación de la CMK que se utiliza actualmente al generar artefactos de informes

  1. Navegue hasta su CloudTrail registro. Para obtener más información, consulte Registrar la información de Amazon Quick Sight con AWS CloudTrail.

  2. Localice los eventos GenerateDataKey más recientes de la ejecución del informe mediante los siguientes argumentos de búsqueda:

    • El nombre del evento (eventName) contiene GenerateDataKey o Decrypt.

    • Los parámetros de la solicitud (requestParameters) contienen el ARN de Amazon Quick Suite del análisis o panel para el que se generó el informe.

    {
    "eventVersion": "1.11",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "quicksight.amazonaws.com"
    },
    "eventTime": "2025-07-23T23:33:46Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "quicksight.amazonaws.com",
    "userAgent": "quicksight.amazonaws.com",
    "requestParameters": {
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/87654321-4321-4321-4321-210987654321",
        "keySpec": "AES_256",
        "encryptionContext": {
            "aws:quicksight:arn": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1ca456fe-eb34-4250-805c-b1b9350bd164",
            "aws:s3:arn": "arn:aws:s3:::sn-imagegen.prod.us-west-2"
        }
    },
    ...
}

  3. aws:s3:arnes el depósito S3 propiedad de Amazon Quick Suite en el que se almacenan los artefactos de sus informes.

  4. Si ya no ve GenerateDataKey, significa que las nuevas ejecuciones de informes ya no están cifradas con CMK. Los artefactos de los informes existentes permanecerán cifrados.

Cambio de la CMK predeterminada

Puede cambiar la clave predeterminada por otra clave que ya exista en el panel de Claves de KMS. Al cambiar la clave predeterminada, todos los datos nuevos de Amazon Quick Suite se cifran en la nueva clave. La nueva clave predeterminada cambia la forma en que se cifran los nuevos datos de Amazon Quick Suite. Sin embargo, los datos existentes de Amazon Quick Suite seguirán utilizando la clave predeterminada anterior.

Para obtener más información sobre qué datos se pueden administrar con la clave, consulte Cifrar los datos de Amazon Quick Suite con claves gestionadas por el AWS Key Management Service cliente.

Cambio de la clave predeterminada por una clave existente

  1. En la página de inicio de Amazon Quick Suite, selecciona Administrar Amazon Quick Suite y, a continuación, selecciona Claves KMS.

  2. Seleccione ADMINISTRAR para abrir el panel de claves de KMS.

  3. Vaya hasta la clave que desee establecer como nueva predeterminada. Seleccione Acciones (tres puntos) en la fila de la clave en la que quiera abrir el menú de la clave.

  4. Elija Establecer como predeterminado y, a continuación, elija Establecer.

nota

La clave de datos Q no se puede cambiar. Los datos Q permanecerán cifrados con la clave predeterminada actual. En caso de que esta clave se vea comprometida, puede revocar el acceso a ella.

La clave seleccionada es ahora la clave predeterminada.

Eliminar el cifrado CMK de tu cuenta de Amazon Quick Suite

Puedes eliminar la clave predeterminada para deshabilitar el cifrado de datos en tu cuenta de Amazon Quick Suite. Al eliminar la clave, se impide que los nuevos recursos se cifren en una CMK.

Para eliminar el cifrado CMK de los nuevos datos de Amazon Quick Suite

  1. En la página de inicio de Amazon Quick Suite, selecciona Administrar Amazon Quick Suite y, a continuación, selecciona Claves KMS.

  2. En la página Claves de KMS, seleccione Administrar para abrir el panel de Claves de KMS.

  3. Elija Acciones (tres puntos) en la fila de la clave predeterminada y, a continuación, elija Eliminar.

  4. En el cuadro emergente que aparece, elija Eliminar.

Tras eliminar la clave predeterminada de la cuenta, Amazon Quick Suite deja de cifrar los nuevos datos de Amazon Quick Suite. Todos los datos cifrados existentes permanecerán cifrados. Los datos Q permanecen cifrados porque la clave de datos Q no se puede cambiar. En caso de que la clave eliminada se vea comprometida, puede revocar el acceso a ella.

Auditoría del uso de CMK en CloudTrail

Puede auditar el uso de CMK de su cuenta en AWS CloudTrail. Para auditar el uso de tus claves, inicia sesión en tu AWS cuenta CloudTrail, abre y selecciona Historial de eventos.

Revocar el acceso a una CMK

Puede revocar el acceso a su. CMKs Cuando revoca el acceso a una clave que se utiliza para cifrar sus datos de Amazon Quick Suite, se deniega el acceso a la misma hasta que anule la revocación. Los siguientes métodos son ejemplos de cómo puede revocar el acceso:

  • Desactive la clave en AWS KMS.

  • Añade una Deny política a tu AWS KMS política de Amazon Quick Suite en IAM.

Para obtener más información sobre qué datos se pueden administrar con la clave, consulte Cifrar los datos de Amazon Quick Suite con claves gestionadas por el AWS Key Management Service cliente.

Usa el siguiente procedimiento para revocar el acceso a tu CMKs entrada. AWS KMS

Para desactivar una entrada CMK AWS Key Management Service

  1. Inicie sesión en su AWS cuenta AWS KMS, abra y elija Claves administradas por el cliente.

  2. Seleccione la clave que quiera desactivar.

  3. Abra el menú Acciones de clave y seleccione Desactivar.

Para evitar que se siga utilizando la CMK, puede agregar una política de Deny en AWS Identity and Access Management (IAM). Use "Service": "quicksight.amazonaws.com" como entidad principal y el ARN de la clave como recurso. Deniegue las siguientes acciones: "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey".

importante

Después de revocar el acceso mediante cualquier método, pueden pasar hasta 15 minutos hasta que los datos dejen de ser accesibles.

Recuperación de datos cifrados de Amazon Quick Suite

Para recuperar los datos de Amazon Quick Suite mientras se revoca su acceso

  1. Restaure el acceso a la CMK. Por lo general, esto es suficiente para recuperar los datos de Amazon Quick Suite.

  2. Prueba los datos de Amazon Quick Suite para comprobar si los puedes ver.

  3. (Opcional) Si los datos no se recuperan por completo, incluso después de haber restaurado su acceso a la CMK, lleve a cabo una actualización completa de los datos.

Para obtener más información sobre qué datos se pueden administrar con la clave, consulte Cifrar los datos de Amazon Quick Suite con claves gestionadas por el AWS Key Management Service cliente.