Vérification de la clé utilisée par un jeu de données SPICE - Amazon QuickSight

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Vérification de la clé utilisée par un jeu de données SPICE

Lorsqu'une clé est utilisée, un journal d'audit est créé dans AWS CloudTrail. Vous pouvez utiliser le journal pour suivre l'utilisation de la clé. Si vous avez besoin de savoir par quelle clé un SPICE ensemble de données est chiffré, vous trouverez ces informations dans CloudTrail.

Vérification de la clé CMK actuellement utilisée par un jeu de données SPICE

  1. Accédez à votre CloudTrail journal. Pour de plus amples informations, veuillez consulter QuickSight Informations de journalisation avec AWS CloudTrail.

  2. Localisez les événements d'approbation les plus récents pour le jeu de données SPICE, en utilisant les arguments de recherche suivants :

    • Le nom de l'événement (eventName) contient Grant.

    • Les paramètres de demande requestParameters contiennent l' QuickSight ARN de l'ensemble de données.

    {
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "quicksight.amazonaws.com"
},
"eventTime": "2022-10-26T00:11:08Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "quicksight.amazonaws.com",
"userAgent": "quicksight.amazonaws.com",
"requestParameters": {
"constraints": {
    "encryptionContextSubset": {
        "aws:quicksight:arn": "arn:aws:quicksight:us-west-2:111122223333:dataset/12345678-1234-1234-1234-123456789012"
    }
},
"retiringPrincipal": "quicksight.amazonaws.com",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/87654321-4321-4321-4321-210987654321",
"granteePrincipal": "quicksight.amazonaws.com",
"operations": [
    "Encrypt",
    "Decrypt",
    "DescribeKey",
    "GenerateDataKey"
]
},
....
}

  3. Selon le type d'événement, l'une des conditions suivantes s'applique :

    CreateGrant : vous pouvez trouver la clé CMK la plus récemment utilisée dans l'ID de clé (keyID) pour le dernier événement CreateGrant du jeu de données SPICE.

    RetireGrant— Si le dernier CloudTrail événement des SPICE ensembles de données survientRetireGrant, il n'y a pas d'identifiant de clé et la ressource n'est plus cryptée par CMK.