Vérifiez la clé utilisée par QuickSight - Amazon QuickSight

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Vérifiez la clé utilisée par QuickSight

Lorsqu'une clé est utilisée, un journal d'audit est créé dans AWS CloudTrail. Vous pouvez utiliser le journal pour suivre l'utilisation de la clé. Si vous avez besoin de savoir par quelle clé les QuickSight données sont chiffrées, vous trouverez ces informations dans CloudTrail.

Pour en savoir plus sur les données pouvant être gérées à l'aide de la clé, consultezChiffrer vos QuickSight données à l'aide de clés gérées par le AWS Key Management Service client.

Vérification de la clé CMK actuellement utilisée par un jeu de données SPICE

  1. Accédez à votre CloudTrail journal. Pour de plus amples informations, veuillez consulter QuickSight Informations de journalisation avec AWS CloudTrail.

  2. Localisez les événements d'approbation les plus récents pour le jeu de données SPICE, en utilisant les arguments de recherche suivants :

    • Le nom de l'événement (eventName) contient Grant.

    • Les paramètres de demande requestParameters contiennent l' QuickSight ARN de l'ensemble de données.

    {
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "quicksight.amazonaws.com"
},
"eventTime": "2022-10-26T00:11:08Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "quicksight.amazonaws.com",
"userAgent": "quicksight.amazonaws.com",
"requestParameters": {
"constraints": {
    "encryptionContextSubset": {
        "aws:quicksight:arn": "arn:aws:quicksight:us-west-2:111122223333:dataset/12345678-1234-1234-1234-123456789012"
    }
},
"retiringPrincipal": "quicksight.amazonaws.com",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/87654321-4321-4321-4321-210987654321",
"granteePrincipal": "quicksight.amazonaws.com",
"operations": [
    "Encrypt",
    "Decrypt",
    "DescribeKey",
    "GenerateDataKey"
]
},
....
}

  3. Selon le type d'événement, l'une des conditions suivantes s'applique :

    CreateGrant : vous pouvez trouver la clé CMK la plus récemment utilisée dans l'ID de clé (keyID) pour le dernier événement CreateGrant du jeu de données SPICE.

    RetireGrant— Si le dernier CloudTrail événement des SPICE ensembles de données survientRetireGrant, il n'y a pas d'identifiant de clé et la ressource n'est plus cryptée par CMK.

Vérifiez la clé CMK actuellement utilisée lors de la génération d'artefacts de rapport

  1. Accédez à votre CloudTrail journal. Pour de plus amples informations, veuillez consulter QuickSight Informations de journalisation avec AWS CloudTrail.

  2. Localisez les GenerateDataKey événements les plus récents relatifs à l'exécution du rapport à l'aide des arguments de recherche suivants :

    • Le nom de l'événement (eventName) contient GenerateDataKey ouDecrypt.

    • Les paramètres de demande (requestParameters) contiennent l' QuickSightARN de l'analyse ou du tableau de bord pour lequel le rapport a été généré.

    {
    "eventVersion": "1.11",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "quicksight.amazonaws.com"
    },
    "eventTime": "2025-07-23T23:33:46Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "quicksight.amazonaws.com",
    "userAgent": "quicksight.amazonaws.com",
    "requestParameters": {
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/87654321-4321-4321-4321-210987654321",
        "keySpec": "AES_256",
        "encryptionContext": {
            "aws:quicksight:arn": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1ca456fe-eb34-4250-805c-b1b9350bd164",
            "aws:s3:arn": "arn:aws:s3:::sn-imagegen.prod.us-west-2"
        }
    },
    ...
}

  3. aws:s3:arnest le QuickSight compartiment S3 que vous possédez dans lequel sont stockés les artefacts de votre rapport.

  4. Si ce n'est plus le casGenerateDataKey, cela signifie que les nouvelles exécutions de rapports ne sont plus cryptées par CMK. Les artefacts de rapport existants resteront chiffrés.