Vérifier la clé utilisée par QuickSight
Lorsqu'une clé est utilisée, un journal d'audit est créé dans AWS CloudTrail. Vous pouvez utiliser le journal pour suivre l'utilisation de la clé. Si vous avez besoin de savoir par quelle clé une donnée QuickSight est chiffrée, vous pouvez trouver ces informations dans CloudTrail.
Pour en savoir plus sur les données pouvant être gérées à l'aide de la clé, consultez Chiffrement de vos données QuickSight à l’aide de AWS Key Management Service clés gérées par le client.
Vérification de la clé CMK actuellement utilisée par un jeu de données SPICE
-
Accédez à votre journal CloudTrail. Pour de plus amples informations, consultez Enregistrement des informations QuickSight avec AWS CloudTrail.
-
Localisez les événements d'approbation les plus récents pour le jeu de données SPICE, en utilisant les arguments de recherche suivants :
-
Le nom de l'événement (
eventName) contientGrant. -
Les paramètres de demande
requestParameterscontiennent l'ARN QuickSight du jeu de données.
{ "eventVersion": "1.08", "userIdentity": { "type": "AWSService", "invokedBy": "quicksight.amazonaws.com" }, "eventTime": "2022-10-26T00:11:08Z", "eventSource": "kms.amazonaws.com", "eventName": "CreateGrant", "awsRegion": "us-west-2", "sourceIPAddress": "quicksight.amazonaws.com", "userAgent": "quicksight.amazonaws.com", "requestParameters": { "constraints": { "encryptionContextSubset": { "aws:quicksight:arn": "arn:aws:quicksight:us-west-2:111122223333:dataset/12345678-1234-1234-1234-123456789012" } }, "retiringPrincipal": "quicksight.amazonaws.com", "keyId": "arn:aws:kms:us-west-2:111122223333:key/87654321-4321-4321-4321-210987654321", "granteePrincipal": "quicksight.amazonaws.com", "operations": [ "Encrypt", "Decrypt", "DescribeKey", "GenerateDataKey" ] }, .... } -
-
Selon le type d'événement, l'une des conditions suivantes s'applique :
CreateGrant: vous pouvez trouver la clé CMK la plus récemment utilisée dans l'ID de clé (keyID) pour le dernier événementCreateGrantdu jeu de données SPICE.RetireGrant: si le dernier événement CloudTrail des jeux de données SPICE estRetireGrant, il n'existe aucun ID de clé et la ressource n'est plus chiffrée par CMK.
Vérifier que le CMK est actuellement utilisé lors de la génération d’un rapport artefacts
-
Accédez à votre journal CloudTrail. Pour de plus amples informations, consultez Enregistrement des informations QuickSight avec AWS CloudTrail.
-
Localisez les événements d'approbation les plus récents
GenerateDataKeypour le rapport d’exécution, en utilisant les arguments de recherche suivants :-
Le nom de l'événement (
eventName) contientGenerateDataKeyouDecrypt. -
Les paramètres de demande (
requestParameters) contiennent l'ARN QuickSight pour l'analyse ou le tableau de bord pour lequel le rapport a été généré.
{ "eventVersion": "1.11", "userIdentity": { "type": "AWSService", "invokedBy": "quicksight.amazonaws.com" }, "eventTime": "2025-07-23T23:33:46Z", "eventSource": "kms.amazonaws.com", "eventName": "GenerateDataKey", "awsRegion": "us-west-2", "sourceIPAddress": "quicksight.amazonaws.com", "userAgent": "quicksight.amazonaws.com", "requestParameters": { "keyId": "arn:aws:kms:us-west-2:111122223333:key/87654321-4321-4321-4321-210987654321", "keySpec": "AES_256", "encryptionContext": { "aws:quicksight:arn": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1ca456fe-eb34-4250-805c-b1b9350bd164", "aws:s3:arn": "arn:aws:s3:::sn-imagegen.prod.us-west-2" } }, ... } -
-
aws:s3:arnest le compartiment S3 appartenant à QuickSight dans lequel vos artefacts de rapport sont stockés. -
Si vous ne voyez plus
GenerateDataKey, cela signifie que les nouvelles exécutions de rapports ne sont plus chiffrées par CMK. Les artefacts de rapport existants resteront chiffrés.
