Ajouter un CMK Vérifier un CMK Modification de la clé CMK par défaut Supprimer une clé de votre compte Vérifier l’utilisation d’une clé Révoquer l'accès à une clé CMK Restauration de données chiffrées

Chiffrer vos données Amazon Quick Suite à l'aide de clés gérées par le AWS Key Management Service client

Amazon Quick Suite vous permet de chiffrer vos données Amazon Quick Suite à l'aide des clés que vous y avez stockées AWS Key Management Service. Vous disposez ainsi des outils nécessaires pour auditer l’accès aux données et satisfaire aux exigences réglementaires en matière de sécurité. Si nécessaire, vous avez la possibilité de verrouiller immédiatement l'accès à vos données en révoquant l'accès aux AWS KMS clés. Tous les accès aux données aux ressources chiffrées dans Amazon Quick Suite sont connectés AWS CloudTrail. Les administrateurs ou les auditeurs peuvent suivre l'accès aux données CloudTrail pour identifier quand et où les données ont été consultées.

Pour créer des clés gérées par le client (CMKs), vous utilisez AWS Key Management Service (AWS KMS) dans le même AWS compte et dans la même AWS région que la ressource Amazon Quick Suite. Un administrateur Amazon Quick Suite peut ensuite utiliser une clé CMK pour chiffrer vos données Amazon Quick Suite et contrôler l'accès.

Vous pouvez créer et gérer CMKs dans la console Amazon Quick Suite ou avec Amazon Quick Suite APIs. Pour plus d'informations sur la création et la gestion CMKs avec Amazon Quick Suite APIs, consultez la section Opérations de gestion des clés.

Les règles suivantes s'appliquent à l'utilisation CMKs des ressources Amazon Quick Suite :

Amazon Quick Suite ne prend pas en charge les AWS KMS clés asymétriques.
Vous pouvez avoir plusieurs CMK par défaut CMKs et une seule clé CMK Compte AWS par Région AWS défaut.
Par défaut, les ressources Amazon Quick Suite sont chiffrées à l'aide de stratégies de chiffrement natives d'Amazon Quick Suite.
Les données actuellement chiffrées par une clé CMK resteront chiffrées par la clé.

Note

Si vous utilisez AWS Key Management Service Amazon Quick Suite, l'accès et la maintenance vous sont facturés comme décrit sur la page de AWS Key Management Service tarification. Dans votre relevé de facturation, les coûts sont détaillés dans Amazon Quick Suite AWS KMS et non dans Amazon Quick Suite.

Note

Les données Amazon Q sont chiffrées par une clé AWS gérée, et non par la AWS KMS clé par défaut.

La clé qui est actuellement la clé CMK par défaut est automatiquement utilisée pour chiffrer les éléments suivants :

Nouveaux jeux de données SPICE. Les jeux de données existants doivent être entièrement actualisés pour être chiffrés par la nouvelle clé par défaut.
Nouveaux artefacts de rapport générés via l’API de capture d’écran du tableau de bord, les rapports et exportations planifiés ou les tableaux de bord.

Toutes les clés non gérées par le client associées à Amazon Quick Suite sont gérées par AWS.

Les certificats de serveur de base de données qui ne AWS sont pas gérés par le client sont sous la responsabilité du client et doivent être signés par une autorité de certification de confiance. Pour plus d'informations, consultez la section Configuration requise pour le réseau et la base de données.

Consultez les rubriques suivantes pour en savoir plus sur l'utilisation CMKs d'Amazon Quick Suite. Pour en savoir plus sur le chiffrement des données dans Amazon Quick Suite, consultez la section Protection des données dans Amazon Quick Suite.

Rubriques

Ajout d’une clé CMK à votre compte
Vérifiez la clé utilisée par Amazon Quick Suite
Modification de la clé CMK par défaut
Supprimer le chiffrement CMK sur votre compte Amazon Quick Suite
Audit de l'utilisation de CMK dans CloudTrail
Révoquer l'accès à une clé CMK
Récupération de données Amazon Quick Suite chiffrées

Ajout d’une clé CMK à votre compte

Avant de commencer, assurez-vous que vous disposez d'un rôle IAM qui accorde à l'utilisateur administrateur l'accès à la console de gestion des clés d'administration Amazon Quick Suite. Pour plus d'informations sur les autorisations requises, consultez Politiques basées sur l'identité IAM pour Amazon Quick Suite : utilisation de la console de gestion des clés d'administration.

Vous pouvez ajouter des clés qui existent déjà dans AWS KMS votre compte Amazon Quick Suite afin de chiffrer vos données Amazon Quick Suite.

Pour en savoir plus sur la création d'une clé à utiliser dans Amazon Quick Suite, consultez le Guide du développeur du service de gestion des AWS clés.

Pour ajouter une nouvelle clé CMK à votre compte Amazon Quick Suite.

Sur la page de démarrage d'Amazon Quick Suite, choisissez Manage Amazon Quick Suite, puis choisissez KMS keys.
Sur la page Clés KMS, choisissez Gestion. Le tableau de bord Clés KMS s’ouvre.
Sur le tableau de bord Clés KMS, choisissez Sélectionner une clé.
Dans la fenêtre contextuelle Sélectionner une clé, choisissez Clé pour ouvrir la liste. Choisissez ensuite la clé que vous souhaitez ajouter.

Si votre clé ne figure pas dans la liste, vous avez la possibilité de saisir manuellement l’ARN de la clé.
(Facultatif) Sélectionnez l'option Utiliser comme clé de chiffrement par défaut pour toutes les nouvelles données de la région actuelle de ce compte Amazon Quick Suite afin de définir la clé sélectionnée comme clé par défaut. Un badge apparaît à côté de la clé par défaut pour indiquer son statut.

Lorsque vous choisissez une clé par défaut, toutes les nouvelles données créées dans la région qui héberge votre compte Amazon Quick Suite sont chiffrées avec la clé par défaut.
(Facultatif) Ajoutez d’autres clés en répétant les étapes précédentes de cette procédure. Vous avez la possibilité d’ajouter autant de clés que vous le souhaitez, mais vous ne pouvez avoir qu’une seule clé par défaut à la fois.

Vérifiez la clé utilisée par Amazon Quick Suite

Lorsqu’une clé est utilisée, un journal d’audit est créé dans AWS CloudTrail. Vous pouvez utiliser le journal pour suivre l’utilisation de la clé. Si vous avez besoin de savoir par quelle clé les données Amazon Quick Suite sont chiffrées, vous trouverez ces informations dans CloudTrail.

Pour en savoir plus sur les données pouvant être gérées à l’aide de la clé, consultez Chiffrer vos données Amazon Quick Suite à l'aide de clés gérées par le AWS Key Management Service client.

Vérification de la clé CMK actuellement utilisée par un jeu de données SPICE

Accédez à votre CloudTrail journal. Pour plus d'informations, consultez la section Enregistrement des informations d'Amazon Quick Suite avec CloudTrail.

Localisez les événements d’approbation les plus récents pour le jeu de données SPICE, en utilisant les arguments de recherche suivants :

Le nom de l’événement (eventName) contient Grant.
Les paramètres de demande requestParameters contiennent l'ARN Amazon Quick Suite pour le jeu de données.


{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "quicksight.amazonaws.com"
},
"eventTime": "2022-10-26T00:11:08Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "quicksight.amazonaws.com",
"userAgent": "quicksight.amazonaws.com",
"requestParameters": {
"constraints": {
    "encryptionContextSubset": {
        "aws:quicksight:arn": "arn:aws:quicksight:us-west-2:111122223333:dataset/12345678-1234-1234-1234-123456789012"
    }
},
"retiringPrincipal": "quicksight.amazonaws.com",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/87654321-4321-4321-4321-210987654321",
"granteePrincipal": "quicksight.amazonaws.com",
"operations": [
    "Encrypt",
    "Decrypt",
    "DescribeKey",
    "GenerateDataKey"
]
},
....
}

Selon le type d’événement, l’une des conditions suivantes s’applique :

CreateGrant : vous pouvez trouver la clé CMK la plus récemment utilisée dans l’ID de clé (keyID) pour le dernier événement CreateGrant du jeu de données SPICE.

RetireGrant— Si le dernier CloudTrail événement des SPICE ensembles de données survientRetireGrant, il n'y a pas d'identifiant de clé et la ressource n'est plus cryptée par CMK.

Vérifier que le CMK est actuellement utilisé lors de la génération d’un rapport artefacts

Accédez à votre CloudTrail journal. Pour de plus amples informations, veuillez consulter Enregistrement des informations Amazon Quick Sight avec AWS CloudTrail.

Localisez les événements d’approbation les plus récents GenerateDataKey pour le rapport d’exécution, en utilisant les arguments de recherche suivants :

Le nom de l’événement (eventName) contient GenerateDataKey ou Decrypt.
Les paramètres de demande (requestParameters) contiennent l'ARN Amazon Quick Suite pour l'analyse ou le tableau de bord pour lequel le rapport a été généré.


{
    "eventVersion": "1.11",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "quicksight.amazonaws.com"
    },
    "eventTime": "2025-07-23T23:33:46Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "quicksight.amazonaws.com",
    "userAgent": "quicksight.amazonaws.com",
    "requestParameters": {
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/87654321-4321-4321-4321-210987654321",
        "keySpec": "AES_256",
        "encryptionContext": {
            "aws:quicksight:arn": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1ca456fe-eb34-4250-805c-b1b9350bd164",
            "aws:s3:arn": "arn:aws:s3:::sn-imagegen.prod.us-west-2"
        }
    },
    ...
}

aws:s3:arnest le compartiment S3 appartenant à Amazon Quick Suite dans lequel sont stockés les artefacts de vos rapports.
Si vous ne voyez plus GenerateDataKey, cela signifie que les nouvelles exécutions de rapports ne sont plus chiffrées par CMK. Les artefacts de rapport existants resteront chiffrés.

Modification de la clé CMK par défaut

Vous pouvez remplacer la clé par défaut par une autre clé qui existe déjà dans le tableau de bord Clés KMS. Lorsque vous modifiez la clé par défaut, toutes les nouvelles données Amazon Quick Suite sont cryptées sur la nouvelle clé. La nouvelle clé par défaut modifie la façon dont les nouvelles données Amazon Quick Suite sont chiffrées. Toutefois, les données Amazon Quick Suite existantes continueront à utiliser la clé par défaut précédente.

Remplacement de la clé par défaut par une clé existante

Sur la page de démarrage d'Amazon Quick Suite, choisissez Manage Amazon Quick Suite, puis choisissez KMS keys.
Choisissez MANAGE pour ouvrir le tableau de bord des clés KMS.
Accédez à la clé que vous souhaitez définir comme nouvelle clé par défaut. Choisissez Actions (trois points) sur la ligne de la clé que vous souhaitez ouvrir dans le menu de la clé.
Choisissez Définir par défaut, puis sélectionnez Définir.

Note

La clé de données Q ne peut pas être modifiée. Les données Q resteront cryptées avec la clé par défaut actuelle. Si cette clé est compromise, vous pouvez révoquer l'accès à celle-ci.

La clé sélectionnée est désormais votre clé par défaut.

Supprimer le chiffrement CMK sur votre compte Amazon Quick Suite

Vous pouvez supprimer la clé par défaut pour désactiver le chiffrement des données dans votre compte Amazon Quick Suite. La suppression de la clé empêche le chiffrement de nouvelles ressources sur une clé CMK.

Pour supprimer le chiffrement CMK pour les nouvelles données d'Amazon Quick Suite

Sur la page de démarrage d'Amazon Quick Suite, choisissez Manage Amazon Quick Suite, puis choisissez KMS keys.
Sur la page Clés KMS, choisissez Gestion pour ouvrir le tableau de bord Clés KMS.
Choisissez Actions (trois points) sur la ligne de la clé par défaut, puis choisissez Supprimer.
Dans la fenêtre contextuelle qui apparaît, sélectionnez Supprimer.

Une fois que vous avez supprimé la clé par défaut de votre compte, Amazon Quick Suite arrête de chiffrer les nouvelles données Amazon Quick Suite. Toutes les données cryptées existantes resteront cryptées. Les données Q restent cryptées car la clé de données Q ne peut pas être modifiée. Si la clé supprimée est compromise, vous pouvez révoquer l'accès à celle-ci.

Audit de l'utilisation de CMK dans CloudTrail

Vous pouvez vérifier l’utilisation des clés CMK de votre compte dans AWS CloudTrail. Pour vérifier l'utilisation de vos clés, connectez-vous à votre AWS compte CloudTrail, ouvrez et choisissez Historique des événements.

Révoquer l'accès à une clé CMK

Vous pouvez révoquer l'accès à votre. CMKs Lorsque vous révoquez l'accès à une clé utilisée pour chiffrer vos données Amazon Quick Suite, l'accès à cette clé est refusé jusqu'à ce que vous annuliez la révocation. Les méthodes suivantes sont des exemples de la manière dont vous pouvez révoquer l’accès :

Désactivez la clé AWS KMS.
Ajoutez une Deny politique à votre AWS KMS politique Amazon Quick Suite dans IAM.

Suivez la procédure ci-dessous pour révoquer l'accès CMKs à AWS KMS votre identifiant.

Pour désactiver une clé CMK dans AWS Key Management Service

Connectez-vous à votre AWS compte AWS KMS, ouvrez-le et choisissez Clés gérées par le client.
Sélectionnez la clé que vous souhaitez désactiver.
Ouvrez le menu Actions sur les clés et choisissez Désactiver.

Pour empêcher toute utilisation ultérieure de la clé CMK, vous avez la possibilité d’ajouter une politique Deny dans AWS Identity and Access Management (IAM). Utilisez "Service": "quicksight.amazonaws.com" comme principal et l’ARN de la clé comme ressource. Refusez les actions suivantes : "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey".

Important

Après avoir révoqué l’accès à l’aide d’une méthode quelconque, il peut s’écouler jusqu’à 15 minutes avant que les données ne deviennent inaccessibles.

Récupération de données Amazon Quick Suite chiffrées

Pour récupérer les données Amazon Quick Suite alors que leur accès est révoqué

Restaurez l’accès à la clé CMK. En général, cela suffit pour récupérer les données d'Amazon Quick Suite.
Testez les données d'Amazon Quick Suite pour vérifier si vous pouvez les voir.
(Facultatif) Si les données ne sont pas complètement restaurées, même après avoir rétabli leur accès à la clé CMK, effectuez une actualisation complète des données.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Test de la connexion

Gestion des autorisations