Mengenkripsi data Amazon Quick Suite Anda dengan AWS Key Management Service kunci yang dikelola pelanggan - Amazon Quick Suite
Tambahkan CMKVerifikasi CMKMengubah CMK defaultHapus kunci dari akun AndaPenggunaan kunci auditMencabut akses ke CMKPulihkan data terenkripsi

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengenkripsi data Amazon Quick Suite Anda dengan AWS Key Management Service kunci yang dikelola pelanggan

Amazon Quick Suite memungkinkan Anda mengenkripsi data Amazon Quick Suite Anda dengan kunci yang telah Anda simpan. AWS Key Management Service Ini memberi Anda alat untuk mengaudit akses ke data dan memenuhi persyaratan keamanan peraturan. Jika Anda perlu melakukannya, Anda memiliki opsi untuk segera mengunci akses ke data Anda dengan mencabut akses ke AWS KMS kunci. Semua akses data ke sumber daya terenkripsi di Amazon Quick Suite masuk. AWS CloudTrail Administrator atau auditor dapat melacak akses data CloudTrail untuk mengidentifikasi kapan dan di mana data diakses.

Untuk membuat kunci (CMKs) yang dikelola pelanggan, Anda menggunakan AWS Key Management Service (AWS KMS) di AWS akun dan AWS Wilayah yang sama dengan sumber daya Amazon Quick Suite. Administrator Amazon Quick Suite kemudian dapat menggunakan CMK untuk mengenkripsi data Amazon Quick Suite Anda dan mengontrol akses.

Anda dapat membuat dan mengelola CMKs di konsol Amazon Quick Suite atau dengan Amazon Quick Suite APIs. Untuk informasi selengkapnya tentang membuat dan mengelola CMKs dengan Amazon Quick Suite APIs, lihat Operasi manajemen kunci.

Aturan berikut berlaku untuk menggunakan CMKs sumber daya Amazon Quick Suite:

  • Amazon Quick Suite tidak mendukung AWS KMS tombol asimetris.

  • Anda dapat memiliki beberapa CMKs dan satu CMK default per Akun AWS per Wilayah AWS.

  • Secara default, sumber daya Amazon Quick Suite dienkripsi dengan Amazon Quick Suite—strategi enkripsi asli.

  • Data yang saat ini dienkripsi oleh kunci CMK akan tetap dienkripsi oleh kunci.

catatan

Jika Anda menggunakan AWS Key Management Service Amazon Quick Suite, Anda ditagih untuk akses dan pemeliharaan seperti yang dijelaskan di halaman AWS Key Management Service Harga. Dalam laporan penagihan Anda, biaya diperinci di bawah AWS KMS dan bukan di bawah Amazon Quick Suite.

catatan

Data Amazon Q dienkripsi oleh kunci AWS terkelola, bukan kunci default AWS KMS .

Kunci yang saat ini merupakan CMK default secara otomatis digunakan untuk mengenkripsi yang berikut ini:

  • Kumpulan data SPICE baru. Kumpulan data yang ada harus disegarkan sepenuhnya untuk dienkripsi oleh kunci default yang baru.

  • Artefak laporan baru yang dihasilkan melalui API snapshot dasbor, laporan dan ekspor terjadwal, atau dasbor.

Semua kunci terkelola non-pelanggan yang terkait dengan Amazon Quick Suite dikelola oleh AWS.

Sertifikat server database yang tidak dikelola oleh AWS adalah tanggung jawab pelanggan dan harus ditandatangani oleh CA tepercaya. Untuk informasi selengkapnya, lihat Persyaratan konfigurasi jaringan dan database.

Gunakan topik berikut untuk mempelajari lebih lanjut tentang penggunaan CMKs Amazon Quick Suite. Untuk mempelajari lebih lanjut tentang enkripsi data di Amazon Quick Suite, lihat Perlindungan data di Amazon Quick Suite.

Tambahkan CMK ke akun Anda

Sebelum memulai, pastikan Anda memiliki peran IAM yang memberi pengguna admin akses ke konsol manajemen kunci admin Amazon Quick Suite. Untuk informasi selengkapnya tentang izin yang diperlukan, lihat kebijakan berbasis identitas IAM untuk Amazon Quick Suite: menggunakan konsol manajemen kunci admin.

Anda dapat menambahkan kunci yang sudah ada di AWS KMS akun Amazon Quick Suite Anda, sehingga Anda dapat mengenkripsi data Amazon Quick Suite Anda.

Untuk mempelajari selengkapnya tentang cara membuat kunci untuk digunakan di Amazon Quick Suite, lihat Panduan Pengembang Layanan Manajemen AWS Kunci.

Untuk menambahkan CMK baru ke akun Amazon Quick Suite Anda.

  1. Di halaman awal Amazon Quick Suite, pilih Kelola Amazon Quick Suite, lalu pilih tombol KMS.

  2. Pada halaman kunci KMS, pilih Kelola. Dasbor tombol KMS terbuka.

  3. Di dasbor KMS Keys, pilih tombol Select.

  4. Pada kotak pop-up tombol Pilih, pilih Kunci untuk membuka daftar. Kemudian, pilih tombol yang ingin Anda tambahkan.

    Jika kunci Anda tidak ada dalam daftar, Anda dapat memasukkan ARN kunci secara manual.

  5. (Opsional) Pilih Gunakan sebagai kunci enkripsi default untuk semua data baru di wilayah saat ini dari akun Amazon Quick Suite ini untuk mengatur kunci yang dipilih sebagai kunci default Anda. Lencana muncul di sebelah tombol default untuk menunjukkan statusnya.

    Saat Anda memilih kunci default, semua data baru yang dibuat di wilayah yang menghosting akun Amazon Quick Suite Anda dienkripsi dengan kunci default.

  6. (Opsional) Tambahkan lebih banyak kunci dengan mengulangi langkah-langkah sebelumnya dalam prosedur ini. Meskipun Anda dapat menambahkan kunci sebanyak yang Anda inginkan, Anda hanya dapat memiliki satu kunci default pada satu waktu.

Verifikasi kunci yang digunakan oleh Amazon Quick Suite

Ketika kunci digunakan, log audit dibuat di AWS CloudTrail. Anda dapat menggunakan log untuk melacak penggunaan kunci. Jika Anda perlu mengetahui kunci mana data Amazon Quick Suite dienkripsi, Anda dapat menemukan informasi ini. CloudTrail

Untuk mempelajari lebih lanjut tentang data mana yang dapat dikelola dengan kunci, lihatMengenkripsi data Amazon Quick Suite Anda dengan AWS Key Management Service kunci yang dikelola pelanggan.

Verifikasi CMK yang saat ini digunakan oleh kumpulan data SPICE

  1. Arahkan ke CloudTrail log Anda. Untuk informasi selengkapnya, lihat Mencatat informasi Amazon Quick Suite dengan CloudTrail.

  2. Temukan peristiwa hibah terbaru untuk SPICE kumpulan data, menggunakan argumen penelusuran berikut:

    • Nama acara (eventName) berisiGrant.

    • Parameter permintaan requestParameters berisi ARN Amazon Quick Suite untuk kumpulan data.

    {
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "quicksight.amazonaws.com"
},
"eventTime": "2022-10-26T00:11:08Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "quicksight.amazonaws.com",
"userAgent": "quicksight.amazonaws.com",
"requestParameters": {
"constraints": {
    "encryptionContextSubset": {
        "aws:quicksight:arn": "arn:aws:quicksight:us-west-2:111122223333:dataset/12345678-1234-1234-1234-123456789012"
    }
},
"retiringPrincipal": "quicksight.amazonaws.com",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/87654321-4321-4321-4321-210987654321",
"granteePrincipal": "quicksight.amazonaws.com",
"operations": [
    "Encrypt",
    "Decrypt",
    "DescribeKey",
    "GenerateDataKey"
]
},
....
}

  3. Tergantung pada jenis acara, salah satu dari berikut ini berlaku:

    CreateGrant— Anda dapat menemukan CMK yang paling baru digunakan di ID kunci (keyID) untuk CreateGrant acara terakhir untuk SPICE kumpulan data.

    RetireGrant— Jika CloudTrail peristiwa terbaru dari SPICE kumpulan dataRetireGrant, tidak ada ID kunci dan sumber daya tidak lagi dienkripsi CMK.

Verifikasi CMK yang saat ini digunakan saat membuat artefak laporan

  1. Arahkan ke CloudTrail log Anda. Untuk informasi selengkapnya, lihat Mencatat informasi Amazon Quick Sight dengan AWS CloudTrail.

  2. Temukan GenerateDataKey peristiwa terbaru untuk eksekusi laporan, menggunakan argumen penelusuran berikut:

    • Nama acara (eventName) berisi GenerateDataKey atauDecrypt.

    • Parameter permintaan (requestParameters) berisi ARN Amazon Quick Suite untuk analisis atau dasbor tempat laporan dibuat.

    {
    "eventVersion": "1.11",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "quicksight.amazonaws.com"
    },
    "eventTime": "2025-07-23T23:33:46Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "quicksight.amazonaws.com",
    "userAgent": "quicksight.amazonaws.com",
    "requestParameters": {
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/87654321-4321-4321-4321-210987654321",
        "keySpec": "AES_256",
        "encryptionContext": {
            "aws:quicksight:arn": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1ca456fe-eb34-4250-805c-b1b9350bd164",
            "aws:s3:arn": "arn:aws:s3:::sn-imagegen.prod.us-west-2"
        }
    },
    ...
}

  3. aws:s3:arnadalah bucket S3 milik Amazon Quick Suite tempat artefak laporan Anda disimpan.

  4. Jika Anda tidak lagi melihatGenerateDataKey, maka eksekusi laporan baru tidak lagi dienkripsi CMK. Artefak laporan yang ada akan tetap dienkripsi.

Mengubah CMK default

Anda dapat mengubah kunci default ke kunci lain yang sudah ada di dasbor tombol KMS. Saat Anda mengubah kunci default, semua data Amazon Quick Suite baru dienkripsi pada kunci baru. Kunci default baru mengubah cara data Amazon Quick Suite baru dienkripsi. Namun, data Amazon Quick Suite yang ada akan terus menggunakan kunci default sebelumnya.

Untuk mempelajari lebih lanjut tentang data mana yang dapat dikelola dengan kunci, lihatMengenkripsi data Amazon Quick Suite Anda dengan AWS Key Management Service kunci yang dikelola pelanggan.

Untuk mengubah kunci default ke kunci yang ada

  1. Di halaman awal Amazon Quick Suite, pilih Kelola Amazon Quick Suite, lalu pilih tombol KMS.

  2. Pilih KELOLA untuk membuka dasbor tombol KMS.

  3. Arahkan ke kunci yang ingin Anda tetapkan sebagai default baru Anda. Pilih Tindakan (tiga titik) pada baris tombol yang ingin Anda buka menu tombol.

  4. Pilih Set as default, lalu pilih Set.

catatan

Kunci data Q tidak dapat diubah. Data Q akan tetap dienkripsi dengan kunci default saat ini. Jika kunci ini dikompromikan, Anda dapat mencabut akses ke sana.

Kunci yang dipilih sekarang adalah kunci default Anda.

Menghapus enkripsi CMK di akun Amazon Quick Suite Anda

Anda dapat menghapus kunci default untuk menonaktifkan enkripsi data di akun Amazon Quick Suite Anda. Menghapus kunci mencegah sumber daya baru mengenkripsi pada CMK.

Untuk menghapus enkripsi CMK untuk data Amazon Quick Suite baru

  1. Di halaman awal Amazon Quick Suite, pilih Kelola Amazon Quick Suite, lalu pilih tombol KMS.

  2. Pada halaman kunci KMS, pilih Kelola untuk membuka dasbor tombol KMS.

  3. Pilih Tindakan (tiga titik) pada baris tombol default, lalu pilih Hapus.

  4. Di kotak pop-up yang muncul, pilih Hapus.

Setelah Anda menghapus kunci default dari akun Anda, Amazon Quick Suite berhenti mengenkripsi data Amazon Quick Suite baru. Setiap data terenkripsi yang ada akan tetap dienkripsi. Data Q tetap dienkripsi karena kunci data Q tidak dapat diubah. Jika kunci yang dihapus dikompromikan, Anda dapat mencabut akses ke sana.

Mengaudit penggunaan CMK di CloudTrail

Anda dapat mengaudit penggunaan CMK akun Anda di AWS CloudTrail. Untuk mengaudit penggunaan kunci Anda, masuk ke AWS akun Anda, buka CloudTrail, dan pilih Riwayat acara.

Mencabut akses ke CMK

Anda dapat mencabut akses ke Anda. CMKs Saat Anda mencabut akses ke kunci yang digunakan untuk mengenkripsi data Amazon Quick Suite Anda, akses ke kunci tersebut ditolak hingga Anda membatalkan pencabutan tersebut. Metode berikut adalah contoh bagaimana Anda dapat mencabut akses:

  • Matikan kuncinya AWS KMS.

  • Tambahkan Deny kebijakan ke kebijakan Amazon Quick Suite AWS KMS Anda di IAM.

Untuk mempelajari lebih lanjut tentang data mana yang dapat dikelola dengan kunci, lihatMengenkripsi data Amazon Quick Suite Anda dengan AWS Key Management Service kunci yang dikelola pelanggan.

Gunakan prosedur berikut untuk mencabut akses ke akun Anda CMKs . AWS KMS

Untuk mematikan CMK di AWS Key Management Service

  1. Masuk ke AWS akun Anda, buka AWS KMS, dan pilih Kunci yang dikelola pelanggan.

  2. Pilih tombol yang ingin Anda matikan.

  3. Buka menu Tindakan kunci dan pilih Nonaktifkan.

Untuk mencegah penggunaan CMK lebih lanjut, Anda dapat menambahkan Deny kebijakan di AWS Identity and Access Management (IAM). Gunakan "Service": "quicksight.amazonaws.com" sebagai kepala sekolah dan ARN kunci sebagai sumber daya. Tolak tindakan berikut:"kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey".

penting

Setelah Anda mencabut akses dengan menggunakan metode apa pun, dibutuhkan waktu hingga 15 menit agar data menjadi tidak dapat diakses.

Memulihkan data Amazon Quick Suite terenkripsi

Untuk memulihkan data Amazon Quick Suite saat aksesnya dicabut

  1. Kembalikan akses ke CMK. Biasanya, ini cukup untuk memulihkan data Amazon Quick Suite.

  2. Uji data Amazon Quick Suite untuk memeriksa apakah Anda dapat melihatnya.

  3. (Opsional) Jika data tidak sepenuhnya pulih, bahkan setelah Anda memulihkan aksesnya ke CMK, lakukan penyegaran penuh pada data.

Untuk mempelajari lebih lanjut tentang data mana yang dapat dikelola dengan kunci, lihatMengenkripsi data Amazon Quick Suite Anda dengan AWS Key Management Service kunci yang dikelola pelanggan.