Crittografia dei dati Amazon Quick con chiavi gestite dal AWS Key Management Service cliente - Amazon Quick
Aggiungere una CMKVerificare una CMKModifica della CMK predefinitaRimuovere una chiave dal proprio accountUtilizzo della chiave di auditRevoca dell'accesso a un CMKRecuperare i dati crittografati

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crittografia dei dati Amazon Quick con chiavi gestite dal AWS Key Management Service cliente

Amazon Quick ti consente di crittografare i tuoi dati Amazon Quick con le chiavi in AWS Key Management Service cui sono archiviati. Ciò fornisce gli strumenti per verificare l'accesso ai dati e soddisfare i requisiti di sicurezza normativi. Se necessario, hai la possibilità di bloccare immediatamente l'accesso ai tuoi dati revocando l'accesso alle chiavi. AWS KMS Tutti gli accessi ai dati alle risorse crittografate in Amazon Quick vengono registrati. AWS CloudTrail Gli amministratori o i revisori possono tracciare l'accesso ai dati CloudTrail per identificare quando e dove è stato effettuato l'accesso ai dati.

Per creare chiavi gestite dal cliente (CMKs), usi AWS Key Management Service (AWS KMS) nello stesso AWS account e nella stessa AWS regione della risorsa Amazon Quick. Un amministratore di Amazon Quick può quindi utilizzare una CMK per crittografare i dati Amazon Quick e controllare l'accesso.

Puoi creare e gestire CMKs nella console Amazon Quick o con Amazon Quick APIs. Per ulteriori informazioni sulla creazione e la gestione CMKs con Amazon Quick APIs, consulta Operazioni di gestione delle chiavi.

Le seguenti regole si applicano all'utilizzo CMKs con le risorse Amazon Quick:

  • Amazon Quick non supporta le chiavi asimmetriche AWS KMS .

  • Puoi avere più CMK CMKs e una CMK predefinita per ogni articolo. Account AWS Regione AWS

  • Per impostazione predefinita, le risorse Amazon Quick sono crittografate con strategie di crittografia native di Amazon Quick.

  • I dati attualmente crittografati da una chiave CMK rimarranno crittografati dalla chiave.

Nota

Se utilizzi AWS Key Management Service Amazon Quick, ti verranno addebitati i costi di accesso e manutenzione come descritto nella pagina dei AWS Key Management Service prezzi. Nell'estratto conto, i costi sono elencati in Amazon Quick AWS KMS e non in Amazon Quick.

Nota

I dati di Amazon Q sono crittografati da una chiave AWS gestita, non dalla AWS KMS chiave predefinita.

La chiave che attualmente è la CMK predefinita viene utilizzata automaticamente per crittografare:

  • Nuovi set di dati SPICE. Per essere crittografati con la nuova chiave predefinita, i set di dati esistenti devono essere completamente aggiornati.

  • Nuovi artefatti dei report generati tramite l'API snapshot del pannello di controllo, report pianificati ed esportazioni o pannelli di controllo.

Tutte le chiavi non gestite dal cliente associate ad Amazon Quick sono gestite da AWS.

I certificati dei server di database che non sono gestiti da AWS sono sotto la responsabilità del cliente e devono essere firmati da una CA affidabile. Per ulteriori informazioni, consulta Requisiti di configurazione della rete e del database.

Utilizza i seguenti argomenti per saperne di più sull'utilizzo CMKs con Amazon Quick. Per ulteriori informazioni sulla crittografia dei dati in Amazon Quick, consulta Protezione dei dati in Amazon Quick.

Aggiunta di una CMK al tuo account

Prima di iniziare, assicurati di disporre di un ruolo IAM che consenta all'utente amministratore di accedere alla console di gestione delle chiavi di amministrazione di Amazon Quick. Per ulteriori informazioni sulle autorizzazioni richieste, consulta Politiche basate sull'identità IAM per Amazon Quick: utilizzo della console di gestione delle chiavi di amministrazione.

Puoi aggiungere chiavi già esistenti nel AWS KMS tuo account Amazon Quick, in modo da crittografare i tuoi dati Amazon Quick.

Per ulteriori informazioni su come creare una chiave da utilizzare in Amazon Quick, consulta la AWS Key Management Service Developer Guide.

Per aggiungere una nuova CMK al tuo account Amazon Quick.

  1. Nella pagina iniziale di Amazon Quick, scegli Manage Amazon Quick, quindi scegli KMS keys.

  2. Nella pagina Chiavi KMS, scegli Gestisci. Verrà aperto il pannello di controllo Chiavi KMS.

  3. Nel pannello di controllo Chiavi KMS, scegli Seleziona chiave.

  4. Nella finestra a comparsa Seleziona chiave, scegli Chiave per aprire l'elenco. Quindi sceglie la chiave da aggiungere.

    Se la tua chiave non è presente nell'elenco, puoi inserire manualmente l'ARN della chiave.

  5. (Facoltativo) Seleziona Usa come chiave di crittografia predefinita per tutti i nuovi dati nella regione corrente di questo account Amazon Quick per impostare la chiave selezionata come chiave predefinita. Accanto alla chiave predefinita viene visualizzato un badge per indicarne lo stato.

    Quando scegli una chiave predefinita, tutti i nuovi dati creati nella regione che ospita il tuo account Amazon Quick vengono crittografati con la chiave predefinita.

  6. (Facoltativo) Aggiungi altre chiavi ripetendo i passaggi precedenti di questa procedura. Sebbene sia possibile aggiungere tutte le chiavi desiderate, è possibile avere solo una chiave predefinita alla volta.

Verifica la chiave utilizzata da Amazon Quick

Quando viene utilizzata una chiave, viene creato un log di controllo in AWS CloudTrail. È possibile utilizzare il log per tenere traccia dell'utilizzo della chiave. Se hai bisogno di sapere con quale chiave sono crittografati i dati di Amazon Quick, puoi trovare queste informazioni in CloudTrail.

Per ulteriori informazioni su quali dati possono essere gestiti con la chiave, consulta Crittografia dei dati Amazon Quick con chiavi gestite dal AWS Key Management Service cliente.

Verifica della CMK correntemente utilizzata da un set di dati SPICE

  1. Accedi al tuo CloudTrail registro. Per ulteriori informazioni, consulta la sezione Registrazione delle informazioni di Amazon Quick con CloudTrail.

  2. Individua gli eventi di concessione più recenti per il set di dati SPICE, utilizzando i seguenti argomenti di ricerca:

    • Il nome dell'evento (eventName) contiene Grant.

    • I parametri della richiesta requestParameters contengono Amazon Quick ARN per il set di dati.

    {
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "quicksight.amazonaws.com"
},
"eventTime": "2022-10-26T00:11:08Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "quicksight.amazonaws.com",
"userAgent": "quicksight.amazonaws.com",
"requestParameters": {
"constraints": {
    "encryptionContextSubset": {
        "aws:quicksight:arn": "arn:aws:quicksight:us-west-2:111122223333:dataset/12345678-1234-1234-1234-123456789012"
    }
},
"retiringPrincipal": "quicksight.amazonaws.com",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/87654321-4321-4321-4321-210987654321",
"granteePrincipal": "quicksight.amazonaws.com",
"operations": [
    "Encrypt",
    "Decrypt",
    "DescribeKey",
    "GenerateDataKey"
]
},
....
}

  3. A seconda del tipo di evento, si applica una delle seguenti condizioni:

    CreateGrant: è possibile trovare la CMK utilizzata più di recente nell'ID chiave (keyID) per l'ultimo evento CreateGrant per il set di dati SPICE.

    RetireGrant— Se l'ultimo CloudTrail evento dei SPICE set di dati èRetireGrant, non esiste un ID chiave e la risorsa non è più crittografata in CMK.

Verificare la CMK correntemente utilizzata quando si generano artefatti del report

  1. Accedi al tuo CloudTrail registro. Per ulteriori informazioni, consulta Registrazione delle informazioni di Amazon Quick Sight con AWS CloudTrail.

  2. Individua gli eventi GenerateDataKey più recenti per l'esecuzione del report utilizzando i seguenti argomenti di ricerca:

    • Il nome dell'evento (eventName) contiene GenerateDataKey o Decrypt.

    • I parametri della richiesta (requestParameters) contengono Amazon Quick ARN per l'analisi o il pannello di controllo per cui è stato generato il report.

    {
    "eventVersion": "1.11",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "quicksight.amazonaws.com"
    },
    "eventTime": "2025-07-23T23:33:46Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "quicksight.amazonaws.com",
    "userAgent": "quicksight.amazonaws.com",
    "requestParameters": {
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/87654321-4321-4321-4321-210987654321",
        "keySpec": "AES_256",
        "encryptionContext": {
            "aws:quicksight:arn": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1ca456fe-eb34-4250-805c-b1b9350bd164",
            "aws:s3:arn": "arn:aws:s3:::sn-imagegen.prod.us-west-2"
        }
    },
    ...
}

  3. aws:s3:arnè il bucket S3 di proprietà di Amazon Quick in cui sono archiviati gli elementi dei report.

  4. Se non vedi più GenerateDataKey, significa che le nuove esecuzioni di report non sono più crittografate con la CMK. Gli artefatti del report esistenti rimarranno crittografati.

Modifica della CMK predefinita

Puoi modificare la chiave predefinita con un'altra chiave già esistente nel pannello di controllo Chiavi KMS. Quando si modifica la chiave predefinita, tutti i nuovi dati Amazon Quick vengono crittografati sulla nuova chiave. La nuova chiave predefinita modifica il modo in cui i nuovi dati di Amazon Quick vengono crittografati. Tuttavia, i dati Amazon Quick esistenti continueranno a utilizzare la chiave predefinita precedente.

Per ulteriori informazioni su quali dati possono essere gestiti con la chiave, consulta Crittografia dei dati Amazon Quick con chiavi gestite dal AWS Key Management Service cliente.

Modifica della chiave predefinita con una chiave esistente

  1. Nella pagina iniziale di Amazon Quick, scegli Manage Amazon Quick, quindi scegli KMS keys.

  2. Scegli GESTISCI per aprire la dashboard delle chiavi KMS.

  3. Passa alla chiave che desideri impostare come nuova chiave predefinita. Scegli Operazioni (tre punti) sulla riga della chiave che desideri per aprire il menu della chiave.

  4. Scegli Imposta come predefinito, quindi scegli Imposta.

Nota

La chiave dati Q non può essere modificata. I dati Q rimarranno crittografati con la chiave predefinita corrente. Nel caso in cui questa chiave sia compromessa, puoi revocarne l'accesso.

La chiave selezionata è ora la tua chiave predefinita.

Rimozione della crittografia CMK sul tuo account Amazon Quick

Puoi rimuovere la chiave predefinita per disabilitare la crittografia dei dati nel tuo account Amazon Quick. La rimozione della chiave impedisce la crittografia di nuove risorse con una CMK.

Per rimuovere la crittografia CMK per i nuovi dati Amazon Quick

  1. Nella pagina iniziale di Amazon Quick, scegli Manage Amazon Quick, quindi scegli KMS keys.

  2. Nella pagina Chiavi KMS, scegli Gestisci per aprire il pannello di controllo Chiavi KMS.

  3. Scegli Operazioni (tre punti) nella riga della chiave predefinita, quindi scegli Elimina.

  4. Nella finestra a comparsa visualizzata, scegli Rimuovi.

Dopo aver eliminato la chiave predefinita dal tuo account, Amazon Quick interrompe la crittografia dei nuovi dati Amazon Quick. Tutti i dati crittografati esistenti rimarranno crittografati. I dati Q rimangono crittografati perché la chiave dati Q non può essere modificata. Nel caso in cui la chiave eliminata sia compromessa, puoi revocarne l'accesso.

Verifica dell'utilizzo di CMK in CloudTrail

Puoi controllare l'utilizzo della CMK del tuo account in AWS CloudTrail. Per controllare l'utilizzo delle chiavi, accedi al tuo AWS account CloudTrail, apri e scegli Cronologia eventi.

Revoca dell'accesso a un CMK

Puoi revocare l'accesso al tuo. CMKs Quando revochi l'accesso a una chiave utilizzata per crittografare i tuoi dati Amazon Quick, l'accesso alla chiave viene negato finché non annulli la revoca. I seguenti metodi sono esempi di come è possibile revocare l'accesso:

  • Disattiva la chiave in AWS KMS.

  • Aggiungi una Deny policy alla tua AWS KMS policy Amazon Quick in IAM.

Per ulteriori informazioni su quali dati possono essere gestiti con la chiave, consulta Crittografia dei dati Amazon Quick con chiavi gestite dal AWS Key Management Service cliente.

Utilizza la seguente procedura per revocare l'accesso al tuo CMKs account. AWS KMS

Per disattivare un CMK in AWS Key Management Service

  1. Accedi al tuo AWS account AWS KMS, apri e scegli Customer managed keys.

  2. Seleziona la chiave che desideri disattivare.

  3. Apri il menu Operazioni chiave e scegli Disabilita.

Per impedire un ulteriore utilizzo della CMK, puoi aggiungere una policy Deny in AWS Identity and Access Management (IAM). Utilizza "Service": "quicksight.amazonaws.com" come principale e l'ARN della chiave come risorsa. Nega le seguenti operazioni: "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey".

Importante

Dopo aver revocato l'accesso utilizzando un metodo qualsiasi, possono essere necessari fino a 15 minuti perché i dati diventino inaccessibili.

Recupero di dati Amazon Quick crittografati

Per ripristinare i dati di Amazon Quick mentre il relativo accesso è revocato

  1. Ripristina l'accesso alla CMK. Di solito, questo è sufficiente per recuperare i dati di Amazon Quick.

  2. Testa i dati di Amazon Quick per verificare se riesci a vederli.

  3. (Facoltativo) Se i dati non vengono ripristinati completamente anche dopo averne ripristinato l'accesso alla CMK, esegui un aggiornamento completo sui dati.

Per ulteriori informazioni su quali dati possono essere gestiti con la chiave, consulta Crittografia dei dati Amazon Quick con chiavi gestite dal AWS Key Management Service cliente.