Crittografia dei dati di Amazon Quick Suite con chiavi gestite dal AWS Key Management Service cliente - Amazon Quick Suite
Aggiungere una CMKVerificare una CMKModifica della CMK predefinitaRimuovere una chiave dal proprio accountUtilizzo della chiave di auditRevoca dell'accesso a un CMKRecuperare i dati crittografati

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crittografia dei dati di Amazon Quick Suite con chiavi gestite dal AWS Key Management Service cliente

Amazon Quick Suite ti consente di crittografare i dati di Amazon Quick Suite con le chiavi in AWS Key Management Service cui sono archiviati. Ciò fornisce gli strumenti per verificare l'accesso ai dati e soddisfare i requisiti di sicurezza normativi. Se necessario, hai la possibilità di bloccare immediatamente l'accesso ai tuoi dati revocando l'accesso alle chiavi. AWS KMS Tutti gli accessi ai dati alle risorse crittografate in Amazon Quick Suite vengono registrati. AWS CloudTrail Gli amministratori o i revisori possono tracciare l'accesso ai dati CloudTrail per identificare quando e dove è stato effettuato l'accesso ai dati.

Per creare chiavi gestite dal cliente (CMKs), usi AWS Key Management Service (AWS KMS) nello stesso AWS account e nella stessa AWS regione della risorsa Amazon Quick Suite. Un amministratore di Amazon Quick Suite può quindi utilizzare una CMK per crittografare i dati di Amazon Quick Suite e controllare l'accesso.

Puoi creare e gestire CMKs nella console Amazon Quick Suite o con Amazon Quick Suite APIs. Per ulteriori informazioni sulla creazione e la gestione CMKs con Amazon Quick Suite APIs, consulta Operazioni di gestione delle chiavi.

Le seguenti regole si applicano all'utilizzo CMKs con le risorse di Amazon Quick Suite:

  • Amazon Quick Suite non supporta le chiavi asimmetriche AWS KMS .

  • Puoi avere più CMK CMKs e una CMK predefinita per ogni unità. Account AWS Regione AWS

  • Per impostazione predefinita, le risorse di Amazon Quick Suite sono crittografate con strategie di crittografia native di Amazon Quick Suite.

  • I dati attualmente crittografati da una chiave CMK rimarranno crittografati dalla chiave.

Nota

Se utilizzi AWS Key Management Service Amazon Quick Suite, ti verranno addebitati i costi di accesso e manutenzione come descritto nella pagina dei AWS Key Management Service prezzi. Nell'estratto conto, i costi sono elencati in Amazon Quick Suite AWS KMS e non in Amazon Quick Suite.

Nota

I dati di Amazon Q sono crittografati da una chiave AWS gestita, non dalla AWS KMS chiave predefinita.

La chiave che attualmente è la CMK predefinita viene utilizzata automaticamente per crittografare:

  • Nuovi set di dati SPICE. Per essere crittografati con la nuova chiave predefinita, i set di dati esistenti devono essere completamente aggiornati.

  • Nuovi artefatti dei report generati tramite l'API snapshot del pannello di controllo, report pianificati ed esportazioni o pannelli di controllo.

Tutte le chiavi non gestite dal cliente associate ad Amazon Quick Suite sono gestite da AWS.

I certificati dei server di database che non sono gestiti da AWS sono sotto la responsabilità del cliente e devono essere firmati da una CA affidabile. Per ulteriori informazioni, consulta Requisiti di configurazione della rete e del database.

Utilizza i seguenti argomenti per saperne di più sull'utilizzo CMKs con Amazon Quick Suite. Per ulteriori informazioni sulla crittografia dei dati in Amazon Quick Suite, consulta Protezione dei dati in Amazon Quick Suite.

Aggiunta di una CMK al tuo account

Prima di iniziare, assicurati di avere un ruolo IAM che consenta all'utente amministratore di accedere alla console di gestione delle chiavi di amministrazione di Amazon Quick Suite. Per ulteriori informazioni sulle autorizzazioni richieste, consulta Politiche basate sull'identità IAM per Amazon Quick Suite: utilizzo della console di gestione delle chiavi di amministrazione.

Puoi aggiungere chiavi già esistenti nel AWS KMS tuo account Amazon Quick Suite, in modo da crittografare i dati di Amazon Quick Suite.

Per ulteriori informazioni su come creare una chiave da utilizzare in Amazon Quick Suite, consulta la AWS Key Management Service Developer Guide.

Per aggiungere una nuova CMK al tuo account Amazon Quick Suite.

  1. Nella pagina iniziale di Amazon Quick Suite, scegli Manage Amazon Quick Suite, quindi scegli KMS keys.

  2. Nella pagina Chiavi KMS, scegli Gestisci. Verrà aperto il pannello di controllo Chiavi KMS.

  3. Nel pannello di controllo Chiavi KMS, scegli Seleziona chiave.

  4. Nella finestra a comparsa Seleziona chiave, scegli Chiave per aprire l'elenco. Quindi sceglie la chiave da aggiungere.

    Se la tua chiave non è presente nell'elenco, puoi inserire manualmente l'ARN della chiave.

  5. (Facoltativo) Seleziona Usa come chiave di crittografia predefinita per tutti i nuovi dati nella regione corrente di questo account Amazon Quick Suite per impostare la chiave selezionata come chiave predefinita. Accanto alla chiave predefinita viene visualizzato un badge per indicarne lo stato.

    Quando scegli una chiave predefinita, tutti i nuovi dati creati nella regione che ospita il tuo account Amazon Quick Suite vengono crittografati con la chiave predefinita.

  6. (Facoltativo) Aggiungi altre chiavi ripetendo i passaggi precedenti di questa procedura. Sebbene sia possibile aggiungere tutte le chiavi desiderate, è possibile avere solo una chiave predefinita alla volta.

Verifica la chiave utilizzata da Amazon Quick Suite

Quando viene utilizzata una chiave, viene creato un log di controllo in AWS CloudTrail. È possibile utilizzare il log per tenere traccia dell'utilizzo della chiave. Se hai bisogno di sapere con quale chiave sono crittografati i dati di Amazon Quick Suite, puoi trovare queste informazioni in CloudTrail.

Per ulteriori informazioni su quali dati possono essere gestiti con la chiave, consulta Crittografia dei dati di Amazon Quick Suite con chiavi gestite dal AWS Key Management Service cliente.

Verifica della CMK correntemente utilizzata da un set di dati SPICE

  1. Accedi al tuo CloudTrail registro. Per ulteriori informazioni, consulta Registrazione delle informazioni di Amazon Quick Suite con CloudTrail.

  2. Individua gli eventi di concessione più recenti per il set di dati SPICE, utilizzando i seguenti argomenti di ricerca:

    • Il nome dell'evento (eventName) contiene Grant.

    • I parametri della richiesta requestParameters contengono l'ARN di Amazon Quick Suite per il set di dati.

    {
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "quicksight.amazonaws.com"
},
"eventTime": "2022-10-26T00:11:08Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "quicksight.amazonaws.com",
"userAgent": "quicksight.amazonaws.com",
"requestParameters": {
"constraints": {
    "encryptionContextSubset": {
        "aws:quicksight:arn": "arn:aws:quicksight:us-west-2:111122223333:dataset/12345678-1234-1234-1234-123456789012"
    }
},
"retiringPrincipal": "quicksight.amazonaws.com",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/87654321-4321-4321-4321-210987654321",
"granteePrincipal": "quicksight.amazonaws.com",
"operations": [
    "Encrypt",
    "Decrypt",
    "DescribeKey",
    "GenerateDataKey"
]
},
....
}

  3. A seconda del tipo di evento, si applica una delle seguenti condizioni:

    CreateGrant: è possibile trovare la CMK utilizzata più di recente nell'ID chiave (keyID) per l'ultimo evento CreateGrant per il set di dati SPICE.

    RetireGrant— Se l'ultimo CloudTrail evento dei SPICE set di dati èRetireGrant, non esiste un ID chiave e la risorsa non è più crittografata in CMK.

Verificare la CMK correntemente utilizzata quando si generano artefatti del report

  1. Accedi al tuo CloudTrail registro. Per ulteriori informazioni, consulta Registrazione delle informazioni di Amazon Quick Sight con AWS CloudTrail.

  2. Individua gli eventi GenerateDataKey più recenti per l'esecuzione del report utilizzando i seguenti argomenti di ricerca:

    • Il nome dell'evento (eventName) contiene GenerateDataKey o Decrypt.

    • I parametri della richiesta (requestParameters) contengono l'ARN di Amazon Quick Suite per l'analisi o il pannello di controllo per cui è stato generato il report.

    {
    "eventVersion": "1.11",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "quicksight.amazonaws.com"
    },
    "eventTime": "2025-07-23T23:33:46Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "quicksight.amazonaws.com",
    "userAgent": "quicksight.amazonaws.com",
    "requestParameters": {
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/87654321-4321-4321-4321-210987654321",
        "keySpec": "AES_256",
        "encryptionContext": {
            "aws:quicksight:arn": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1ca456fe-eb34-4250-805c-b1b9350bd164",
            "aws:s3:arn": "arn:aws:s3:::sn-imagegen.prod.us-west-2"
        }
    },
    ...
}

  3. aws:s3:arnè il bucket S3 di proprietà di Amazon Quick Suite in cui sono archiviati gli elementi dei report.

  4. Se non vedi più GenerateDataKey, significa che le nuove esecuzioni di report non sono più crittografate con la CMK. Gli artefatti del report esistenti rimarranno crittografati.

Modifica della CMK predefinita

Puoi modificare la chiave predefinita con un'altra chiave già esistente nel pannello di controllo Chiavi KMS. Quando modifichi la chiave predefinita, tutti i nuovi dati di Amazon Quick Suite vengono crittografati sulla nuova chiave. La nuova chiave predefinita modifica il modo in cui i nuovi dati di Amazon Quick Suite vengono crittografati. Tuttavia, i dati esistenti di Amazon Quick Suite continueranno a utilizzare la chiave predefinita precedente.

Per ulteriori informazioni su quali dati possono essere gestiti con la chiave, consulta Crittografia dei dati di Amazon Quick Suite con chiavi gestite dal AWS Key Management Service cliente.

Modifica della chiave predefinita con una chiave esistente

  1. Nella pagina iniziale di Amazon Quick Suite, scegli Manage Amazon Quick Suite, quindi scegli KMS keys.

  2. Scegli GESTISCI per aprire la dashboard delle chiavi KMS.

  3. Passa alla chiave che desideri impostare come nuova chiave predefinita. Scegli Operazioni (tre punti) sulla riga della chiave che desideri per aprire il menu della chiave.

  4. Scegli Imposta come predefinito, quindi scegli Imposta.

Nota

La chiave dati Q non può essere modificata. I dati Q rimarranno crittografati con la chiave predefinita corrente. Nel caso in cui questa chiave sia compromessa, puoi revocarne l'accesso.

La chiave selezionata è ora la tua chiave predefinita.

Rimozione della crittografia CMK sul tuo account Amazon Quick Suite

Puoi rimuovere la chiave predefinita per disabilitare la crittografia dei dati nel tuo account Amazon Quick Suite. La rimozione della chiave impedisce la crittografia di nuove risorse con una CMK.

Per rimuovere la crittografia CMK per i nuovi dati di Amazon Quick Suite

  1. Nella pagina iniziale di Amazon Quick Suite, scegli Manage Amazon Quick Suite, quindi scegli KMS keys.

  2. Nella pagina Chiavi KMS, scegli Gestisci per aprire il pannello di controllo Chiavi KMS.

  3. Scegli Operazioni (tre punti) nella riga della chiave predefinita, quindi scegli Elimina.

  4. Nella finestra a comparsa visualizzata, scegli Rimuovi.

Dopo aver eliminato la chiave predefinita dal tuo account, Amazon Quick Suite interrompe la crittografia dei nuovi dati di Amazon Quick Suite. Tutti i dati crittografati esistenti rimarranno crittografati. I dati Q rimangono crittografati perché la chiave dati Q non può essere modificata. Nel caso in cui la chiave eliminata sia compromessa, puoi revocarne l'accesso.

Verifica dell'utilizzo di CMK in CloudTrail

Puoi controllare l'utilizzo della CMK del tuo account in AWS CloudTrail. Per controllare l'utilizzo delle chiavi, accedi al tuo AWS account CloudTrail, apri e scegli Cronologia eventi.

Revoca dell'accesso a un CMK

Puoi revocare l'accesso al tuo. CMKs Quando revochi l'accesso a una chiave utilizzata per crittografare i dati di Amazon Quick Suite, l'accesso alla chiave viene negato finché non annulli la revoca. I seguenti metodi sono esempi di come è possibile revocare l'accesso:

  • Disattiva la chiave in AWS KMS.

  • Aggiungi una Deny policy alla policy di Amazon Quick Suite AWS KMS in IAM.

Per ulteriori informazioni su quali dati possono essere gestiti con la chiave, consulta Crittografia dei dati di Amazon Quick Suite con chiavi gestite dal AWS Key Management Service cliente.

Utilizza la seguente procedura per revocare l'accesso al tuo CMKs account. AWS KMS

Per disattivare un CMK in AWS Key Management Service

  1. Accedi al tuo AWS account AWS KMS, apri e scegli Customer managed keys.

  2. Seleziona la chiave che desideri disattivare.

  3. Apri il menu Operazioni chiave e scegli Disabilita.

Per impedire un ulteriore utilizzo della CMK, puoi aggiungere una policy Deny in AWS Identity and Access Management (IAM). Utilizza "Service": "quicksight.amazonaws.com" come principale e l'ARN della chiave come risorsa. Nega le seguenti operazioni: "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey".

Importante

Dopo aver revocato l'accesso utilizzando un metodo qualsiasi, possono essere necessari fino a 15 minuti perché i dati diventino inaccessibili.

Recupero di dati crittografati di Amazon Quick Suite

Per ripristinare i dati di Amazon Quick Suite mentre il relativo accesso è revocato

  1. Ripristina l'accesso alla CMK. Di solito, questo è sufficiente per recuperare i dati di Amazon Quick Suite.

  2. Testa i dati di Amazon Quick Suite per verificare se riesci a vederli.

  3. (Facoltativo) Se i dati non vengono ripristinati completamente anche dopo averne ripristinato l'accesso alla CMK, esegui un aggiornamento completo sui dati.

Per ulteriori informazioni su quali dati possono essere gestiti con la chiave, consulta Crittografia dei dati di Amazon Quick Suite con chiavi gestite dal AWS Key Management Service cliente.