AWS Key Management Service カスタマーマネージドキーを使用した QuickSight データの暗号化
QuickSight では、AWS Key Management Service で保存したキーを使用して QuickSight データを暗号化できます。これにより、データへのアクセスを監査し、規制上のセキュリティ要件を満たすためのツールが提供されます。必要な場合は、AWS KMS キーへのアクセスを取り消すことで、データへのアクセスをすぐにロックダウンできます。QuickSight で暗号化されたデータセットへのデータアクセスはすべて AWS CloudTrail にログインされています。管理者または監査人は、CloudTrail でデータアクセスを追跡して、いつ、どこでデータにアクセスしたかを特定できます。
カスタマーマネージドキー (CMK) を作成するには、Amazon QuickSight リソースと同じ AWS アカウントと AWS リージョンで AWS Key Management Service (AWS KMS) を使用します。その後、QuickSight 管理者は CMK を使用して QuickSight データを暗号化し、アクセスを制御できます。
CMK は、QuickSight コンソールまたは QuickSight API で作成および管理できます。QuickSight API での CMK の作成と管理の詳細については、「キー管理オペレーション」を参照してください。
QuickSight リソースでの CMK の使用には、次のルールが適用されます。
-
Amazon QuickSight は非対称 AWS KMS キーをサポートしていません。
-
AWS アカウント ごとに、AWS リージョン ごとに複数の CMK と 1 つのデフォルト CMK を使用できます。
-
デフォルトでは、QuickSight リソースは QuickSight ネイティブ暗号化戦略で暗号化されます。
-
CMK キーによって現在暗号化されているデータは、キーによって暗号化されたままになります。
注記
AWS Key Management Service を Amazon QuickSight と併用する場合、「AWS Key Management Service 料金ページ
現在デフォルト CMK になっているキーは、次の暗号化に自動的に使用されます。
-
新しい SPICE データセット。新しいデフォルトキーで暗号化するには、既存のデータセットを完全に更新する必要があります。
-
ダッシュボードスナップショット API、スケジュールされたレポートとエクスポート、またはダッシュボードを介して生成された新しいレポートアーティファクト。
Amazon QuickSight に関連付けられたノンカスタマーマネージドキーはすべて、AWS で管理されます。
AWS が管理していないデータベースサーバー証明書は、お客様が責任を分担するもので、信頼された CA によって署名されている必要があります。詳細については、「ネットワークとデータベースの設定要件」を参照してください。
Amazon QuickSight で CMK を使用する方法の詳細については、次のトピックを参照してください。
トピック
