AWS Key Management Service カスタマーマネージドキーを使用した Amazon Quick Suite データの暗号化

Amazon Quick Suite の開始ページで、Amazon Quick Suite の管理を選択し、KMS キーを選択します。

[KMS keys] (KMS キー) ページで、[Manage] (管理) を選択します。[KMS keys] (KMS キー) ダッシュボードが開きます。

[KMS Keys] (KMS キー) ダッシュボードで、[Select key] (キーを選択) を選択します。

[Select key] (キーの選択) ポップアップボックスで、[Key] (キー) を選択してリストを開きます。次に、追加するキーを選択します。

キーがリストにない場合は、キーの ARN を手動で入力できます。

(オプション) この Amazon Quick Suite アカウントの現在のリージョンにあるすべての新しいデータのデフォルト暗号化キーとして を選択し、選択したキーをデフォルトキーとして設定します。ステータスを示すバッジがデフォルトキーの横に表示されます。

デフォルトキーを選択すると、Amazon Quick Suite アカウントをホストするリージョンで作成されたすべての新しいデータがデフォルトキーで暗号化されます。

(オプション) この手順に記載している前の手順を繰り返して、キーをさらに追加します。キーはいくつでも追加できますが、デフォルトキーは一度に 1 つしか使用できません。

CloudTrail ログに移動します。詳細については、CloudTrail を使用した Amazon Quick Suite 情報のログ記録」を参照してください。

以下の検索引数を使用して、SPICE データセットの最新のグラントイベントを検索します。

{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "quicksight.amazonaws.com"
},
"eventTime": "2022-10-26T00:11:08Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "quicksight.amazonaws.com",
"userAgent": "quicksight.amazonaws.com",
"requestParameters": {
"constraints": {
    "encryptionContextSubset": {
        "aws:quicksight:arn": "arn:aws:quicksight:us-west-2:111122223333:dataset/12345678-1234-1234-1234-123456789012"
    }
},
"retiringPrincipal": "quicksight.amazonaws.com",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/87654321-4321-4321-4321-210987654321",
"granteePrincipal": "quicksight.amazonaws.com",
"operations": [
    "Encrypt",
    "Decrypt",
    "DescribeKey",
    "GenerateDataKey"
]
},
....
}

イベントタイプに応じて、次のいずれかが適用されます。

CreateGrant — 最近使用された CMK は、SPICE データセットの最後の CreateGrant イベントのキー ID (keyID) で確認できます。

RetireGrant – SPICE データセットの最新の CloudTrail イベントが RetireGrant の場合、キー ID は存在せず、リソースは CMK で暗号化されなくなります。

CloudTrail ログに移動します。詳細については、「を使用した Amazon Quick Sight 情報のログ記録 AWS CloudTrail」を参照してください。

以下の検索引数を使用して、レポート実行の最新の GenerateDataKey イベントを検索します。

{
    "eventVersion": "1.11",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "quicksight.amazonaws.com"
    },
    "eventTime": "2025-07-23T23:33:46Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "quicksight.amazonaws.com",
    "userAgent": "quicksight.amazonaws.com",
    "requestParameters": {
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/87654321-4321-4321-4321-210987654321",
        "keySpec": "AES_256",
        "encryptionContext": {
            "aws:quicksight:arn": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1ca456fe-eb34-4250-805c-b1b9350bd164",
            "aws:s3:arn": "arn:aws:s3:::sn-imagegen.prod.us-west-2"
        }
    },
    ...
}

aws:s3:arn は、レポートアーティファクトが保存されている Amazon Quick Suite 所有の S3 バケットです。

GenerateDataKey が表示されなくなった場合、新しいレポート実行は CMK で暗号化されなくなります。既存のレポートアーティファクトは暗号化されたままになります。

Amazon Quick Suite の開始ページで、Amazon Quick Suite の管理を選択し、KMS キーを選択します。

MANAGE を選択して KMS キーダッシュボードを開きます。

新しいデフォルトとして設定したいキーに移動します。キーのメニューを開きたいキーの行で [Actions] (アクション) (3 点リーダー) を選択します。

Set as default を選択し、Set を選択します。

Amazon Quick Suite の開始ページで、Amazon Quick Suite の管理を選択し、KMS キーを選択します。

[KMS keys] (KMS キー) ページで、[Manage] (管理) を選択して [KMS keys] (KMS キー) ダッシュボードを開きます。

デフォルトキーの行で [Actions] (アクション) (3 点リーダー) を選択し、[Delete] (削除) を選択します。

表示されるポップアップボックスで、[Remove] (削除する) を選択します。

AWS アカウントにログインし、 を開き AWS KMS、カスタマーマネージドキーを選択します。

オフにするキーを選択します。

[Key actions] (キーアクション) メニューを開き、[Disable] (無効) を選択します。

CMK へのアクセスを復元します。通常、これは Amazon Quick Suite データを復旧するのに十分です。

Amazon Quick Suite データをテストして、データが表示されるかどうかを確認します。

(オプション) CMK へのアクセスを回復してもデータが完全に回復しない場合は、データの完全更新を実行します。