기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# AWS Key Management Service 고객 관리형 키를 사용하여 Amazon Quick 데이터 암호화
Amazon Quick을 사용하면 저장한 키로 Amazon Quick 데이터를 암호화할 수 있습니다 AWS Key Management Service. 이를 통해 데이터에 대한 액세스를 감사하고 규제 보안 요구 사항을 충족할 수 있는 도구가 제공됩니다. 이렇게 해야 하는 경우 AWS KMS 키에 대한 액세스를 취소하여 데이터에 대한 액세스를 즉시 잠글 수 있습니다. Amazon Quick의 암호화된 리소스에 대한 모든 데이터 액세스가 로그인됩니다 AWS CloudTrail. 관리자 또는 감사자는 CloudTrail에서 데이터 액세스를 추적하여 데이터에 액세스한 시기와 위치를 식별할 수 있습니다.
고객 관리형 키(CMKs 생성하려면 Amazon Quick 리소스와 동일한 AWS 계정 및 AWS 리전에서 AWS Key Management Service (AWS KMS)를 사용합니다. 그러면 Amazon Quick 관리자가 CMK를 사용하여 Amazon Quick 데이터를 암호화하고 액세스를 제어할 수 있습니다.
Amazon Quick 콘솔 또는 Amazon Quick API를 사용하여 CMKs를 생성하고 관리할 수 있습니다. APIs Amazon Quick APIsCMKs를 생성하고 관리하는 방법에 대한 자세한 내용은 [키 관리 작업을](https://docs.aws.amazon.com/quicksight/latest/developerguide/cmk-operations.html) 참조하세요.
Amazon Quick 리소스에서 CMKs를 사용하는 경우 다음 규칙이 적용됩니다.
+ Amazon Quick은 비대칭 AWS KMS 키를 지원하지 않습니다.
+ 당 여러 개의 CMKs와 하나의 기본 CMK를 가질 수 AWS 계정 있습니다 AWS 리전.
+ 기본적으로 Amazon Quick 리소스는 Amazon Quick-네이티브 암호화 전략으로 암호화됩니다.
+ 현재 CMK 키로 암호화된 데이터는 키로 암호화된 상태로 유지됩니다.
**참고**
Amazon Quick과 AWS Key Management Service 함께를 사용하는 경우 [AWS Key Management Service 요금 페이지에](https://aws.amazon.com/kms/pricing) 설명된 대로 액세스 및 유지 관리에 대한 요금이 청구됩니다. 결제 명세서에서 비용은 Amazon Quick AWS KMS 이 아닌 아래에 항목별로 표시됩니다.
**참고**
Amazon Q 데이터는 기본 키가 아닌 AWS 관리형 AWS KMS 키로 암호화됩니다.
현재 기본 CMK인 키는 다음을 암호화하는 데 자동으로 사용됩니다.
+ 새 SPICE 데이터세트. 새 기본 키로 암호화하려면 기존 데이터세트를 완전히 새로 고쳐야 합니다.
+ 대시보드 스냅샷 API, 예약된 보고서 및 내보내기 또는 대시보드를 통해 생성된 새 보고서 아티팩트.
Amazon Quick과 연결된 모든 비고객 관리형 키는에서 관리합니다 AWS.
에서 관리하지 않는 데이터베이스 서버 인증서 AWS 는 고객의 책임이며 신뢰할 수 있는 CA가 서명해야 합니다. 자세한 내용은 [네트워크 및 데이터베이스 구성 요구 사항을](https://docs.aws.amazon.com/quicksuite/latest/userguide/configure-access.html) 참조하세요.
다음 주제를 사용하여 Amazon Quick에서 CMKs 사용하는 방법에 대해 자세히 알아보세요. Amazon Quick의 데이터 암호화에 대한 자세한 내용은 Amazon [Quick의 데이터 보호를 참조하세요](https://docs.aws.amazon.com/quicksuite/latest/userguide/sec-data-protection.html).
**Topics**
+ [계정에 CMK를 추가합니다.](#customer-managed-keys-create-key)
+ [Amazon Quick에서 사용하는 키 확인](#customer-managed-keys-verify-key)
+ [기본 CMK 변경](#customer-managed-keys-change-default-key)
+ [Amazon Quick 계정에서 CMK 암호화 제거](#customer-managed-keys-remove-cmks)
+ [CloudTrail에서 CMK 사용 감사](#customer-managed-key-audit)
+ [CMK에 대한 액세스 취소](#customer-managed-key-revoke-access)
+ [암호화된 Amazon Quick 데이터 복구](#customer-managed-key-recovery)
## 계정에 CMK를 추가합니다.
시작하기 전에 관리자 사용자에게 Amazon Quick 관리자 키 관리 콘솔에 대한 액세스 권한을 부여하는 IAM 역할이 있는지 확인합니다. 필요한 권한에 대한 자세한 내용은 [Amazon Quick의 IAM 자격 증명 기반 정책: 관리자 키 관리 콘솔 사용을 참조하세요](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html#security_iam_id-based-policy-examples-admin-key-management-console).
AWS KMS Amazon Quick 계정에 이미 존재하는 키를 추가하여 Amazon Quick 데이터를 암호화할 수 있습니다.
Amazon Quick에서 사용할 키를 생성하는 방법에 대한 자세한 내용은 [AWS Key Management Service 개발자 안내서](https://docs.aws.amazon.com//kms/latest/developerguide/overview.html)를 참조하세요.
**Amazon Quick 계정에 새 CMK를 추가합니다.**
1. Amazon Quick 시작 페이지에서 **Amazon Quick 관리를** 선택한 다음 **KMS 키를** 선택합니다.
1. **KMS 키** 페이지에서 **관리**를 선택합니다. **KMS 키** 대시보드가 열립니다.
1. **KMS 키** 대시보드에서 **키 선택**을 선택합니다.
1. **키 선택** 팝업 상자에서 **키**를 선택하여 목록을 엽니다. 그런 다음 추가할 키를 선택합니다.
키가 목록에 없는 경우 키의 ARN을 수동으로 입력할 수 있습니다.
1. (선택 사항) **이 Amazon Quick 계정의 현재 리전에 있는 모든 새 데이터에 대해 기본 암호화 키로 사용을** 선택하여 선택한 키를 기본 키로 설정합니다. 기본 키 옆에 배지가 나타나 상태를 나타냅니다.
기본 키를 선택하면 Amazon Quick 계정을 호스팅하는 리전에서 생성된 모든 새 데이터가 기본 키로 암호화됩니다.
1. (선택 사항) 이 절차의 이전 단계를 반복하여 키를 더 추가합니다. 원하는 만큼 키를 추가할 수 있지만 기본 키는 한 번에 하나만 사용할 수 있습니다.
## Amazon Quick에서 사용하는 키 확인
키를 사용하면 AWS CloudTrail에서 감사 로그가 생성됩니다. 로그를 사용하여 키 사용을 추적할 수 있습니다. Amazon Quick 데이터가 암호화된 키를 알아야 하는 경우 CloudTrail에서이 정보를 찾을 수 있습니다.
키로 관리할 수 있는 데이터에 대한 자세한 내용은 [AWS Key Management Service 고객 관리형 키를 사용하여 Amazon Quick 데이터 암호화](#customer-managed-keys) 섹션을 참조하세요.
**SPICE 데이터 세트에서 현재 사용하고 있는 CMK를 확인하세요.**
1. CloudTrail 로그로 이동합니다. 자세한 내용은 [ CloudTrail을 사용하여 Amazon Quick 정보 로깅](https://docs.aws.amazon.com/quicksight/latest/user/logging-using-cloudtrail.html)을 참조하세요.
1. 다음 검색 인수를 사용하여 SPICE 데이터 세트에 대한 가장 최근의 승인 이벤트를 찾습니다.
+ 이벤트 이름(`eventName`)에는 `Grant`이(가) 포함됩니다.
+ 요청 파라미터에는 데이터 세트에 대한 Amazon Quick ARN이 `requestParameters` 포함됩니다.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "quicksight.amazonaws.com"
},
"eventTime": "2022-10-26T00:11:08Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "quicksight.amazonaws.com",
"userAgent": "quicksight.amazonaws.com",
"requestParameters": {
"constraints": {
"encryptionContextSubset": {
"aws:quicksight:arn": "arn:aws:quicksight:us-west-2:111122223333:dataset/12345678-1234-1234-1234-123456789012"
}
},
"retiringPrincipal": "quicksight.amazonaws.com",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/87654321-4321-4321-4321-210987654321",
"granteePrincipal": "quicksight.amazonaws.com",
"operations": [
"Encrypt",
"Decrypt",
"DescribeKey",
"GenerateDataKey"
]
},
....
}
```
1. 이벤트 유형에 따라 다음 중 하나가 적용됩니다.
**`CreateGrant`** - SPICE 데이터 세트의 마지막 `CreateGrant` 이벤트에 대한 키 ID(`keyID`)에서 가장 최근에 사용한 CMK를 찾을 수 있습니다.
**`RetireGrant`** - SPICE 데이터세트의 최신 CloudTrail 이벤트가 `RetireGrant`인 경우 키 ID가 없으며 리소스는 더 이상 CMK로 암호화되지 않습니다.
**보고서 아티팩트를 생성할 때 현재 사용되는 CMK 확인**
1. CloudTrail 로그로 이동합니다. 자세한 내용은 [를 사용하여 Amazon Quick Sight 정보 로깅 AWS CloudTrail](incident-response-logging-and-monitoring-qs.md#logging-using-cloudtrail) 단원을 참조하십시오.
1. 다음 검색 인수를 사용하여 보고서 실행에 대한 최근 `GenerateDataKey` 이벤트를 찾습니다.
+ 이벤트 이름(`eventName`)에는 `GenerateDataKey` 또는 `Decrypt`가 포함됩니다.
+ 요청 파라미터(`requestParameters`)에는 보고서가 생성된 분석 또는 대시보드에 대한 Amazon Quick ARN이 포함됩니다.
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "AWSService",
"invokedBy": "quicksight.amazonaws.com"
},
"eventTime": "2025-07-23T23:33:46Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "quicksight.amazonaws.com",
"userAgent": "quicksight.amazonaws.com",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/87654321-4321-4321-4321-210987654321",
"keySpec": "AES_256",
"encryptionContext": {
"aws:quicksight:arn": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1ca456fe-eb34-4250-805c-b1b9350bd164",
"aws:s3:arn": "arn:aws:s3:::sn-imagegen.prod.us-west-2"
}
},
...
}
```
1. `aws:s3:arn`는 보고서 아티팩트가 저장되는 Amazon Quick 소유 S3 버킷입니다.
1. `GenerateDataKey`가 더 이상 표시되지 않으면 새 보고서 실행은 더 이상 CMK로 암호화되지 않습니다. 기존 보고서 아티팩트는 암호화된 상태로 유지됩니다.
## 기본 CMK 변경
기본 키를 **KMS 키** 대시보드에 이미 있는 다른 키로 변경할 수 있습니다. 기본 키를 변경하면 모든 새 Amazon Quick 데이터가 새 키에서 암호화됩니다. 새 기본 키는 새 Amazon Quick 데이터가 암호화되는 방식을 변경합니다. 그러나 기존 Amazon Quick 데이터는 이전 기본 키를 계속 사용합니다.
키로 관리할 수 있는 데이터에 대한 자세한 내용은 [AWS Key Management Service 고객 관리형 키를 사용하여 Amazon Quick 데이터 암호화](#customer-managed-keys) 섹션을 참조하세요.
**기본 키를 기존 키로 변경하기**
1. Amazon Quick 시작 페이지에서 **Amazon Quick 관리를** 선택한 다음 **KMS 키를** 선택합니다.
1. **관리를** 선택하여 **KMS 키** 대시보드를 엽니다.
1. 새 기본값으로 설정하려는 키로 이동합니다. 키 메뉴를 열려는 키 행에서 **작업**(점 3개)을 선택합니다.
1. **기본값으로 설정을** 선택한 다음 **설정을** 선택합니다.
**참고**
Q 데이터 키는 변경할 수 없습니다. Q 데이터는 현재 기본 키로 암호화된 상태로 유지됩니다. 이 키가 손상된 경우 해당 키[에 대한 액세스를 취소할 수 있습니다](#customer-managed-key-revoke-access).
이제 선택한 키가 기본 키가 됩니다.
## Amazon Quick 계정에서 CMK 암호화 제거
기본 키를 제거하여 Amazon Quick 계정에서 데이터 암호화를 비활성화할 수 있습니다. 키를 제거하면 CMK에서 새 리소스를 암호화할 수 없습니다.
**새 Amazon Quick 데이터에 대한 CMK 암호화를 제거하려면**
1. Amazon Quick 시작 페이지에서 **Amazon Quick 관리를** 선택한 다음 **KMS 키를** 선택합니다.
1. **KMS 키** 페이지에서 **관리**를 선택하여 **KMS 키** 대시보드를 엽니다.
1. 기본 키 행에서 **작업**(점 3개)을 선택한 다음 **삭제**를 선택합니다.
1. 표시되는 팝업 상자에서 **제거**를 선택합니다.
계정에서 기본 키를 삭제하면 Amazon Quick은 새 Amazon Quick 데이터 암호화를 중지합니다. 기존의 모든 암호화된 데이터는 암호화된 상태로 유지됩니다. Q 데이터 키는 변경할 수 없으므로 Q 데이터는 암호화된 상태로 유지됩니다. 삭제된 키가 손상된 경우 해당 키에 [대한 액세스를 취소할 수 있습니다](#customer-managed-key-revoke-access).
## CloudTrail에서 CMK 사용 감사
AWS CloudTrail에서 계정의 CMK 사용을 감사할 수 있습니다. 키 사용량을 감사하려면 AWS 계정에 로그인하고 CloudTrail을 연 다음 **이벤트 기록을** 선택합니다.
## CMK에 대한 액세스 취소
CMKs에 대한 액세스를 취소할 수 있습니다. Amazon Quick 데이터를 암호화하는 데 사용되는 키에 대한 액세스를 취소하면 취소를 취소할 때까지 해당 키에 대한 액세스가 거부됩니다. 액세스 권한을 취소하는 방법의 예는 다음과 같습니다.
+ AWS KMS에서 키를 끄십시오.
+ IAM의 Amazon Quick `Deny` 정책에 AWS KMS 정책을 추가합니다.
키로 관리할 수 있는 데이터에 대한 자세한 내용은 [AWS Key Management Service 고객 관리형 키를 사용하여 Amazon Quick 데이터 암호화](#customer-managed-keys) 섹션을 참조하세요.
다음 절차에 따라에서 CMKs에 대한 액세스를 취소합니다 AWS KMS.
**에서 CMK를 끄려면 AWS Key Management Service**
1. AWS 계정에 로그인 AWS KMS하고를 연 다음 **고객 관리형 키를** 선택합니다.
1. 끄고 싶은 키를 선택합니다.
1. **키 작업** 메뉴를 열고 **비활성화**를 선택합니다.
CMK를 더 이상 사용하지 못하도록 AWS Identity and Access Management (IAM) 에 `Deny` 정책을 추가할 수 있습니다. `"Service": "quicksight.amazonaws.com"`을(를) 보안 주체로 사용하고 키의 ARN을 리소스로 사용합니다. 다음 작업을 거부하십시오. `"kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey"`
**중요**
어떤 방법으로든 액세스를 취소한 후 데이터에 액세스할 수 없게 되기까지 최대 15분이 걸릴 수 있습니다.
## 암호화된 Amazon Quick 데이터 복구
**액세스가 취소되는 동안 Amazon Quick 데이터를 복구하려면**
1. CMK에 대한 액세스를 복원하십시오. 일반적으로 이는 Amazon Quick 데이터를 복구하는 데 충분합니다.
1. Amazon Quick 데이터를 테스트하여 볼 수 있는지 확인합니다.
1. (선택 사항) CMK에 대한 액세스를 복원한 후에도 데이터가 완전히 복구되지 않으면 데이터에서 전체 새로 고침을 수행하세요.
키로 관리할 수 있는 데이터에 대한 자세한 내용은 [AWS Key Management Service 고객 관리형 키를 사용하여 Amazon Quick 데이터 암호화](#customer-managed-keys) 섹션을 참조하세요.