QuickSight에서 사용하는 키 확인 - Amazon QuickSight

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

QuickSight에서 사용하는 키 확인

키를 사용하면 AWS CloudTrail에서 감사 로그가 생성됩니다. 로그를 사용하여 키 사용을 추적할 수 있습니다. QuickSight 데이터가 암호화된 키를 알아야 하는 경우 CloudTrail에서이 정보를 찾을 수 있습니다.

키로 관리할 수 있는 데이터에 대한 자세한 내용은 섹션을 참조하세요AWS Key Management Service 고객 관리형 키를 사용하여 QuickSight 데이터 암호화.

SPICE 데이터 세트에서 현재 사용하고 있는 CMK를 확인하세요.

  1. CloudTrail 로그로 이동합니다. 자세한 내용은 를 사용하여 QuickSight 정보 로깅 AWS CloudTrail 단원을 참조하십시오.

  2. 다음 검색 인수를 사용하여 SPICE 데이터 세트에 대한 가장 최근의 승인 이벤트를 찾습니다.

    • 이벤트 이름(eventName)에는 Grant이(가) 포함됩니다.

    • 요청 파라미터 requestParameters에는 데이터 세트에 대한 QuickSight ARN이 포함됩니다.

    {
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "quicksight.amazonaws.com"
},
"eventTime": "2022-10-26T00:11:08Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "quicksight.amazonaws.com",
"userAgent": "quicksight.amazonaws.com",
"requestParameters": {
"constraints": {
    "encryptionContextSubset": {
        "aws:quicksight:arn": "arn:aws:quicksight:us-west-2:111122223333:dataset/12345678-1234-1234-1234-123456789012"
    }
},
"retiringPrincipal": "quicksight.amazonaws.com",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/87654321-4321-4321-4321-210987654321",
"granteePrincipal": "quicksight.amazonaws.com",
"operations": [
    "Encrypt",
    "Decrypt",
    "DescribeKey",
    "GenerateDataKey"
]
},
....
}

  3. 이벤트 유형에 따라 다음 중 하나가 적용됩니다.

    CreateGrant - SPICE 데이터 세트의 마지막 CreateGrant 이벤트에 대한 키 ID(keyID)에서 가장 최근에 사용한 CMK를 찾을 수 있습니다.

    RetireGrant - SPICE 데이터 세트의 최신 CloudTrail 이벤트가 인 경우 키 IDRetireGrant가 없으며 리소스가 더 이상 CMK 암호화되지 않습니다.

보고서 아티팩트를 생성할 때 현재 사용되는 CMK 확인

  1. CloudTrail 로그로 이동합니다. 자세한 내용은 를 사용하여 QuickSight 정보 로깅 AWS CloudTrail 단원을 참조하십시오.

  2. 다음 검색 인수를 사용하여 보고서 실행에 대한 최신 GenerateDataKey 이벤트를 찾습니다.

    • 이벤트 이름(eventName)에는 GenerateDataKey 또는가 포함됩니다Decrypt.

    • 요청 파라미터(requestParameters)에는 보고서가 생성된 분석 또는 대시보드에 대한 QuickSight ARN이 포함됩니다.

    {
    "eventVersion": "1.11",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "quicksight.amazonaws.com"
    },
    "eventTime": "2025-07-23T23:33:46Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "quicksight.amazonaws.com",
    "userAgent": "quicksight.amazonaws.com",
    "requestParameters": {
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/87654321-4321-4321-4321-210987654321",
        "keySpec": "AES_256",
        "encryptionContext": {
            "aws:quicksight:arn": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1ca456fe-eb34-4250-805c-b1b9350bd164",
            "aws:s3:arn": "arn:aws:s3:::sn-imagegen.prod.us-west-2"
        }
    },
    ...
}

  3. aws:s3:arn는 보고서 아티팩트가 저장되는 QuickSight 소유 S3 버킷입니다.

  4. 가 더 이상 표시되지 않으면 GenerateDataKey새 보고서 실행은 더 이상 CMK 암호화되지 않습니다. 기존 보고서 아티팩트는 암호화된 상태로 유지됩니다.