QuickSight에서 사용하는 키 확인

키를 사용하면 AWS CloudTrail에서 감사 로그가 생성됩니다. 로그를 사용하여 키 사용을 추적할 수 있습니다. QuickSight 데이터가 암호화되는 키를 알아야 하는 경우 CloudTrail에서 이 정보를 찾을 수 있습니다.

키로 관리할 수 있는 데이터에 대한 자세한 내용은 AWS Key Management Service 고객 관리형 키로 QuickSight 데이터 암호화 섹션을 참조하세요.

SPICE 데이터 세트에서 현재 사용하고 있는 CMK를 확인하세요.

CloudTrail 로그로 이동합니다. 자세한 내용은 AWS CloudTrail을 사용하여 QuickSight 정보 로깅 섹션을 참조하세요.

다음 검색 인수를 사용하여 SPICE 데이터 세트에 대한 가장 최근의 승인 이벤트를 찾습니다.

이벤트 이름(eventName)에는 Grant이(가) 포함됩니다.
요청 파라미터 requestParameters에는 데이터 세트에 대한 QuickSight ARN이 포함됩니다.


{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "quicksight.amazonaws.com"
},
"eventTime": "2022-10-26T00:11:08Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "quicksight.amazonaws.com",
"userAgent": "quicksight.amazonaws.com",
"requestParameters": {
"constraints": {
    "encryptionContextSubset": {
        "aws:quicksight:arn": "arn:aws:quicksight:us-west-2:111122223333:dataset/12345678-1234-1234-1234-123456789012"
    }
},
"retiringPrincipal": "quicksight.amazonaws.com",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/87654321-4321-4321-4321-210987654321",
"granteePrincipal": "quicksight.amazonaws.com",
"operations": [
    "Encrypt",
    "Decrypt",
    "DescribeKey",
    "GenerateDataKey"
]
},
....
}

이벤트 유형에 따라 다음 중 하나가 적용됩니다.

CreateGrant - SPICE 데이터 세트의 마지막 CreateGrant 이벤트에 대한 키 ID(keyID)에서 가장 최근에 사용한 CMK를 찾을 수 있습니다.

RetireGrant - SPICE 데이터세트의 최신 CloudTrail 이벤트가 RetireGrant인 경우 키 ID가 없으며 리소스는 더 이상 CMK로 암호화되지 않습니다.

보고서 아티팩트를 생성할 때 현재 사용되는 CMK 확인

CloudTrail 로그로 이동합니다. 자세한 내용은 AWS CloudTrail을 사용하여 QuickSight 정보 로깅 섹션을 참조하세요.

다음 검색 인수를 사용하여 보고서 실행에 대한 최근 GenerateDataKey 이벤트를 찾습니다.

이벤트 이름(eventName)에는 GenerateDataKey 또는 Decrypt가 포함됩니다.
요청 파라미터(requestParameters)에는 보고서가 생성된 분석 또는 대시보드에 대한 QuickSight ARN이 포함됩니다.


{
    "eventVersion": "1.11",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "quicksight.amazonaws.com"
    },
    "eventTime": "2025-07-23T23:33:46Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "quicksight.amazonaws.com",
    "userAgent": "quicksight.amazonaws.com",
    "requestParameters": {
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/87654321-4321-4321-4321-210987654321",
        "keySpec": "AES_256",
        "encryptionContext": {
            "aws:quicksight:arn": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1ca456fe-eb34-4250-805c-b1b9350bd164",
            "aws:s3:arn": "arn:aws:s3:::sn-imagegen.prod.us-west-2"
        }
    },
    ...
}

aws:s3:arn은 보고서 아티팩트가 저장되는 QuickSight에서 소유한 S3 버킷입니다.
GenerateDataKey가 더 이상 표시되지 않으면 새 보고서 실행은 더 이상 CMK로 암호화되지 않습니다. 기존 보고서 아티팩트는 암호화된 상태로 유지됩니다.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

CMK 추가

기본 CMK 변경