기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS Key Management Service 고객 관리형 키를 사용하여 Amazon Quick Suite 데이터 암호화
Amazon Quick Suite를 사용하면 저장한 키로 Amazon Quick Suite 데이터를 암호화할 수 있습니다 AWS Key Management Service. 이를 통해 데이터에 대한 액세스를 감사하고 규제 보안 요구 사항을 충족할 수 있는 도구가 제공됩니다. 이렇게 해야 하는 경우 AWS KMS 키에 대한 액세스를 취소하여 데이터에 대한 액세스를 즉시 잠글 수 있습니다. Amazon Quick Suite의 암호화된 리소스에 대한 모든 데이터 액세스가 로그인됩니다 AWS CloudTrail. 관리자 또는 감사자는 CloudTrail에서 데이터 액세스를 추적하여 데이터에 액세스한 시기와 위치를 식별할 수 있습니다.
고객 관리형 키(CMKs 생성하려면 Amazon Quick Suite 리소스와 동일한 AWS 계정 및 AWS 리전에서 AWS Key Management Service (AWS KMS)를 사용합니다. 그러면 Amazon Quick Suite 관리자가 CMK를 사용하여 Amazon Quick Suite 데이터를 암호화하고 액세스를 제어할 수 있습니다.
Amazon Quick Suite 콘솔 또는 Amazon Quick Suite API를 사용하여 CMKs를 생성하고 관리할 수 있습니다. APIs Amazon Quick Suite APIsCMKs를 생성하고 관리하는 방법에 대한 자세한 내용은 키 관리 작업을 참조하세요.
Amazon Quick Suite 리소스와 함께 CMKs 사용하는 경우 다음 규칙이 적용됩니다.
-
Amazon Quick Suite는 비대칭 AWS KMS 키를 지원하지 않습니다.
-
당 여러 개의 CMKs와 하나의 기본 CMK를 가질 수 AWS 계정 있습니다 AWS 리전.
-
기본적으로 Amazon Quick Suite 리소스는 Amazon Quick Suite 네이티브 암호화 전략으로 암호화됩니다.
-
현재 CMK 키로 암호화된 데이터는 키로 암호화된 상태로 유지됩니다.
참고
Amazon Quick Suite와 AWS Key Management Service 함께를 사용하는 경우 AWS Key Management Service 요금 페이지에
참고
Amazon Q 데이터는 기본 키가 아닌 AWS 관리형 AWS KMS 키로 암호화됩니다.
현재 기본 CMK인 키는 다음을 암호화하는 데 자동으로 사용됩니다.
-
새 SPICE 데이터세트. 새 기본 키로 암호화하려면 기존 데이터세트를 완전히 새로 고쳐야 합니다.
-
대시보드 스냅샷 API, 예약된 보고서 및 내보내기 또는 대시보드를 통해 생성된 새 보고서 아티팩트.
Amazon Quick Suite와 연결된 모든 비고객 관리형 키는에서 관리합니다 AWS.
에서 관리하지 않는 데이터베이스 서버 인증서 AWS 는 고객의 책임이며 신뢰할 수 있는 CA가 서명해야 합니다. 자세한 내용은 네트워크 및 데이터베이스 구성 요구 사항을 참조하세요.
다음 주제를 사용하여 Amazon Quick Suite에서 CMKs 사용하는 방법에 대해 자세히 알아보세요. Amazon Quick Suite의 데이터 암호화에 대한 자세한 내용은 Amazon Quick Suite의 데이터 보호를 참조하세요.
주제
계정에 CMK를 추가합니다.
시작하기 전에 관리자 사용자에게 Amazon Quick Suite 관리자 키 관리 콘솔에 대한 액세스 권한을 부여하는 IAM 역할이 있는지 확인합니다. 필요한 권한에 대한 자세한 내용은 Amazon Quick Suite의 IAM 자격 증명 기반 정책: 관리자 키 관리 콘솔 사용을 참조하세요.
Amazon Quick Suite 데이터를 암호화 AWS KMS 할 수 있도록 Amazon Quick Suite 계정에 이미 존재하는 키를 추가할 수 있습니다.
Amazon Quick Suite에서 사용할 키를 생성하는 방법에 대한 자세한 내용은 AWS Key Management Service 개발자 안내서를 참조하세요.
Amazon Quick Suite 계정에 새 CMK를 추가합니다.
-
Amazon Quick Suite 시작 페이지에서 Amazon Quick Suite 관리를 선택한 다음 KMS 키를 선택합니다.
-
KMS 키 페이지에서 관리를 선택합니다. KMS 키 대시보드가 열립니다.
-
KMS 키 대시보드에서 키 선택을 선택합니다.
-
키 선택 팝업 상자에서 키를 선택하여 목록을 엽니다. 그런 다음 추가할 키를 선택합니다.
키가 목록에 없는 경우 키의 ARN을 수동으로 입력할 수 있습니다.
-
(선택 사항) 이 Amazon Quick Suite 계정의 현재 리전에 있는 모든 새 데이터에 대해 기본 암호화 키로 사용을 선택하여 선택한 키를 기본 키로 설정합니다. 기본 키 옆에 배지가 나타나 상태를 나타냅니다.
기본 키를 선택하면 Amazon Quick Suite 계정을 호스팅하는 리전에서 생성된 모든 새 데이터가 기본 키로 암호화됩니다.
-
(선택 사항) 이 절차의 이전 단계를 반복하여 키를 더 추가합니다. 원하는 만큼 키를 추가할 수 있지만 기본 키는 한 번에 하나만 사용할 수 있습니다.
Amazon Quick Suite에서 사용하는 키 확인
키를 사용하면 AWS CloudTrail에서 감사 로그가 생성됩니다. 로그를 사용하여 키 사용을 추적할 수 있습니다. Amazon Quick Suite 데이터가 암호화된 키를 알아야 하는 경우 CloudTrail에서이 정보를 찾을 수 있습니다.
키로 관리할 수 있는 데이터에 대한 자세한 내용은 AWS Key Management Service 고객 관리형 키를 사용하여 Amazon Quick Suite 데이터 암호화 섹션을 참조하세요.
SPICE 데이터 세트에서 현재 사용하고 있는 CMK를 확인하세요.
-
CloudTrail 로그로 이동합니다. 자세한 내용은 CloudTrail을 사용하여 Amazon Quick Suite 정보 로깅을 참조하세요.
-
다음 검색 인수를 사용하여 SPICE 데이터 세트에 대한 가장 최근의 승인 이벤트를 찾습니다.
-
이벤트 이름(
eventName)에는Grant이(가) 포함됩니다. -
요청 파라미터에는 데이터 세트에 대한 Amazon Quick Suite ARN이
requestParameters포함됩니다.
{ "eventVersion": "1.08", "userIdentity": { "type": "AWSService", "invokedBy": "quicksight.amazonaws.com" }, "eventTime": "2022-10-26T00:11:08Z", "eventSource": "kms.amazonaws.com", "eventName": "CreateGrant", "awsRegion": "us-west-2", "sourceIPAddress": "quicksight.amazonaws.com", "userAgent": "quicksight.amazonaws.com", "requestParameters": { "constraints": { "encryptionContextSubset": { "aws:quicksight:arn": "arn:aws:quicksight:us-west-2:111122223333:dataset/12345678-1234-1234-1234-123456789012" } }, "retiringPrincipal": "quicksight.amazonaws.com", "keyId": "arn:aws:kms:us-west-2:111122223333:key/87654321-4321-4321-4321-210987654321", "granteePrincipal": "quicksight.amazonaws.com", "operations": [ "Encrypt", "Decrypt", "DescribeKey", "GenerateDataKey" ] }, .... } -
-
이벤트 유형에 따라 다음 중 하나가 적용됩니다.
CreateGrant- SPICE 데이터 세트의 마지막CreateGrant이벤트에 대한 키 ID(keyID)에서 가장 최근에 사용한 CMK를 찾을 수 있습니다.RetireGrant- SPICE 데이터세트의 최신 CloudTrail 이벤트가RetireGrant인 경우 키 ID가 없으며 리소스는 더 이상 CMK로 암호화되지 않습니다.
보고서 아티팩트를 생성할 때 현재 사용되는 CMK 확인
-
CloudTrail 로그로 이동합니다. 자세한 내용은 를 사용하여 Amazon Quick Sight 정보 로깅 AWS CloudTrail 단원을 참조하십시오.
-
다음 검색 인수를 사용하여 보고서 실행에 대한 최근
GenerateDataKey이벤트를 찾습니다.-
이벤트 이름(
eventName)에는GenerateDataKey또는Decrypt가 포함됩니다. -
요청 파라미터(
requestParameters)에는 보고서가 생성된 분석 또는 대시보드에 대한 Amazon Quick Suite ARN이 포함됩니다.
{ "eventVersion": "1.11", "userIdentity": { "type": "AWSService", "invokedBy": "quicksight.amazonaws.com" }, "eventTime": "2025-07-23T23:33:46Z", "eventSource": "kms.amazonaws.com", "eventName": "GenerateDataKey", "awsRegion": "us-west-2", "sourceIPAddress": "quicksight.amazonaws.com", "userAgent": "quicksight.amazonaws.com", "requestParameters": { "keyId": "arn:aws:kms:us-west-2:111122223333:key/87654321-4321-4321-4321-210987654321", "keySpec": "AES_256", "encryptionContext": { "aws:quicksight:arn": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1ca456fe-eb34-4250-805c-b1b9350bd164", "aws:s3:arn": "arn:aws:s3:::sn-imagegen.prod.us-west-2" } }, ... } -
-
aws:s3:arn는 보고서 아티팩트가 저장되는 Amazon Quick Suite 소유 S3 버킷입니다. -
GenerateDataKey가 더 이상 표시되지 않으면 새 보고서 실행은 더 이상 CMK로 암호화되지 않습니다. 기존 보고서 아티팩트는 암호화된 상태로 유지됩니다.
기본 CMK 변경
기본 키를 KMS 키 대시보드에 이미 있는 다른 키로 변경할 수 있습니다. 기본 키를 변경하면 모든 새 Amazon Quick Suite 데이터가 새 키에서 암호화됩니다. 새 기본 키는 새 Amazon Quick Suite 데이터가 암호화되는 방식을 변경합니다. 그러나 기존 Amazon Quick Suite 데이터는 이전 기본 키를 계속 사용합니다.
키로 관리할 수 있는 데이터에 대한 자세한 내용은 AWS Key Management Service 고객 관리형 키를 사용하여 Amazon Quick Suite 데이터 암호화 섹션을 참조하세요.
기본 키를 기존 키로 변경하기
-
Amazon Quick Suite 시작 페이지에서 Amazon Quick Suite 관리를 선택한 다음 KMS 키를 선택합니다.
-
관리를 선택하여 KMS 키 대시보드를 엽니다.
-
새 기본값으로 설정하려는 키로 이동합니다. 키 메뉴를 열려는 키 행에서 작업(점 3개)을 선택합니다.
-
기본값으로 설정을 선택한 다음 설정을 선택합니다.
참고
Q 데이터 키는 변경할 수 없습니다. Q 데이터는 현재 기본 키로 암호화된 상태로 유지됩니다. 이 키가 손상된 경우 해당 키에 대한 액세스를 취소할 수 있습니다.
이제 선택한 키가 기본 키가 됩니다.
Amazon Quick Suite 계정에서 CMK 암호화 제거
기본 키를 제거하여 Amazon Quick Suite 계정에서 데이터 암호화를 비활성화할 수 있습니다. 키를 제거하면 CMK에서 새 리소스를 암호화할 수 없습니다.
새 Amazon Quick Suite 데이터에 대한 CMK 암호화를 제거하려면
-
Amazon Quick Suite 시작 페이지에서 Amazon Quick Suite 관리를 선택한 다음 KMS 키를 선택합니다.
-
KMS 키 페이지에서 관리를 선택하여 KMS 키 대시보드를 엽니다.
-
기본 키 행에서 작업(점 3개)을 선택한 다음 삭제를 선택합니다.
-
표시되는 팝업 상자에서 제거를 선택합니다.
계정에서 기본 키를 삭제하면 Amazon Quick Suite는 새 Amazon Quick Suite 데이터 암호화를 중지합니다. 기존의 모든 암호화된 데이터는 암호화된 상태로 유지됩니다. Q 데이터 키는 변경할 수 없으므로 Q 데이터는 암호화된 상태로 유지됩니다. 삭제된 키가 손상된 경우 해당 키에 대한 액세스를 취소할 수 있습니다.
CloudTrail에서 CMK 사용 감사
AWS CloudTrail에서 계정의 CMK 사용을 감사할 수 있습니다. 키 사용량을 감사하려면 AWS 계정에 로그인하고 CloudTrail을 연 다음 이벤트 기록을 선택합니다.
CMK에 대한 액세스 취소
CMKs에 대한 액세스를 취소할 수 있습니다. Amazon Quick Suite 데이터를 암호화하는 데 사용되는 키에 대한 액세스를 취소하면 취소를 취소할 때까지 해당 키에 대한 액세스가 거부됩니다. 액세스 권한을 취소하는 방법의 예는 다음과 같습니다.
-
AWS KMS에서 키를 끄십시오.
-
IAM의 Amazon Quick Suite
Deny정책에 AWS KMS 정책을 추가합니다.
키로 관리할 수 있는 데이터에 대한 자세한 내용은 AWS Key Management Service 고객 관리형 키를 사용하여 Amazon Quick Suite 데이터 암호화 섹션을 참조하세요.
다음 절차에 따라에서 CMKs에 대한 액세스를 취소합니다 AWS KMS.
에서 CMK를 끄려면 AWS Key Management Service
-
AWS 계정에 로그인 AWS KMS하고를 연 다음 고객 관리형 키를 선택합니다.
-
끄고 싶은 키를 선택합니다.
-
키 작업 메뉴를 열고 비활성화를 선택합니다.
CMK를 더 이상 사용하지 못하도록 AWS Identity and Access Management (IAM) 에 Deny 정책을 추가할 수 있습니다. "Service": "quicksight.amazonaws.com"을(를) 보안 주체로 사용하고 키의 ARN을 리소스로 사용합니다. 다음 작업을 거부하십시오. "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*",
"kms:DescribeKey"
중요
어떤 방법으로든 액세스를 취소한 후 데이터에 액세스할 수 없게 되기까지 최대 15분이 걸릴 수 있습니다.
암호화된 Amazon Quick Suite 데이터 복구
액세스가 취소되는 동안 Amazon Quick Suite 데이터를 복구하려면
-
CMK에 대한 액세스를 복원하십시오. 일반적으로 이는 Amazon Quick Suite 데이터를 복구하는 데 충분합니다.
-
Amazon Quick Suite 데이터를 테스트하여 볼 수 있는지 확인합니다.
-
(선택 사항) CMK에 대한 액세스를 복원한 후에도 데이터가 완전히 복구되지 않으면 데이터에서 전체 새로 고침을 수행하세요.
키로 관리할 수 있는 데이터에 대한 자세한 내용은 AWS Key Management Service 고객 관리형 키를 사용하여 Amazon Quick Suite 데이터 암호화 섹션을 참조하세요.
