Verificar a chave usada pelo QuickSight
Quando uma chave é usada, um log de auditoria é criado no AWS CloudTrail. Você pode usar o log para rastrear o uso da chave. Se precisar saber por qual chave os dados do QuickSight são criptografados, é possível encontrar essas informações no CloudTrail.
Para saber mais sobre quais dados podem ser gerenciados com a chave, consulte Como criptografar seus dados do QuickSight com chaves do AWS Key Management Service gerenciadas pelo cliente.
Verificar a CMK usada atualmente por um conjunto de dados do SPICE
-
Navegue até o log do CloudTrail. Para obter mais informações, consulte Registro em log de informações do QuickSight com o AWS CloudTrail.
-
Localize os eventos de concessão mais recentes do conjunto de dados do SPICE usando os seguintes argumentos de pesquisa:
-
O nome do evento (
eventName) contémGrant. -
Os parâmetros da solicitação
requestParameterscontêm o ARN do QuickSight para o conjunto de dados.
{ "eventVersion": "1.08", "userIdentity": { "type": "AWSService", "invokedBy": "quicksight.amazonaws.com" }, "eventTime": "2022-10-26T00:11:08Z", "eventSource": "kms.amazonaws.com", "eventName": "CreateGrant", "awsRegion": "us-west-2", "sourceIPAddress": "quicksight.amazonaws.com", "userAgent": "quicksight.amazonaws.com", "requestParameters": { "constraints": { "encryptionContextSubset": { "aws:quicksight:arn": "arn:aws:quicksight:us-west-2:111122223333:dataset/12345678-1234-1234-1234-123456789012" } }, "retiringPrincipal": "quicksight.amazonaws.com", "keyId": "arn:aws:kms:us-west-2:111122223333:key/87654321-4321-4321-4321-210987654321", "granteePrincipal": "quicksight.amazonaws.com", "operations": [ "Encrypt", "Decrypt", "DescribeKey", "GenerateDataKey" ] }, .... } -
-
Dependendo do tipo de evento, uma das seguintes opções se aplica:
CreateGrant: você pode encontrar a CMK usada mais recentemente no ID da chave (keyID) do último eventoCreateGrantdo conjunto de dados do SPICE.RetireGrant: se o último evento do CloudTrail do conjunto de dados do SPICE forRetireGrant, não haverá ID de chave e o recurso não será mais criptografado pela CMK.
Verificar a CMK que é usada atualmente ao gerar artefatos de relatórios
-
Navegue até o log do CloudTrail. Para obter mais informações, consulte Registro em log de informações do QuickSight com o AWS CloudTrail.
-
Localize os eventos de
GenerateDataKeymais recentes de execução de relatórios usando os seguintes argumentos de pesquisa:-
O nome do evento (
eventName) contémGenerateDataKeyouDecrypt. -
Os parâmetros da solicitação (
requestParameters) contêm o ARN do QuickSight para a análise ou painel para o qual o relatório foi gerado.
{ "eventVersion": "1.11", "userIdentity": { "type": "AWSService", "invokedBy": "quicksight.amazonaws.com" }, "eventTime": "2025-07-23T23:33:46Z", "eventSource": "kms.amazonaws.com", "eventName": "GenerateDataKey", "awsRegion": "us-west-2", "sourceIPAddress": "quicksight.amazonaws.com", "userAgent": "quicksight.amazonaws.com", "requestParameters": { "keyId": "arn:aws:kms:us-west-2:111122223333:key/87654321-4321-4321-4321-210987654321", "keySpec": "AES_256", "encryptionContext": { "aws:quicksight:arn": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1ca456fe-eb34-4250-805c-b1b9350bd164", "aws:s3:arn": "arn:aws:s3:::sn-imagegen.prod.us-west-2" } }, ... } -
-
aws:s3:arné o bucket do S3 pertencente ao QuickSight onde seus artefatos de relatórios são armazenados. -
Se você não vir mais
GenerateDataKey, as novas execuções de relatórios não serão mais criptografadas pela CMK. Os artefatos de relatórios existentes permanecerão criptografados.
