Como criptografar seus dados do QuickSight com chaves do AWS Key Management Service gerenciadas pelo cliente

O QuickSight permite que você criptografe seus dados do QuickSight usando as chaves armazenadas no AWS Key Management Service. Isso fornece as ferramentas para auditar o acesso aos dados e atender aos requisitos regulatórios de segurança. Se precisar fazer isso, você tem a opção de bloquear imediatamente o acesso aos seus dados revogando o acesso às chaves do AWS KMS. Todo o acesso a dados aos recursos criptografados no QuickSight é registrado em log no AWS CloudTrail. Administradores ou auditores podem rastrear o acesso aos dados no CloudTrail para identificar quando e onde os dados foram acessados.

Para criar chaves gerenciadas pelo cliente (CMKs), você usa o AWS Key Management Service (AWS KMS) na mesma conta da AWS e região da AWS do recurso do Amazon QuickSight. Um administrador do QuickSight pode então usar uma CMK para criptografar seus dados do QuickSight e controlar o acesso.

É possível criar e gerenciar CMKs tanto no console do QuickSight quanto ao usar as APIs do QuickSight. Para obter mais informações sobre como criar e gerenciar CMKs por meio das APIs do QuickSight, consulte Key management operations.

As seguintes regras se aplicam ao uso de CMKs com recursos do QuickSight:

O Amazon QuickSight não oferece suporte a chaves assimétricas do AWS KMS.
Você pode ter várias CMKs e uma CMK padrão por Conta da AWS por Região da AWS.
Por padrão, os recursos do QuickSight são criptografados com estratégias de criptografia nativas do QuickSight.
Os dados atualmente criptografados por uma chave CMK permanecerão criptografados pela chave.

nota

Se você usa o AWS Key Management Service com o Amazon QuickSight, o acesso e a manutenção são cobrados conforme descrito na página de preços do AWS Key Management Service. No seu extrato de cobrança, os custos são detalhados no AWS KMS e não no QuickSight.

A chave que atualmente é a CMK padrão é usada automaticamente para criptografar o seguinte:

Novos conjuntos de dados SPICE. Os conjuntos de dados existentes precisam ser totalmente atualizados para serem criptografados pela nova chave padrão.
Novos artefatos de relatórios gerados por meio da API de snapshots do painel, relatórios e exportações programados ou painéis.

Todas as chaves que não são gerenciadas pelo cliente associadas ao Amazon QuickSight são gerenciadas pela AWS.

Os certificados de servidor de banco de dados que não são gerenciados pela AWS são de responsabilidade do cliente e devem ser assinados por uma CA confiável. Para obter mais informações, consulte Requisitos de configuração de rede e banco de dados.

Use os tópicos a seguir para saber mais sobre como usar CMKs com o Amazon QuickSight.

Tópicos

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Criptografia de dados

Adição de uma CMK