Criptografando seus dados do Amazon Quick com chaves gerenciadas pelo AWS Key Management Service cliente - Amazon Quick
Adição de uma CMKVerificação de uma CMKAlterar a CMK padrãoRemoção de uma chave da sua contaAuditoria do uso das chavesRevogando o acesso a uma CMKRecuperar dados criptografados

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criptografando seus dados do Amazon Quick com chaves gerenciadas pelo AWS Key Management Service cliente

O Amazon Quick permite que você criptografe seus dados do Amazon Quick com as chaves nas AWS Key Management Service quais você armazenou. Isso fornece as ferramentas para auditar o acesso aos dados e atender aos requisitos regulatórios de segurança. Se precisar fazer isso, você tem a opção de bloquear imediatamente o acesso aos seus dados revogando o acesso às AWS KMS chaves. Todo o acesso de dados aos recursos criptografados no Amazon Quick está logado AWS CloudTrail. Administradores ou auditores podem rastrear o acesso aos dados CloudTrail para identificar quando e onde os dados foram acessados.

Para criar chaves gerenciadas pelo cliente (CMKs), você usa AWS Key Management Service (AWS KMS) na mesma AWS conta e AWS região do recurso Amazon Quick. Um administrador do Amazon Quick pode então usar uma CMK para criptografar seus dados do Amazon Quick e controlar o acesso.

Você pode criar e gerenciar CMKs no console do Amazon Quick ou com o Amazon Quick APIs. Para obter mais informações sobre como criar e gerenciar CMKs com o Amazon Quick APIs, consulte Operações de gerenciamento de chaves.

As seguintes regras se aplicam ao uso CMKs com os recursos do Amazon Quick:

  • O Amazon Quick não oferece suporte a chaves assimétricas AWS KMS .

  • Você pode ter várias CMKs e uma CMK padrão Conta da AWS por cada. Região da AWS

  • Por padrão, os recursos do Amazon Quick são criptografados com estratégias de criptografia nativas do Amazon Quick.

  • Os dados atualmente criptografados por uma chave CMK permanecerão criptografados pela chave.

nota

Se você usa AWS Key Management Service com o Amazon Quick, o acesso e a manutenção são cobrados conforme descrito na página de AWS Key Management Service preços. Em seu extrato de cobrança, os custos são detalhados em AWS KMS e não em Amazon Quick.

nota

Os dados do Amazon Q são criptografados por uma chave AWS gerenciada, não pela AWS KMS chave padrão.

A chave que atualmente é a CMK padrão é usada automaticamente para criptografar o seguinte:

  • Novos conjuntos de dados SPICE. Os conjuntos de dados existentes precisam ser totalmente atualizados para serem criptografados pela nova chave padrão.

  • Novos artefatos de relatórios gerados por meio da API de snapshots do painel, relatórios e exportações programados ou painéis.

Todas as chaves não gerenciadas pelo cliente associadas ao Amazon Quick são gerenciadas pelo AWS.

Os certificados do servidor de banco de dados que não AWS são gerenciados por são de responsabilidade do cliente e devem ser assinados por uma CA confiável. Para obter mais informações, consulte Requisitos de configuração de rede e banco de dados.

Use os tópicos a seguir para saber mais sobre como usar CMKs com o Amazon Quick. Para saber mais sobre criptografia de dados no Amazon Quick, consulte Proteção de dados no Amazon Quick.

Adicionar uma CMK à sua conta

Antes de começar, certifique-se de ter uma função do IAM que conceda ao usuário administrador acesso ao console de gerenciamento de chaves administrativas do Amazon Quick. Para obter mais informações sobre as permissões necessárias, consulte Políticas baseadas em identidade do IAM para o Amazon Quick: usando o console de gerenciamento de chaves administrativas.

Você pode adicionar chaves que já existem na AWS KMS sua conta do Amazon Quick para poder criptografar seus dados do Amazon Quick.

Para saber mais sobre como você pode criar uma chave para usar no Amazon Quick, consulte o Guia do desenvolvedor do AWS Key Management Service.

Para adicionar uma nova CMK à sua conta Amazon Quick.

  1. Na página inicial do Amazon Quick, escolha Gerenciar Amazon Quick e, em seguida, escolha Chaves KMS.

  2. Na página Chaves do KMS, escolha Gerenciar. O painel Chaves do KMS é aberto.

  3. No painel Chaves do KMS, escolha Selecionar chave.

  4. Na caixa pop-up Selecionar chave, escolha Chave para abrir a lista. Em seguida, selecione a chave que deseja adicionar.

    Se sua chave não estiver na lista, você poderá inserir manualmente o ARN da chave.

  5. (Opcional) Selecione Usar como chave de criptografia padrão para todos os novos dados na região atual desta conta Amazon Quick para definir a chave selecionada como sua chave padrão. Um selo aparece ao lado da chave padrão para indicar seu status.

    Quando você escolhe uma chave padrão, todos os novos dados criados na região que hospeda sua conta Amazon Quick são criptografados com a chave padrão.

  6. (Opcional) Adicione mais chaves repetindo as etapas anteriores neste procedimento. Embora possa adicionar quantas chaves quiser, você só pode ter uma chave padrão por vez.

Verifique a chave usada pelo Amazon Quick

Quando uma chave é usada, um log de auditoria é criado no AWS CloudTrail. Você pode usar o log para rastrear o uso da chave. Se você precisar saber por qual chave os dados do Amazon Quick são criptografados, você pode encontrar essas informações em CloudTrail.

Para saber mais sobre quais dados podem ser gerenciados com a chave, consulte Criptografando seus dados do Amazon Quick com chaves gerenciadas pelo AWS Key Management Service cliente.

Verificar a CMK usada atualmente por um conjunto de dados do SPICE

  1. Navegue até seu CloudTrail registro. Para obter mais informações, consulte Registrar informações do Amazon Quick com CloudTrail.

  2. Localize os eventos de concessão mais recentes do conjunto de dados do SPICE usando os seguintes argumentos de pesquisa:

    • O nome do evento (eventName) contém Grant.

    • Os parâmetros da solicitação requestParameters contêm o Amazon Quick ARN para o conjunto de dados.

    {
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "quicksight.amazonaws.com"
},
"eventTime": "2022-10-26T00:11:08Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "quicksight.amazonaws.com",
"userAgent": "quicksight.amazonaws.com",
"requestParameters": {
"constraints": {
    "encryptionContextSubset": {
        "aws:quicksight:arn": "arn:aws:quicksight:us-west-2:111122223333:dataset/12345678-1234-1234-1234-123456789012"
    }
},
"retiringPrincipal": "quicksight.amazonaws.com",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/87654321-4321-4321-4321-210987654321",
"granteePrincipal": "quicksight.amazonaws.com",
"operations": [
    "Encrypt",
    "Decrypt",
    "DescribeKey",
    "GenerateDataKey"
]
},
....
}

  3. Dependendo do tipo de evento, uma das seguintes opções se aplica:

    CreateGrant: você pode encontrar a CMK usada mais recentemente no ID da chave (keyID) do último evento CreateGrant do conjunto de dados do SPICE.

    RetireGrant— Se o CloudTrail evento mais recente dos SPICE conjuntos de dados forRetireGrant, não haverá ID de chave e o recurso não será mais criptografado por CMK.

Verificar a CMK que é usada atualmente ao gerar artefatos de relatórios

  1. Navegue até seu CloudTrail registro. Para obter mais informações, consulte Registrando informações do Amazon Quick Sight com AWS CloudTrail.

  2. Localize os eventos de GenerateDataKey mais recentes de execução de relatórios usando os seguintes argumentos de pesquisa:

    • O nome do evento (eventName) contém GenerateDataKey ou Decrypt.

    • Os parâmetros da solicitação (requestParameters) contêm o Amazon Quick ARN para a análise ou painel para o qual o relatório foi gerado.

    {
    "eventVersion": "1.11",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "quicksight.amazonaws.com"
    },
    "eventTime": "2025-07-23T23:33:46Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "quicksight.amazonaws.com",
    "userAgent": "quicksight.amazonaws.com",
    "requestParameters": {
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/87654321-4321-4321-4321-210987654321",
        "keySpec": "AES_256",
        "encryptionContext": {
            "aws:quicksight:arn": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1ca456fe-eb34-4250-805c-b1b9350bd164",
            "aws:s3:arn": "arn:aws:s3:::sn-imagegen.prod.us-west-2"
        }
    },
    ...
}

  3. aws:s3:arné o bucket S3 de propriedade da Amazon Quick onde os artefatos do seu relatório são armazenados.

  4. Se você não vir mais GenerateDataKey, as novas execuções de relatórios não serão mais criptografadas pela CMK. Os artefatos de relatórios existentes permanecerão criptografados.

Alterar a CMK padrão

Você pode alterar a chave padrão para outra chave que já existe no painel Chaves do KMS. Quando você altera a chave padrão, todos os novos dados do Amazon Quick são criptografados na nova chave. A nova chave padrão altera a forma como os novos dados do Amazon Quick são criptografados. No entanto, os dados existentes do Amazon Quick continuarão usando a chave padrão anterior.

Para saber mais sobre quais dados podem ser gerenciados com a chave, consulte Criptografando seus dados do Amazon Quick com chaves gerenciadas pelo AWS Key Management Service cliente.

Para alterar a chave padrão para uma chave existente

  1. Na página inicial do Amazon Quick, escolha Gerenciar Amazon Quick e, em seguida, escolha Chaves KMS.

  2. Escolha GERENCIAR para abrir o painel de chaves do KMS.

  3. Navegue até a chave que você deseja definir como seu novo padrão. Escolha Ações (três pontos) na linha da chave em que você deseja abrir o menu da chave.

  4. Escolha Definir como padrão e, em seguida, escolha Definir.

nota

A chave de dados Q não pode ser alterada. Os dados Q permanecerão criptografados com a chave padrão atual. Caso essa chave seja comprometida, você poderá revogar o acesso a ela.

A chave selecionada agora é sua chave padrão.

Removendo a criptografia CMK em sua conta Amazon Quick

Você pode remover a chave padrão para desativar a criptografia de dados na sua conta Amazon Quick. Remover a chave impede que novos recursos sejam criptografados em uma CMK.

Para remover a criptografia CMK para novos dados do Amazon Quick

  1. Na página inicial do Amazon Quick, escolha Gerenciar Amazon Quick e, em seguida, escolha Chaves KMS.

  2. Na página Chaves do KMS, escolha Gerenciar para abrir o painel Chaves do KMS.

  3. Escolha Ações (três pontos) na linha da chave padrão e selecione Excluir.

  4. Na caixa pop-up exibida, selecione Remover.

Depois de excluir a chave padrão da sua conta, o Amazon Quick interrompe a criptografia de novos dados do Amazon Quick. Todos os dados criptografados existentes permanecerão criptografados. Os dados Q permanecem criptografados porque a chave de dados Q não pode ser alterada. Caso a chave excluída seja comprometida, você poderá revogar o acesso a ela.

Auditando o uso da CMK em CloudTrail

Você pode auditar o uso da CMK da sua conta no AWS CloudTrail. Para auditar o uso da chave, faça login na sua AWS conta CloudTrail, abra e escolha Histórico de eventos.

Revogando o acesso a uma CMK

Você pode revogar o acesso ao seu CMKs. Quando você revoga o acesso a uma chave usada para criptografar seus dados do Amazon Quick, o acesso a ela é negado até que você desfaça a revogação. Os seguintes métodos são exemplos de como revogar o acesso:

  • Desligue a chave no AWS KMS.

  • Adicione uma Deny política à sua AWS KMS política do Amazon Quick no IAM.

Para saber mais sobre quais dados podem ser gerenciados com a chave, consulte Criptografando seus dados do Amazon Quick com chaves gerenciadas pelo AWS Key Management Service cliente.

Use o procedimento a seguir para revogar o acesso à sua entrada CMKs . AWS KMS

Para desativar uma CMK em AWS Key Management Service

  1. Faça login na sua AWS conta AWS KMS, abra e escolha Chaves gerenciadas pelo cliente.

  2. Selecione a chave que você deseja desativar.

  3. Abra o menu Ações da chave e selecione Desabilitar.

Para evitar que a CMK continue sendo usada, você pode adicionar uma política de Deny no AWS Identity and Access Management (IAM). Use "Service": "quicksight.amazonaws.com" como entidade principal e o ARN da chave como recurso. Negue as seguintes ações: "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey".

Importante

Após a revogação do acesso usando qualquer método, pode levar até 15 minutos para que os dados fiquem inacessíveis.

Recuperação de dados criptografados do Amazon Quick

Para recuperar dados do Amazon Quick enquanto seu acesso é revogado

  1. Restaure o acesso à CMK. Normalmente, isso é suficiente para recuperar os dados do Amazon Quick.

  2. Teste os dados do Amazon Quick para verificar se você pode vê-los.

  3. (Opcional) Se os dados não forem totalmente recuperados, mesmo depois de restaurar o acesso à CMK, execute uma atualização completa nos dados.

Para saber mais sobre quais dados podem ser gerenciados com a chave, consulte Criptografando seus dados do Amazon Quick com chaves gerenciadas pelo AWS Key Management Service cliente.