Criptografando seus dados do Amazon Quick Suite com chaves gerenciadas pelo AWS Key Management Service cliente - Amazon Quick Suite
Adição de uma CMKVerificação de uma CMKAlterar a CMK padrãoRemoção de uma chave da sua contaAuditoria do uso das chavesRevogando o acesso a uma CMKRecuperar dados criptografados

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criptografando seus dados do Amazon Quick Suite com chaves gerenciadas pelo AWS Key Management Service cliente

O Amazon Quick Suite permite que você criptografe seus dados do Amazon Quick Suite com as chaves nas AWS Key Management Service quais você armazenou. Isso fornece as ferramentas para auditar o acesso aos dados e atender aos requisitos regulatórios de segurança. Se precisar fazer isso, você tem a opção de bloquear imediatamente o acesso aos seus dados revogando o acesso às AWS KMS chaves. Todo o acesso de dados aos recursos criptografados no Amazon Quick Suite está logado AWS CloudTrail. Administradores ou auditores podem rastrear o acesso aos dados CloudTrail para identificar quando e onde os dados foram acessados.

Para criar chaves gerenciadas pelo cliente (CMKs), você usa AWS Key Management Service (AWS KMS) na mesma AWS conta e AWS região do recurso Amazon Quick Suite. Um administrador do Amazon Quick Suite pode então usar uma CMK para criptografar seus dados do Amazon Quick Suite e controlar o acesso.

Você pode criar e gerenciar CMKs no console do Amazon Quick Suite ou com o Amazon Quick Suite APIs. Para obter mais informações sobre como criar e gerenciar CMKs com o Amazon Quick Suite APIs, consulte Operações de gerenciamento de chaves.

As seguintes regras se aplicam ao uso CMKs com os recursos do Amazon Quick Suite:

  • O Amazon Quick Suite não oferece suporte a chaves assimétricas AWS KMS .

  • Você pode ter várias CMKs e uma CMK padrão Conta da AWS por cada. Região da AWS

  • Por padrão, os recursos do Amazon Quick Suite são criptografados com o Amazon Quick Suite — estratégias de criptografia nativas.

  • Os dados atualmente criptografados por uma chave CMK permanecerão criptografados pela chave.

nota

Se você usa AWS Key Management Service com o Amazon Quick Suite, o acesso e a manutenção são cobrados conforme descrito na página de AWS Key Management Service preços. Em seu extrato de cobrança, os custos são detalhados em AWS KMS e não em Amazon Quick Suite.

nota

Os dados do Amazon Q são criptografados por uma chave AWS gerenciada, não pela AWS KMS chave padrão.

A chave que atualmente é a CMK padrão é usada automaticamente para criptografar o seguinte:

  • Novos conjuntos de dados SPICE. Os conjuntos de dados existentes precisam ser totalmente atualizados para serem criptografados pela nova chave padrão.

  • Novos artefatos de relatórios gerados por meio da API de snapshots do painel, relatórios e exportações programados ou painéis.

Todas as chaves não gerenciadas pelo cliente associadas ao Amazon Quick Suite são gerenciadas pelo AWS.

Os certificados do servidor de banco de dados que não AWS são gerenciados por são de responsabilidade do cliente e devem ser assinados por uma CA confiável. Para obter mais informações, consulte Requisitos de configuração de rede e banco de dados.

Use os tópicos a seguir para saber mais sobre como usar CMKs com o Amazon Quick Suite. Para saber mais sobre criptografia de dados no Amazon Quick Suite, consulte Proteção de dados no Amazon Quick Suite.

Adicionar uma CMK à sua conta

Antes de começar, certifique-se de ter uma função do IAM que conceda ao usuário administrador acesso ao console de gerenciamento de chaves administrativas do Amazon Quick Suite. Para obter mais informações sobre as permissões necessárias, consulte Políticas baseadas em identidade do IAM para o Amazon Quick Suite: usando o console de gerenciamento de chaves administrativas.

Você pode adicionar chaves que já existem na AWS KMS sua conta do Amazon Quick Suite para poder criptografar seus dados do Amazon Quick Suite.

Para saber mais sobre como você pode criar uma chave para usar no Amazon Quick Suite, consulte o Guia do desenvolvedor do AWS Key Management Service.

Para adicionar uma nova CMK à sua conta do Amazon Quick Suite.

  1. Na página inicial do Amazon Quick Suite, escolha Gerenciar Amazon Quick Suite e, em seguida, escolha Chaves KMS.

  2. Na página Chaves do KMS, escolha Gerenciar. O painel Chaves do KMS é aberto.

  3. No painel Chaves do KMS, escolha Selecionar chave.

  4. Na caixa pop-up Selecionar chave, escolha Chave para abrir a lista. Em seguida, selecione a chave que deseja adicionar.

    Se sua chave não estiver na lista, você poderá inserir manualmente o ARN da chave.

  5. (Opcional) Selecione Usar como chave de criptografia padrão para todos os novos dados na região atual desta conta do Amazon Quick Suite para definir a chave selecionada como sua chave padrão. Um selo aparece ao lado da chave padrão para indicar seu status.

    Quando você escolhe uma chave padrão, todos os novos dados criados na região que hospeda sua conta do Amazon Quick Suite são criptografados com a chave padrão.

  6. (Opcional) Adicione mais chaves repetindo as etapas anteriores neste procedimento. Embora possa adicionar quantas chaves quiser, você só pode ter uma chave padrão por vez.

Verifique a chave usada pelo Amazon Quick Suite

Quando uma chave é usada, um log de auditoria é criado no AWS CloudTrail. Você pode usar o log para rastrear o uso da chave. Se você precisar saber por qual chave os dados do Amazon Quick Suite são criptografados, você pode encontrar essas informações em CloudTrail.

Para saber mais sobre quais dados podem ser gerenciados com a chave, consulte Criptografando seus dados do Amazon Quick Suite com chaves gerenciadas pelo AWS Key Management Service cliente.

Verificar a CMK usada atualmente por um conjunto de dados do SPICE

  1. Navegue até seu CloudTrail registro. Para obter mais informações, consulte Registrar informações do Amazon Quick Suite com CloudTrail.

  2. Localize os eventos de concessão mais recentes do conjunto de dados do SPICE usando os seguintes argumentos de pesquisa:

    • O nome do evento (eventName) contém Grant.

    • Os parâmetros da solicitação requestParameters contêm o ARN do Amazon Quick Suite para o conjunto de dados.

    {
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "quicksight.amazonaws.com"
},
"eventTime": "2022-10-26T00:11:08Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "quicksight.amazonaws.com",
"userAgent": "quicksight.amazonaws.com",
"requestParameters": {
"constraints": {
    "encryptionContextSubset": {
        "aws:quicksight:arn": "arn:aws:quicksight:us-west-2:111122223333:dataset/12345678-1234-1234-1234-123456789012"
    }
},
"retiringPrincipal": "quicksight.amazonaws.com",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/87654321-4321-4321-4321-210987654321",
"granteePrincipal": "quicksight.amazonaws.com",
"operations": [
    "Encrypt",
    "Decrypt",
    "DescribeKey",
    "GenerateDataKey"
]
},
....
}

  3. Dependendo do tipo de evento, uma das seguintes opções se aplica:

    CreateGrant: você pode encontrar a CMK usada mais recentemente no ID da chave (keyID) do último evento CreateGrant do conjunto de dados do SPICE.

    RetireGrant— Se o CloudTrail evento mais recente dos SPICE conjuntos de dados forRetireGrant, não haverá ID de chave e o recurso não será mais criptografado por CMK.

Verificar a CMK que é usada atualmente ao gerar artefatos de relatórios

  1. Navegue até seu CloudTrail registro. Para obter mais informações, consulte Registrando informações do Amazon Quick Sight com AWS CloudTrail.

  2. Localize os eventos de GenerateDataKey mais recentes de execução de relatórios usando os seguintes argumentos de pesquisa:

    • O nome do evento (eventName) contém GenerateDataKey ou Decrypt.

    • Os parâmetros da solicitação (requestParameters) contêm o ARN do Amazon Quick Suite para a análise ou painel para o qual o relatório foi gerado.

    {
    "eventVersion": "1.11",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "quicksight.amazonaws.com"
    },
    "eventTime": "2025-07-23T23:33:46Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "quicksight.amazonaws.com",
    "userAgent": "quicksight.amazonaws.com",
    "requestParameters": {
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/87654321-4321-4321-4321-210987654321",
        "keySpec": "AES_256",
        "encryptionContext": {
            "aws:quicksight:arn": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1ca456fe-eb34-4250-805c-b1b9350bd164",
            "aws:s3:arn": "arn:aws:s3:::sn-imagegen.prod.us-west-2"
        }
    },
    ...
}

  3. aws:s3:arné o bucket S3 de propriedade da Amazon Quick Suite onde os artefatos do seu relatório são armazenados.

  4. Se você não vir mais GenerateDataKey, as novas execuções de relatórios não serão mais criptografadas pela CMK. Os artefatos de relatórios existentes permanecerão criptografados.

Alterar a CMK padrão

Você pode alterar a chave padrão para outra chave que já existe no painel Chaves do KMS. Quando você altera a chave padrão, todos os novos dados do Amazon Quick Suite são criptografados na nova chave. A nova chave padrão altera a forma como os novos dados do Amazon Quick Suite são criptografados. No entanto, os dados existentes do Amazon Quick Suite continuarão usando a chave padrão anterior.

Para saber mais sobre quais dados podem ser gerenciados com a chave, consulte Criptografando seus dados do Amazon Quick Suite com chaves gerenciadas pelo AWS Key Management Service cliente.

Para alterar a chave padrão para uma chave existente

  1. Na página inicial do Amazon Quick Suite, escolha Gerenciar Amazon Quick Suite e, em seguida, escolha Chaves KMS.

  2. Escolha GERENCIAR para abrir o painel de chaves do KMS.

  3. Navegue até a chave que você deseja definir como seu novo padrão. Escolha Ações (três pontos) na linha da chave em que você deseja abrir o menu da chave.

  4. Escolha Definir como padrão e, em seguida, escolha Definir.

nota

A chave de dados Q não pode ser alterada. Os dados Q permanecerão criptografados com a chave padrão atual. Caso essa chave seja comprometida, você poderá revogar o acesso a ela.

A chave selecionada agora é sua chave padrão.

Removendo a criptografia CMK em sua conta do Amazon Quick Suite

Você pode remover a chave padrão para desativar a criptografia de dados na sua conta do Amazon Quick Suite. Remover a chave impede que novos recursos sejam criptografados em uma CMK.

Para remover a criptografia CMK dos novos dados do Amazon Quick Suite

  1. Na página inicial do Amazon Quick Suite, escolha Gerenciar Amazon Quick Suite e, em seguida, escolha Chaves KMS.

  2. Na página Chaves do KMS, escolha Gerenciar para abrir o painel Chaves do KMS.

  3. Escolha Ações (três pontos) na linha da chave padrão e selecione Excluir.

  4. Na caixa pop-up exibida, selecione Remover.

Depois de excluir a chave padrão da sua conta, o Amazon Quick Suite interrompe a criptografia de novos dados do Amazon Quick Suite. Todos os dados criptografados existentes permanecerão criptografados. Os dados Q permanecem criptografados porque a chave de dados Q não pode ser alterada. Caso a chave excluída seja comprometida, você poderá revogar o acesso a ela.

Auditando o uso da CMK em CloudTrail

Você pode auditar o uso da CMK da sua conta no AWS CloudTrail. Para auditar o uso da chave, faça login na sua AWS conta CloudTrail, abra e escolha Histórico de eventos.

Revogando o acesso a uma CMK

Você pode revogar o acesso ao seu CMKs. Quando você revoga o acesso a uma chave usada para criptografar seus dados do Amazon Quick Suite, o acesso a ela é negado até que você desfaça a revogação. Os seguintes métodos são exemplos de como revogar o acesso:

  • Desligue a chave no AWS KMS.

  • Adicione uma Deny política à sua AWS KMS política do Amazon Quick Suite no IAM.

Para saber mais sobre quais dados podem ser gerenciados com a chave, consulte Criptografando seus dados do Amazon Quick Suite com chaves gerenciadas pelo AWS Key Management Service cliente.

Use o procedimento a seguir para revogar o acesso à sua entrada CMKs . AWS KMS

Para desativar uma CMK em AWS Key Management Service

  1. Faça login na sua AWS conta AWS KMS, abra e escolha Chaves gerenciadas pelo cliente.

  2. Selecione a chave que você deseja desativar.

  3. Abra o menu Ações da chave e selecione Desabilitar.

Para evitar que a CMK continue sendo usada, você pode adicionar uma política de Deny no AWS Identity and Access Management (IAM). Use "Service": "quicksight.amazonaws.com" como entidade principal e o ARN da chave como recurso. Negue as seguintes ações: "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey".

Importante

Após a revogação do acesso usando qualquer método, pode levar até 15 minutos para que os dados fiquem inacessíveis.

Recuperação de dados criptografados do Amazon Quick Suite

Para recuperar dados do Amazon Quick Suite enquanto seu acesso é revogado

  1. Restaure o acesso à CMK. Normalmente, isso é suficiente para recuperar os dados do Amazon Quick Suite.

  2. Teste os dados do Amazon Quick Suite para verificar se você pode vê-los.

  3. (Opcional) Se os dados não forem totalmente recuperados, mesmo depois de restaurar o acesso à CMK, execute uma atualização completa nos dados.

Para saber mais sobre quais dados podem ser gerenciados com a chave, consulte Criptografando seus dados do Amazon Quick Suite com chaves gerenciadas pelo AWS Key Management Service cliente.