撤销对 CMK 加密的 QuickSight 数据的访问权限 - Amazon QuickSight

撤销对 CMK 加密的 QuickSight 数据的访问权限

您可以撤销对 CMK 加密的 QuickSight 数据的访问权限。当您撤销对用于加密 QuickSight 数据的密钥的访问权限时,对该数据的访问将被拒绝,直到您撤消撤销为止。以下方法说明如何撤销访问权限:

  • 在 AWS KMS 中禁用密钥。

  • 在 IAM 中将 Deny 策略添加到您的 QuickSight AWS KMS 策略。

要详细了解可以使用密钥管理哪些数据,请参阅使用 AWS Key Management Service 客户自主管理型密钥加密 QuickSight 数据

使用以下过程撤销对 AWS KMS 中 CMK 加密的 QuickSight 数据的访问权限。

在 AWS Key Management Service 中禁用 CMK

  1. 登录您的 AWS 账户,打开 AWS KMS,然后选择客户自主管理型密钥

  2. 选择要禁用的密钥。

  3. 打开密钥操作菜单并选择禁用

AWS KMS console showing 客户自主管理型密钥 with options to enable, disable, or delete.

为了防止进一步使用 CMK,您可以在 AWS Identity and Access Management(IAM)中添加 Deny 策略。将 "Service": "quicksight.amazonaws.com" 用作主体,将密钥的 ARN 用作资源。拒绝以下操作:"kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey"

重要

在您使用任何方法撤销访问权限后,数据可能需要多达 15 分钟才能变为不可访问。