使用 AWS Key Management Service 客户管理的密钥加密您的 Amazon Quick Suite 数据 - Amazon Quick Suite
添加 CMK验证 CMK更改默认 CMK从您的账户中移除密钥审核密钥用法撤消对 CMK 的访问权限恢复加密的数据

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 AWS Key Management Service 客户管理的密钥加密您的 Amazon Quick Suite 数据

Amazon Quick Suite 允许您使用存储在其中存储的密钥来加密您的 Amazon Quick Suite 数据 AWS Key Management Service。这为您提供了审计数据访问权限和满足监管安全要求的工具。如果需要,您可以选择通过撤消对 AWS KMS 密钥的访问权限来立即锁定对数据的访问权限。对 Amazon Quick Suite 中加密资源的所有数据访问都已登录 AWS CloudTrail。管理员或审计员可以追踪数据访问情况 CloudTrail ,以确定何时何地访问了数据。

要创建客户管理的密钥 (CMKs),请在与 Amazon Quick Suite 资源相同的 AWS 账户和 AWS 区域中使用 AWS Key Management Service (AWS KMS)。然后,Amazon Quick Suite 管理员可以使用 CMK 加密您的 Amazon Quick Suite 数据并控制访问权限。

您可以在 Amazon Quick Suite 控制台 CMKs 中或使用 Amazon Quick Suite 进行创建和管理 APIs。有关使用 Amazon Quick Suite CMKs 进行创建和管理的更多信息 APIs,请参阅密钥管理操作

以下规则适用于 CMKs 与 Amazon Quick Suite 资源配合使用:

  • Amazon Quick Suite 不支持非对称 AWS KMS 密钥。

  • AWS 账户 每个 AWS 区域用户可以有多个 CMKs 和一个默认 CMK。

  • 默认情况下,Amazon Quick Suite 资源使用 Amazon Quick Suite(原生加密策略)进行加密。

  • 当前由 CMK 密钥加密的数据将保持由该密钥加密。

注意

如果您 AWS Key Management Service 与 Amazon Quick Suite 一起使用,则需要按定AWS Key Management Service 价页面中的说明支付访问和维护费用。在您的账单中,费用在亚马逊Quick Suite下 AWS KMS 逐项列出,而不是列在亚马逊Quick Suite项下。

注意

Amazon Q 数据由 AWS 托管密钥加密,而不是默认 AWS KMS 密钥加密。

当前默认 CMK 的密钥将自动用于加密以下内容:

  • 新的 SPICE 数据集。现有数据集需要完全刷新才能使用新的默认密钥进行加密。

  • 通过控制面板快照 API、计划报告和导出或控制面板生成的新报告构件。

与 Amazon Quick Suite 关联的所有非客户托管密钥均由管理。 AWS

非由管理的数据库服务器证书 AWS 由客户负责,应由受信任的 CA 签名。有关更多信息,请参阅网络和数据库配置要求

使用以下主题了解有关 CMKs 与 Amazon Quick Suite 配合使用的更多信息。要详细了解亚马逊 Quick Suite 中的数据加密,请参阅亚马逊 Qu ick Suite 中的数据保护

向您的账户添加 CMK

在开始之前,请确保您拥有一个 IAM 角色,该角色可向管理员用户授予对 Amazon Quick Suite 管理员密钥管理控制台的访问权限。有关所需权限的更多信息,请参阅 Amazon Quick Suite 的 IAM 基于身份的策略:使用管理员密钥管理控制台。

您可以将已存在的密钥添加到您的 Amazon Quick Suite 账户中 AWS KMS ,这样您就可以加密您的 Amazon Quick Suite 数据。

要详细了解如何创建密钥以在 Amazon Quick Suite 中使用,请参阅AWS 密钥管理服务开发人员指南

向您的亚马逊 Quick Suite 账户添加新的 CMK。

  1. 在 Amazon Quick Suite 起始页上,选择 “管理亚马逊 Quick Suite”,然后选择 KMS 密钥

  2. KMS 密钥页面上,选择管理KMS 密钥控制面板打开。

  3. KMS 密钥控制面板上,选择选择密钥

  4. 选择密钥弹出框中,选择密钥以打开列表。然后,选择要添加的密钥。

    如果您的密钥不在列表中,则可以手动输入密钥的 ARN。

  5. (可选)选择 “用作此 Amazon Quick Suite 账户当前区域中所有新数据的默认加密密钥”,将所选密钥设置为默认密钥。默认密钥旁边会出现一个徽章,以指示其状态。

    当您选择默认密钥时,在托管您的 Amazon Quick Suite 账户的地区创建的所有新数据都将使用默认密钥进行加密。

  6. (可选)通过重复此过程中前面的步骤来添加更多密钥。虽然您可以根据需要添加任意数量的密钥,但一次只能有一个默认密钥。

验证 Amazon Quick Suite 使用的密钥

使用密钥时,将在 AWS CloudTrail中创建审计日志。您可以使用日志来跟踪密钥的使用情况。如果您需要知道 Amazon Quick Suite 数据是用哪个密钥加密的,可以在中找到这些信息 CloudTrail。

要详细了解可以使用密钥管理哪些数据,请参阅使用 AWS Key Management Service 客户管理的密钥加密您的 Amazon Quick Suite 数据

验证 SPICE 数据集当前使用的 CMK

  1. 导航到您的 CloudTrail 日志。有关更多信息,请参阅使用记录 Amazon Quick Suite 信息 CloudTrail

  2. 使用以下搜索参数查找 SPICE 数据集的最新授权事件:

    • 事件名称 (eventName) 包含 Grant

    • 请求参数requestParameters包含数据集的 Amazon Quick Suite ARN。

    {
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "quicksight.amazonaws.com"
},
"eventTime": "2022-10-26T00:11:08Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "quicksight.amazonaws.com",
"userAgent": "quicksight.amazonaws.com",
"requestParameters": {
"constraints": {
    "encryptionContextSubset": {
        "aws:quicksight:arn": "arn:aws:quicksight:us-west-2:111122223333:dataset/12345678-1234-1234-1234-123456789012"
    }
},
"retiringPrincipal": "quicksight.amazonaws.com",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/87654321-4321-4321-4321-210987654321",
"granteePrincipal": "quicksight.amazonaws.com",
"operations": [
    "Encrypt",
    "Decrypt",
    "DescribeKey",
    "GenerateDataKey"
]
},
....
}

  3. 根据不同的事件类型,适用以下情况之一:

    CreateGrant – 您可以在 SPICE 数据集最后一个 CreateGrant 事件的密钥 ID (keyID) 中找到最近使用的 CMK。

    RetireGrant— 如果SPICE数据集的最新 CloudTrail 事件为RetireGrant,则没有密钥 ID,资源不再加密 CMK。

验证生成报告构件时当前使用的 CMK

  1. 导航到您的 CloudTrail 日志。有关更多信息,请参阅 使用 Amazon Quick Sight 记录信息 AWS CloudTrail

  2. 使用以下搜索参数查找报告执行的最新 GenerateDataKey 事件:

    • 事件名称 (eventName) 包含 GenerateDataKeyDecrypt

    • 请求参数 (requestParameters) 包含生成报告的分析或控制面板的 Amazon Quick Suite ARN。

    {
    "eventVersion": "1.11",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "quicksight.amazonaws.com"
    },
    "eventTime": "2025-07-23T23:33:46Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "quicksight.amazonaws.com",
    "userAgent": "quicksight.amazonaws.com",
    "requestParameters": {
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/87654321-4321-4321-4321-210987654321",
        "keySpec": "AES_256",
        "encryptionContext": {
            "aws:quicksight:arn": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1ca456fe-eb34-4250-805c-b1b9350bd164",
            "aws:s3:arn": "arn:aws:s3:::sn-imagegen.prod.us-west-2"
        }
    },
    ...
}

  3. aws:s3:arn是 Amazon Quick Suite 拥有的 S3 存储桶,用于存储您的报告项目。

  4. 如果您不再看到 GenerateDataKey,则新的报告执行将不再加密 CMK。现有报告构件将保持加密状态。

更改默认 CMK

您可以将默认密钥更改为 KMS 密钥控制面板中已存在的另一个密钥。当您更改默认密钥时,所有新的 Amazon Quick Suite 数据都会在新密钥上进行加密。新的默认密钥更改了新的 Amazon Quick Suite 数据的加密方式。但是,现有的 Amazon Quick Suite 数据将继续使用之前的默认密钥。

要详细了解可以使用密钥管理哪些数据,请参阅使用 AWS Key Management Service 客户管理的密钥加密您的 Amazon Quick Suite 数据

将默认密钥更改为现有密钥

  1. 在 Amazon Quick Suite 起始页上,选择 “管理亚马逊 Quick Suite”,然后选择 KMS 密钥

  2. 选择管理打开 KMS 密钥控制面板。

  3. 导航到要设置为新默认密钥的密钥。在要打开菜单的密钥所在行上选择操作(三个点)。

  4. 选择 “设为默认”,然后选择 “设置”。

注意

Q 数据密钥无法更改。Q 数据将使用当前的默认密钥保持加密状态。如果此密钥被盗用,您可以撤消对其的访问权限

所选密钥现已是您的默认密钥。

正在移除 Amazon Quick Suite 账户上的 CMK 加密

您可以删除默认密钥以禁用您的 Amazon Quick Suite 账户中的数据加密。删除密钥可防止新资源在 CMK 上加密。

移除新 Amazon Quick Suite 数据的 CMK 加密

  1. 在 Amazon Quick Suite 起始页上,选择 “管理亚马逊 Quick Suite”,然后选择 KMS 密钥

  2. KMS 密钥页面上,选择管理以打开 KMS 密钥控制面板。

  3. 选择默认密钥行上的操作(三个点),然后选择删除

  4. 在出现的弹出窗口中,选择删除

从账户中删除默认密钥后,Amazon Quick Suite 将停止加密新的 Amazon Quick Suite 数据。任何现有的加密数据都将保持加密状态。Q 数据仍处于加密状态,因为 Q 数据密钥无法更改。如果已删除的密钥被盗用,您可以撤消对其的访问权限

审计 CMK 的使用情况 CloudTrail

您可以在 AWS CloudTrail中审计账户的 CMK 使用情况。要审核您的密钥使用情况,请登录您的 AWS 账户 CloudTrail,打开并选择事件历史记录

撤消对 CMK 的访问权限

您可以撤消对您的 CMKs访问权限。当您撤消对用于加密您的 Amazon Quick Suite 数据的密钥的访问权限时,在您撤消撤销之前,访问该密钥将被拒绝。以下方法说明如何撤销访问权限:

  • 在 AWS KMS中禁用密钥。

  • 在 IAM 中将Deny策略添加到您的 Amazon Quick Suite AWS KMS 策略中。

要详细了解可以使用密钥管理哪些数据,请参阅使用 AWS Key Management Service 客户管理的密钥加密您的 Amazon Quick Suite 数据

使用以下步骤撤消对您的登录的访问权限 CMKs 。 AWS KMS

要在中关闭 CMK AWS Key Management Service

  1. 登录您的 AWS 账户,打开 AWS KMS,然后选择客户管理的密钥

  2. 选择要禁用的密钥。

  3. 打开密钥操作菜单并选择禁用

为了防止进一步使用 CMK,您可以在 AWS Identity and Access Management (IAM)中添加 Deny 策略。将 "Service": "quicksight.amazonaws.com" 用作主体,将密钥的 ARN 用作资源。拒绝以下操作:"kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey"

重要

在您使用任何方法撤销访问权限后,数据可能需要多达 15 分钟才能变为不可访问。

恢复加密的亚马逊 Quick Suite 数据

在 Amazon Quick Suite 数据访问权限被撤销时恢复

  1. 恢复对 CMK 的访问权限。通常,这足以恢复 Amazon Quick Suite 数据。

  2. 测试 Amazon Quick Suite 数据,看看能否看到它。

  3. (可选)如果数据未完全恢复,即使您恢复了对 CMK 的访问权限,也要对数据执行完全刷新。

要详细了解可以使用密钥管理哪些数据,请参阅使用 AWS Key Management Service 客户管理的密钥加密您的 Amazon Quick Suite 数据