驗證 QuickSight 使用的金鑰 - Amazon QuickSight

驗證 QuickSight 使用的金鑰

使用金鑰時,會在 AWS CloudTrail 中建立稽核日誌。您可以使用日誌來追蹤金鑰的使用情況。如果需要知道 QuickSight 資料使用了哪個金鑰來加密,可以在 CloudTrail 中找到此資訊。

若要進一步了解可使用金鑰管理哪些資料,請參閱使用 AWS Key Management Service 客戶自管金鑰加密 QuickSight 資料

確認 SPICE 資料集目前使用的 CMK

  1. 瀏覽至 CloudTrail 日誌。如需更多詳細資訊,請參閱 使用 AWS CloudTrail 記錄 QuickSight 資訊

  2. 使用下列搜尋引數,找到 SPICE 資料集的最近授權事件:

    • 事件名稱 (eventName) 包含 Grant

    • 請求參數 requestParameters 包含資料集的 QuickSight ARN。

    {
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "quicksight.amazonaws.com"
},
"eventTime": "2022-10-26T00:11:08Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "quicksight.amazonaws.com",
"userAgent": "quicksight.amazonaws.com",
"requestParameters": {
"constraints": {
    "encryptionContextSubset": {
        "aws:quicksight:arn": "arn:aws:quicksight:us-west-2:111122223333:dataset/12345678-1234-1234-1234-123456789012"
    }
},
"retiringPrincipal": "quicksight.amazonaws.com",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/87654321-4321-4321-4321-210987654321",
"granteePrincipal": "quicksight.amazonaws.com",
"operations": [
    "Encrypt",
    "Decrypt",
    "DescribeKey",
    "GenerateDataKey"
]
},
....
}

  3. 根據事件類型,下列其中一項適用:

    CreateGrant – 您可以在 SPICE 資料集最後一個 CreateGrant 事件的金鑰 ID (keyID) 中找到最近使用的 CMK。

    RetireGrant:如果 SPICE 資料集的最新 CloudTrail 事件是 RetireGrant,則沒有金鑰 ID,且資源也不再使用 CMK 加密。

驗證產生報告成品時目前使用的 CMK

  1. 瀏覽至 CloudTrail 日誌。如需更多詳細資訊,請參閱 使用 AWS CloudTrail 記錄 QuickSight 資訊

  2. 使用下列搜尋引數,找到報告執行的最近 GenerateDataKey 事件:

    • 事件名稱 (eventName) 包含 GenerateDataKeyDecrypt

    • 請求參數 (requestParameters) 包含報告對應分析或儀表板的 QuickSight ARN。

    {
    "eventVersion": "1.11",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "quicksight.amazonaws.com"
    },
    "eventTime": "2025-07-23T23:33:46Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "quicksight.amazonaws.com",
    "userAgent": "quicksight.amazonaws.com",
    "requestParameters": {
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/87654321-4321-4321-4321-210987654321",
        "keySpec": "AES_256",
        "encryptionContext": {
            "aws:quicksight:arn": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1ca456fe-eb34-4250-805c-b1b9350bd164",
            "aws:s3:arn": "arn:aws:s3:::sn-imagegen.prod.us-west-2"
        }
    },
    ...
}

  3. aws:s3:arn 是 QuickSight 擁有的 S3 儲存貯體,用於存放報告成品。

  4. 若您不再看到 GenerateDataKey,则意味着新的报告执行不再使用 CMK 加密。現有報告成品將保持加密狀態。