使用 AWS Key Management Service 客戶自管金鑰加密 QuickSight 資料
QuickSight 可讓您使用存放於 AWS Key Management Service 的金鑰來加密 QuickSight 資料。這為您提供了稽核資料存取權並滿足法規安全性要求的工具。如果您需要這麼做,您可以選擇透過撤銷對 AWS KMS 金鑰的存取權來立即鎖定對資料的存取權。QuickSight 中加密資源的所有資料存取權均記錄於 AWS CloudTrail。管理員或稽核員可以追蹤 CloudTrail 中的資料存取權,以識別存取資料的時間和地點。
若要建立客戶自管金鑰 (CMK),可在與 Amazon QuickSight 資源相同的 AWS 帳戶和 AWS 區域中使用 AWS Key Management Service (AWS KMS)。然後,QuickSight 管理員可以使用 CMK 來加密 QuickSight 資料並控制存取權。
您可以透過 QuickSight 主控台或使用 QuickSight API 來建立和管理 CMK。如需有关使用 QuickSight API 建立和管理 CMK 的詳細資訊,請參閱金鑰管理操作。
下列規則適用於搭配 QuickSight 資源使用 CMK:
-
Amazon QuickSight 不支援非對稱 AWS KMS 金鑰。
-
每個 AWS 區域 的每個 AWS 帳戶 可以有多個 CMK 和一個預設 CMK。
-
依預設,QuickSight 資源會使用 QuickSight 原生加密策略進行加密。
-
目前由 CMK 金鑰加密的資料將继续由该金鑰加密。
注意
如果您搭配使用 AWS Key Management Service 與 Amazon QuickSight,則需按照 AWS Key Management Service 定價頁面
系統會自動使用目前預設的 CMK 金鑰來加密下列項目:
-
新的 SPICE 資料集。現有的資料集需要完全重新整理,才能由新的預設金鑰加密。
-
透過儀表板快照 API、排程報告和匯出或儀表板產生的新報告成品。
與 Amazon QuickSight 關聯的所有非客戶受管金鑰均由 AWS 管理。
並非由 AWS 管理的資料庫伺服器憑證則是客戶的責任,且應經過信任 CA 的簽署。如需更多詳細資訊,請參閱 網路和資料庫組態需求。
參閱下列主題,進一步了解如何搭配 Amazon QuickSight 使用 CMK。
主題
