使用 AWS Key Management Service 客戶受管金鑰加密 Amazon Quick Suite 資料 - Amazon Quick Suite
新增 CMK驗證 CMK變更預設 CMK從帳戶移除金鑰稽核金鑰用途撤銷對 CMK 的存取權復原加密的資料

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 AWS Key Management Service 客戶受管金鑰加密 Amazon Quick Suite 資料

Amazon Quick Suite 可讓您使用存放於其中的金鑰加密 Amazon Quick Suite 資料 AWS Key Management Service。這為您提供了稽核資料存取權並滿足法規安全性要求的工具。如果您需要這樣做,您可以選擇透過撤銷 AWS KMS 對金鑰的存取,立即鎖定對資料的存取。Amazon Quick Suite 中加密資源的所有資料存取都會登入 AWS CloudTrail。管理員或稽核員可以追蹤 CloudTrail 中的資料存取權,以識別存取資料的時間和地點。

若要建立客戶受管金鑰 (CMKs),您可以在與 Amazon Quick Suite 資源相同的 AWS 帳戶和 AWS 區域中使用 AWS Key Management Service (AWS KMS)。然後,Amazon Quick Suite 管理員可以使用 CMK 來加密 Amazon Quick Suite 資料並控制存取。

您可以在 Amazon Quick Suite 主控台或使用 Amazon Quick Suite APIs 建立和管理 CMKs。如需使用 Amazon Quick Suite APIs 建立和管理 CMKs 的詳細資訊,請參閱金鑰管理操作

下列規則適用於搭配 Amazon Quick Suite 資源使用 CMKs:

  • Amazon Quick Suite 不支援非對稱 AWS KMS 金鑰。

  • 您可以 AWS 帳戶 為每個 擁有多個 CMKs 和一個預設 CMK AWS 區域。

  • 根據預設,Amazon Quick Suite 資源會使用 Amazon Quick Suite 原生加密策略進行加密。

  • 目前由 CMK 金鑰加密的資料將继续由该金鑰加密。

注意

如果您將 AWS Key Management Service 與 Amazon Quick Suite 搭配使用,則會向您收取存取和維護費用,如 AWS Key Management Service 定價頁面所述。在您的帳單中,成本會在 Amazon Quick Suite 下逐項列出 AWS KMS ,而不是在 Amazon Quick Suite 下。

注意

Amazon Q 資料是由 AWS 受管金鑰加密,而非預設 AWS KMS 金鑰。

系統會自動使用目前預設的 CMK 金鑰來加密下列項目:

  • 新的 SPICE 資料集。現有的資料集需要完全重新整理,才能由新的預設金鑰加密。

  • 透過儀表板快照 API、排程報告和匯出或儀表板產生的新報告成品。

與 Amazon Quick Suite 相關聯的所有非客戶受管金鑰都由 管理 AWS。

非 管理的資料庫伺服器憑證 AWS 是客戶的責任,且應由信任的 CA 簽署。如需詳細資訊,請參閱網路和資料庫組態需求

使用以下主題,進一步了解如何搭配 Amazon Quick Suite 使用 CMKs。若要進一步了解 Amazon Quick Suite 中的資料加密,請參閱 Amazon Quick Suite 中的資料保護

將 CMK 新增至您的帳戶

開始之前,請確定您擁有授予管理員使用者存取 Amazon Quick Suite 管理員金鑰管理主控台的 IAM 角色。如需必要許可的詳細資訊,請參閱 Amazon Quick Suite 的 IAM 身分型政策:使用管理員金鑰管理主控台

您可以將已存在於 中的金鑰新增至 AWS KMS Amazon Quick Suite 帳戶,以便加密 Amazon Quick Suite 資料。

若要進一步了解如何建立金鑰以在 Amazon Quick Suite 中使用,請參閱 AWS Key Management Service 開發人員指南

將新的 CMK 新增至您的 Amazon Quick Suite 帳戶。

  1. 在 Amazon Quick Suite 開始頁面上,選擇管理 Amazon Quick Suite,然後選擇 KMS 金鑰

  2. KMS 金鑰 頁面上,選擇管理。隨即便會開啟 KMS 金鑰儀表板。

  3. KMS 金鑰儀表板上,選擇選取金鑰

  4. 選取金鑰快顯方塊中,選擇金鑰以開啟清單。然後,選取您要新增的金鑰。

    如果您的金鑰不在清單中,您可以手動輸入金鑰的 ARN。

  5. (選用) 選取此 Amazon Quick Suite 帳戶目前區域中所有新資料的預設加密金鑰,將選取的金鑰設定為您的預設金鑰。預設金鑰旁會出現徽章,指出其狀態。

    當您選擇預設金鑰時,在託管 Amazon Quick Suite 帳戶的區域建立的所有新資料都會使用預設金鑰加密。

  6. (選用) 透過重複此程序中先前的步驟,新增更多金鑰。雖然您可以新增任意數量的金鑰,但一次只能設定一個預設金鑰。

驗證 Amazon Quick Suite 使用的金鑰

使用金鑰時,會在 AWS CloudTrail中建立稽核日誌。您可以使用日誌來追蹤金鑰的使用情況。如果您需要知道 Amazon Quick Suite 資料的加密金鑰,您可以在 CloudTrail 中找到此資訊。

若要進一步了解可使用金鑰管理哪些資料,請參閱使用 AWS Key Management Service 客戶受管金鑰加密 Amazon Quick Suite 資料

確認 SPICE 資料集目前使用的 CMK

  1. 瀏覽至 CloudTrail 日誌。如需詳細資訊,請參閱使用 CloudTrail 記錄 Amazon Quick Suite 資訊

  2. 使用下列搜尋引數,找到 SPICE 資料集的最近授權事件:

    • 事件名稱 (eventName) 包含 Grant

    • 請求參數requestParameters包含資料集的 Amazon Quick Suite ARN。

    {
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "quicksight.amazonaws.com"
},
"eventTime": "2022-10-26T00:11:08Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "quicksight.amazonaws.com",
"userAgent": "quicksight.amazonaws.com",
"requestParameters": {
"constraints": {
    "encryptionContextSubset": {
        "aws:quicksight:arn": "arn:aws:quicksight:us-west-2:111122223333:dataset/12345678-1234-1234-1234-123456789012"
    }
},
"retiringPrincipal": "quicksight.amazonaws.com",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/87654321-4321-4321-4321-210987654321",
"granteePrincipal": "quicksight.amazonaws.com",
"operations": [
    "Encrypt",
    "Decrypt",
    "DescribeKey",
    "GenerateDataKey"
]
},
....
}

  3. 根據事件類型,下列其中一項適用:

    CreateGrant – 您可以在 SPICE 資料集最後一個 CreateGrant 事件的金鑰 ID (keyID) 中找到最近使用的 CMK。

    RetireGrant:如果 SPICE 資料集的最新 CloudTrail 事件是 RetireGrant,則沒有金鑰 ID,且資源也不再使用 CMK 加密。

驗證產生報告成品時目前使用的 CMK

  1. 瀏覽至 CloudTrail 日誌。如需詳細資訊,請參閱使用 記錄 Amazon Quick Sight 資訊 AWS CloudTrail

  2. 使用下列搜尋引數,找到報告執行的最近 GenerateDataKey 事件:

    • 事件名稱 (eventName) 包含 GenerateDataKeyDecrypt

    • 請求參數 (requestParameters) 包含產生報告之分析或儀表板的 Amazon Quick Suite ARN。

    {
    "eventVersion": "1.11",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "quicksight.amazonaws.com"
    },
    "eventTime": "2025-07-23T23:33:46Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "quicksight.amazonaws.com",
    "userAgent": "quicksight.amazonaws.com",
    "requestParameters": {
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/87654321-4321-4321-4321-210987654321",
        "keySpec": "AES_256",
        "encryptionContext": {
            "aws:quicksight:arn": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1ca456fe-eb34-4250-805c-b1b9350bd164",
            "aws:s3:arn": "arn:aws:s3:::sn-imagegen.prod.us-west-2"
        }
    },
    ...
}

  3. aws:s3:arn 是存放報告成品的 Amazon Quick Suite 擁有的 S3 儲存貯體。

  4. 若您不再看到 GenerateDataKey,则意味着新的报告执行不再使用 CMK 加密。現有報告成品將保持加密狀態。

變更預設 CMK

您可以將預設金鑰變更為 KMS 金鑰儀表板中已存在的另一個金鑰。當您變更預設金鑰時,所有新的 Amazon Quick Suite 資料都會在新的金鑰上加密。新的預設金鑰會變更新 Amazon Quick Suite 資料的加密方式。不過,現有的 Amazon Quick Suite 資料將繼續使用先前的預設金鑰。

若要進一步了解可使用金鑰管理哪些資料,請參閱使用 AWS Key Management Service 客戶受管金鑰加密 Amazon Quick Suite 資料

將預設金鑰變更為現有的金鑰

  1. 在 Amazon Quick Suite 開始頁面上,選擇管理 Amazon Quick Suite,然後選擇 KMS 金鑰

  2. 選擇管理以開啟 KMS 金鑰儀表板。

  3. 瀏覽至您要設定為新預設值的金鑰。在您要開啟金鑰的選單的金鑰列上選擇動作 (三個點)。

  4. 選擇設為預設,然後選擇設定

注意

Q 資料金鑰無法變更。Q 資料將使用目前的預設金鑰保持加密。如果此金鑰遭到入侵,您可以撤銷其存取權

選取的金鑰現在就是您的預設金鑰。

移除 Amazon Quick Suite 帳戶的 CMK 加密

您可以移除預設金鑰,以停用 Amazon Quick Suite 帳戶中的資料加密。移除金鑰可防止新資源使用 CMK 加密。

移除新 Amazon Quick Suite 資料的 CMK 加密

  1. 在 Amazon Quick Suite 開始頁面上,選擇管理 Amazon Quick Suite,然後選擇 KMS 金鑰

  2. KMS 金鑰頁面上,選擇管理,以開啟 KMS 金鑰儀表板。

  3. 選擇預設金鑰列上的動作 (三個點),然後選擇刪除

  4. 在出現的快顯方塊中,選擇移除

從帳戶刪除預設金鑰後,Amazon Quick Suite 會停止加密新的 Amazon Quick Suite 資料。任何現有的加密資料都會保持加密。Q 資料會保持加密,因為無法變更 Q 資料金鑰。如果已刪除的金鑰遭到入侵,您可以撤銷其存取權

稽核 CloudTrail 中的 CMK 用量

您可以稽核 AWS CloudTrail中帳戶的 CMK 用量。若要稽核您的金鑰用量,請登入 AWS 您的帳戶,開啟 CloudTrail,然後選擇事件歷史記錄

撤銷對 CMK 的存取權

您可以撤銷對 CMKs存取權。當您撤銷用於加密 Amazon Quick Suite 資料的金鑰存取權時,將拒絕存取該金鑰,直到您復原撤銷為止。以下是如何撤銷存取權的方法範例:

  • 關閉 AWS KMS中的金鑰。

  • 在 IAM 中將Deny政策新增至 Amazon Quick Suite AWS KMS 政策。

若要進一步了解可使用金鑰管理哪些資料,請參閱使用 AWS Key Management Service 客戶受管金鑰加密 Amazon Quick Suite 資料

使用下列程序撤銷 中 CMKs存取權 AWS KMS。

在 中關閉 CMK AWS Key Management Service

  1. 登入 AWS 您的帳戶,開啟 AWS KMS並選擇客戶受管金鑰

  2. 選取您要關閉的金鑰。

  3. 開啟金鑰動作選單,並選擇停用

若要防止進一步使用 CMK,您可以在 AWS Identity and Access Management (IAM) 中新增 Deny 政策。使用 "Service": "quicksight.amazonaws.com" 作為主體,並使用金鑰的 ARN 作為資源。拒絕下列動作:"kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey"

重要

使用任何方法撤銷存取權後,可能需要長達 15 分鐘的時間才會使資料無法存取。

復原加密的 Amazon Quick Suite 資料

在撤銷存取時復原 Amazon Quick Suite 資料

  1. 還原對 CMK 的存取權。通常,這足以復原 Amazon Quick Suite 資料。

  2. 測試 Amazon Quick Suite 資料,檢查您是否可以看到它。

  3. (選用) 如果資料未完全復原,即使在您還原其對 CMK 的存取權之後,也請對資料執行完整重新整理。

若要進一步了解可使用金鑰管理哪些資料,請參閱使用 AWS Key Management Service 客戶受管金鑰加密 Amazon Quick Suite 資料