撤销对 CMK 加密的 QuickSight 数据的访问权限 - Amazon QuickSight
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

撤销对 CMK 加密的 QuickSight 数据的访问权限

您可以撤销对 CMK 加密的 QuickSight 数据的访问权限。当您撤销对用于加密 QuickSight 数据的密钥的访问权限时,对该数据的访问将被拒绝,直到您撤消撤销为止。以下方法说明如何撤销访问权限:

  • 在 Amazon KMS 中禁用密钥。

  • 在 IAM 中将 Deny 策略添加到您的 QuickSight Amazon KMS 策略。

要详细了解可以使用密钥管理哪些数据,请参阅使用 Amazon Key Management Service 客户自主管理型密钥加密 QuickSight 数据

使用以下过程撤销对 Amazon KMS 中 CMK 加密的 QuickSight 数据的访问权限。

在 Amazon Key Management Service 中禁用 CMK

  1. 登录您的 Amazon 账户,打开 Amazon KMS,然后选择客户自主管理型密钥

  2. 选择要禁用的密钥。

  3. 打开密钥操作菜单并选择禁用

为了防止进一步使用 CMK,您可以在 Amazon Identity and Access Management(IAM)中添加 Deny 策略。将 "Service": "quicksight.amazonaws.com" 用作主体,将密钥的 ARN 用作资源。拒绝以下操作:"kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey"

重要

在您使用任何方法撤销访问权限后,数据可能需要多达 15 分钟才能变为不可访问。