撤销对 CMK 加密数据集的访问权限 - Amazon QuickSight
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

撤销对 CMK 加密数据集的访问权限

您可以撤销对您的 CMK 加密 SPICE 数据集的访问权限。当您撤销对用于加密数据集的密钥的访问权限时,对数据集的访问将被拒绝,直到您将撤销操作撤销为止。以下方法说明如何撤销访问权限:

  • 在 Amazon KMS中禁用密钥。

  • 在 IAM 中向您的 QuickSight Amazon KMS 策略添加策略。Deny

使用以下步骤撤销对中您的 CMK 加密数据集的访问权限。 Amazon KMS

在中禁用 CMK Amazon Key Management Service

  1. 登录您的 Amazon 账户,打开 Amazon KMS,然后选择客户自主管理型密钥

  2. 选择要禁用的密钥。

  3. 打开密钥操作菜单并选择禁用

为了防止进一步使用 CMK,您可以在 Amazon Identity and Access Management (IAM)中添加一个Deny策略。将 "Service": "quicksight.amazonaws.com" 用作主体,将密钥的 ARN 用作资源。拒绝以下操作:"kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey"

重要

在您使用任何方法撤销访问权限后,SPICE 数据集可能需要多达 15 分钟才能变为不可访问。