验证 SPICE 数据集使用的密钥 - Amazon QuickSight
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

验证 SPICE 数据集使用的密钥

使用密钥时,将在 Amazon CloudTrail中创建审计日志。您可以使用日志来跟踪密钥的使用情况。如果您需要知道SPICE数据集是用哪个密钥加密的,可以在中找到这些信息 CloudTrail。

验证 SPICE 数据集当前使用的 CMK

  1. 导航到您的 CloudTrail 日志。有关更多信息,请参阅 使用记录 QuickSight 信息 Amazon CloudTrail

  2. 使用以下搜索参数查找 SPICE 数据集的最新授权事件:

    • 事件名称 (eventName) 包含 Grant

    • 请求参数requestParameters包含数据集的 QuickSight 数据集的 AR。

    {
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "quicksight.amazonaws.com"
},
"eventTime": "2022-10-26T00:11:08Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "quicksight.amazonaws.com",
"userAgent": "quicksight.amazonaws.com",
"requestParameters": {
"constraints": {
    "encryptionContextSubset": {
        "aws:quicksight:arn": "arn:aws:quicksight:us-west-2:111122223333:dataset/12345678-1234-1234-1234-123456789012"
    }
},
"retiringPrincipal": "quicksight.amazonaws.com",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/87654321-4321-4321-4321-210987654321",
"granteePrincipal": "quicksight.amazonaws.com",
"operations": [
    "Encrypt",
    "Decrypt",
    "DescribeKey",
    "GenerateDataKey"
]
},
....
}

  3. 根据不同的事件类型,适用以下情况之一:

    CreateGrant – 您可以在 SPICE 数据集最后一个 CreateGrant 事件的密钥 ID (keyID) 中找到最近使用的 CMK。

    RetireGrant— 如果SPICE数据集的最新 CloudTrail 事件是RetireGrant,则没有密钥 ID,资源不再加密 CMK。