验证 QuickSight 使用的密钥 - Amazon QuickSight
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

验证 QuickSight 使用的密钥

使用密钥时,将在 Amazon CloudTrail 中创建审计日志。您可以使用日志来跟踪密钥的使用情况。如果您需要知道 QuickSight 数据是用哪个密钥加密的,可以在 CloudTrail 中找到此信息。

要详细了解可以使用密钥管理哪些数据,请参阅使用 Amazon Key Management Service 客户自主管理型密钥加密 QuickSight 数据

验证 SPICE 数据集当前使用的 CMK

  1. 导航到您的 CloudTrail 日志。有关更多信息,请参阅 使用 Amazon CloudTrail 记录 QuickSight 信息

  2. 使用以下搜索参数查找 SPICE 数据集的最新授权事件:

    • 事件名称 (eventName) 包含 Grant

    • 请求参数 requestParameters 包含数据集的 QuickSight ARN。

    {
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "quicksight.amazonaws.com"
},
"eventTime": "2022-10-26T00:11:08Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "quicksight.amazonaws.com",
"userAgent": "quicksight.amazonaws.com",
"requestParameters": {
"constraints": {
    "encryptionContextSubset": {
        "aws:quicksight:arn": "arn:aws:quicksight:us-west-2:111122223333:dataset/12345678-1234-1234-1234-123456789012"
    }
},
"retiringPrincipal": "quicksight.amazonaws.com",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/87654321-4321-4321-4321-210987654321",
"granteePrincipal": "quicksight.amazonaws.com",
"operations": [
    "Encrypt",
    "Decrypt",
    "DescribeKey",
    "GenerateDataKey"
]
},
....
}

  3. 根据不同的事件类型,适用以下情况之一:

    CreateGrant – 您可以在 SPICE 数据集最后一个 CreateGrant 事件的密钥 ID (keyID) 中找到最近使用的 CMK。

    RetireGrant – 如果 SPICE 数据集的最新 CloudTrail 事件是 RetireGrant,则没有密钥 ID,且资源不再使用 CMK 进行加密。

验证生成报告构件时当前使用的 CMK

  1. 导航到您的 CloudTrail 日志。有关更多信息,请参阅 使用 Amazon CloudTrail 记录 QuickSight 信息

  2. 使用以下搜索参数查找报告执行的最新 GenerateDataKey 事件:

    • 事件名称 (eventName) 包含 GenerateDataKeyDecrypt

    • 请求参数 (requestParameters) 包含为其生成报告的分析或控制面板的 QuickSight ARN。

    {
    "eventVersion": "1.11",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "quicksight.amazonaws.com"
    },
    "eventTime": "2025-07-23T23:33:46Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "quicksight.amazonaws.com",
    "userAgent": "quicksight.amazonaws.com",
    "requestParameters": {
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/87654321-4321-4321-4321-210987654321",
        "keySpec": "AES_256",
        "encryptionContext": {
            "aws:quicksight:arn": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1ca456fe-eb34-4250-805c-b1b9350bd164",
            "aws:s3:arn": "arn:aws:s3:::sn-imagegen.prod.us-west-2"
        }
    },
    ...
}

  3. aws:s3:arn 是 QuickSight 拥有的 S3 存储桶,用于存储您的报告构件。

  4. 如果您不再看到 GenerateDataKey,则新的报告执行将不再加密 CMK。现有报告构件将保持加密状态。