使用 Amazon Key Management Service 客户自主管理型密钥加密 QuickSight 数据 - Amazon QuickSight
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

使用 Amazon Key Management Service 客户自主管理型密钥加密 QuickSight 数据

QuickSight 使您能够使用存储在 Amazon Key Management Service 中的密钥加密 QuickSight 数据。这为您提供了审计数据访问权限和满足监管安全要求的工具。如果需要,您可以选择通过撤销对 Amazon KMS 密钥的访问权限来立即锁定对数据的访问权限。QuickSight 中对加密资源的所有数据访问都记录在 Amazon CloudTrail 中。管理员或审计员可以追踪 CloudTrail 中的数据访问情况,以确定何时何地访问了数据。

要创建客户自主管理型密钥 (CMK),您可以在与 Amazon QuickSight 资源相同的 Amazon 账户和 Amazon 区域中使用 Amazon Key Management Service (Amazon KMS)。然后,QuickSight 管理员可以使用 CMK 来加密 QuickSight 数据并控制访问权限。

您可以在 QuickSight 控制台中或使用 QuickSight API 创建和管理 CMK。有关使用 QuickSight API 创建和管理 CMK 的更多信息,请参阅 Key management operations

将 CMK 与 QuickSight 资源一起使用时适用以下规则:

  • Amazon QuickSight 不支持非对称 Amazon KMS 密钥。

  • 您可以拥有多个 CMK,每个 Amazon Web Services 区域 每个 Amazon Web Services 账户 一个默认 CMK。

  • 默认情况下,QuickSight 资源使用 QuickSight 原生加密策略进行加密。

  • 当前由 CMK 密钥加密的数据将保持由该密钥加密。

注意

如果将 Amazon Key Management Service 与 Amazon QuickSight 配合使用,则需要按 Amazon Key Management Service 定价页面中的说明支付访问和维护费用。在您的账单中,费用在 Amazon KMS 下逐项列出,而不是在 QuickSight 下逐项列出。

当前默认 CMK 的密钥将自动用于加密以下内容:

  • 新的 SPICE 数据集。现有数据集需要完全刷新才能使用新的默认密钥进行加密。

  • 通过控制面板快照 API、计划报告和导出或控制面板生成的新报告构件。

与 Amazon QuickSight 关联的所有非客户自主管理型密钥均由 Amazon 管理。

不由 Amazon 管理的数据库服务器证书由客户承担责任,此类证书应由受信任的 CA 签名。有关更多信息,请参阅 网络和数据库配置要求

使用以下主题详细了解如何将 CMK 与 Amazon QuickSight 结合使用。

主题