[アップデート] Amazon QuickSight でデータストア設定情報も KMS カスタマーマネージドキーを使うことが出来るようになりました

[アップデート] Amazon QuickSight でデータストア設定情報も KMS カスタマーマネージドキーを使うことが出来るようになりました

#Amazon QuickSight
#AWS Key Management Service(KMS)
#AWS
いわさ

いわさ

facebook logohatena logotwitter logo
Clock Icon2024.08.27

いわさです。

Amazon QuickSight では SPICE データセットの暗号化に KMS が使われているのですが、カスタマーマネージドキーを使うことが出来ます。

https://dev.classmethod.jp/articles/amazon-quicksight-spice-kms-cmk/

QuickSight にはデータセットの他にデータソースという概念もあります。
データセットを作成するためにはデータソースが必要で、例えば RDS や S3 や Athena などデータセットを作成するためのデータを提供するデータストアを指しています。

このデータソースを作成する際に、例えば RDS であれば接続情報などを入力するのですがこれらのセキュアな情報も KMS の AWS マネージドキーで従来から暗号化されていました。
先日のアップデートでデータソースについてもカスタマーマネージドキーを使うことが出来るようになりました。

https://aws.amazon.com/about-aws/whats-new/2024/08/amazon-quicksight-cmk-data-source-information/

QuickSight の場合だと、カスタマーマネージドキーを使うことでデータ破棄要件などに対応出来る場合があるのですが、データセットだけでなくデータソース設定についてもコントロール出来るようになりました。

QuickSight で KMS を設定しておくと自動で使われる

使い方ですが、QuickSight の管理機能で従来から KMS 管理機能がありまして、KMS キーを関連付けることが出来ました。
こちらを有効化することで、あるタイミングから自動でデフォルトキーがデータソース情報の暗号化や復号化に使われています。

19AED0AD-293C-4A2F-9C40-168B42E14839.png

厳密にタイミングはわからないですが、このアップデートが公開された 8 月 15 日直後では動作が確認出来ず、しばらく時間を置いたこのタイミングで動作を確認することが出来ました。
新規データソースの作成、あるいは既存データソースの編集時に KMS キー情報が反映されるようなので、既存データソースに反映したい場合はデータソース編集から試してみてください。

今回は上記のように KMS キーを設定した上で、新規データソースを作成してみましょう。

データソースを作成してみる

何でも良さそうですが、RDS MySQL を作成してこいつをデータソースとして使ってみます。

0E688DDC-4A91-4506-A61F-5D2E1BDEDC8E_4_5005_c.jpeg

QuickSight でデータセットを新規作成します。
既存データソースを指定せずに、RDS を指定することで新しいデータソースの作成から始まります。

BC59869C-1E45-4745-8DAE-84C602220102.png

上記で接続情報を入力しました。ここで「データソースを作成」ボタンを押すとデータソースが作成されます。
このままデータセットの作成にも進むのですが、そこでキャンセルしてもデータセット作成は行われないのですがデータソース自体は完了しています。

データソースを使ってみる

で、作成されたデータソースを使ってみましょう。
またデータセットの新規作成を行うのですが、今度は既存データソースからデータセットを作成してみます。先ほど作ったやつを指定します。

2820E2B1-E7B7-47EE-9F33-27460437279F.png

今度はデータソースの作成(接続情報の入力)は無しでデータセット作成画面に進みましたね。
接続情報などはデータソースとして保存されているのです。この時に KMS を使って接続情報が暗号化されており、データセット作成などで展開する時には復号化されます。

6B261DBB-3A5F-40A8-AFB5-353357C54FA8_4_5005_c.jpeg

KMS を使った暗号化・復号化についてですが、CloudTrail から確認することが出来ます。
先ほどデータセットの作成を試みようとしたタイミングで Desrypt (復号) イベントが発生しています。

1F41BF21-885A-4959-A2E1-EEE35B84B016_4_5005_c.jpeg

イベントレコードの詳細を確認してみると、userIdentityが QuickSight になってますね。
QuickSight の内部処理によって復号化が行われています。

267B1137-D66F-4A79-BB0F-6F028EFCFFC9.png

キーを無効化してみる

ユーザーマネージドなキーが使われているということで AWS マネージドキーと異なってユーザーが好きなタイミングで無効化や削除を行うことが出来ます。
早速キーを無効化してみましょう。

75454674-D966-4817-A878-0E97179AC472_4_5005_c.jpeg

再びデータソースからデータセットを作成しようとしてみたところ次のようにデータソースを利用することが出来ませんでした。良いですね!

487263E6-F637-41B8-A3A9-4E7D9505012A.png

さいごに

本日は Amazon QuickSight でデータストア設定情報も KMS カスタマーマネージドキーを使うことが出来るようになったので使ってみました。

従来はデータセット(SPICE)までカスタマーマネージドキーを使うことが出来ていましたが、今回のアップデートでデータソースにも適用出来るようになりました。
このアップデートが来るまで気が付かなかったのですが、確かにシークレットが含まれる場合もありますし、鍵を使って保護出来るとありがたい範囲ですね。

この記事をシェアする

facebook logohatena logotwitter logo

関連記事

[アップデート] Amazon QuickSight の Google BigQuery データセットでダイレクトクエリモードも使えるようになりました

[アップデート] Amazon QuickSight の Google BigQuery データセットでダイレクトクエリモードも使えるようになりました

User avatar
いわさ
2024.09.14
クラスメソッド データアナリティクス通信(AWSデータ分析編) – 2024年9月号

クラスメソッド データアナリティクス通信(AWSデータ分析編) – 2024年9月号

User avatar
石川覚
2024.09.05
Athena を介して別アカウントの S3 バケットのデータを QuickSight で可視化する

Athena を介して別アカウントの S3 バケットのデータを QuickSight で可視化する

User avatar
emi
2024.09.01
QuickSight Community で日本語 Q&A を使い、疑問を解決しました

QuickSight Community で日本語 Q&A を使い、疑問を解決しました

User avatar
emi
2024.08.31
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.