こんばんは、小寺です。
Amazon QuickSightのKMSをAPIから設定できるようになりました。
https://aws.amazon.com/about-aws/whats-new/2024/05/amazon-quicksight-public-api-spice-cmk-data-encryption/
アップデートについて
今まで、SPICE データセットを暗号化して管理するためのカスタマー管理キー (CMK)は、QuickSight コンソールから手動で設定する必要がありました。手動設定の場合、QuickSightの管理画面の「KMS キー」というメニューから設定します。
管理ボタンをクリックすると、 QuickSight に関連付けられている KMS キーの管理画面へ遷移します。既存 KMS キーを選択するか、新規作成することで、QuickSight への関連付け(CreateGrant)を行います。
今回のアップデートにより、カスタマー管理キー (CMK) のパブリック APIが提供され、APIで設定ができるようになりました。
パブリックAPIを有効にするには、設定をオプトインしてカスタマー管理キーを管理できるようにします。さらに、SPICE データセットへのアクセス方法をモニタリングする監査ログも合わせて管理できるようになるようです。
確認してみる
登録、アップデート、情報の確認、削除方法を行うことができます。事前に登録するキーをKMSで作成しておき、ARNをメモしておきましょう。
describe-key-registrationコマンドで使うことでキーの情報を取得することができます。登録前に確認してみます。
aws quicksight describe-key-registration --aws-account-id XXXXXXXXXXXX--region ap-northeast-1
登録されていないときは、以下のような出力結果が返ってきます。
{
"AwsAccountId": "XXXXXXXXXXXX",
"KeyRegistration": [],
"RequestId": "cc633dd4-3c7b-45c7-b5c3-a324bec22ab0",
"Status": 200
}
登録を行います。登録はupdate-key-registration で行います。
aws quicksight update-key-registration
--aws-account-id "XXXXXXXXXXXX",
--key-registration '[{"KeyArn": "arn:aws:kms:ap-northeast-1:XXXXXXXXXXXX:key/04806244-44a6-4d3f-b415-8d4e3ef31e89", "DefaultKey":false}]' ,
--region ap-northeast-1
登録成功です!
{
"FailedKeyRegistration": [],
"SuccessfulKeyRegistration": [
{
"KeyArn": "arn:aws:kms:ap-northeast-1:XXXXXXXXXXXX:key/04806244-44a6-4d3f-b415-8d4e3ef31e89",
"StatusCode": 200
}
],
"RequestId": "25c8d4c3-5003-4fc5-855c-c528e7754e72"
}
登録後、 describe-key-registration コマンドで確認してみます。
{
"AwsAccountId": "XXXXXXXXXXXX",
"KeyRegistration": [
{
"KeyArn": "arn:aws:kms:ap-northeast-1:XXXXXXXXXXXX:key/04806244-44a6-4d3f-b415-8d4e3ef31e89",
"DefaultKey": false
}
],
"RequestId": "45ee5bf8-f87c-4ce3-a681-30c492886fa6",
"Status": 200
}
QuickSightの管理コンソールからも登録を確認することができます。
登録したキーの更新及び削除についても update-key-registration で削除します。登録したキーを削除してみます。
aws quicksight update-key-registration --aws-account-id "XXXXXXXXXXXX" --key-registration '[]' --region ap-northeast-1
以下の結果が返ってきて、削除完了です。
{
"FailedKeyRegistration": [],
"SuccessfulKeyRegistration": [],
"RequestId": "31b427e7-70d9-4c0a-a5ad-6462a575faf8"
}
QuickSightの管理コンソールからも登録が削除されていることを確認することができます。
今日は、Amazon QuickSight の KMS 設定が APIに対応したので、試してみました。初回設定処理で、手動対応だった内容が自動化できるようになったので、ぜひ取り入れてみてはいかがでしょうか。
SunnyCloudでは、Amazon QuickSightの「サービスデリバリープログラム」認定を日本国内で初めて取得しました。(こちらの記事をご参照ください)
このサービスデリバリープログラムの認定は、株式会社アイディーエスが提供しているAWS導入支援サービスである「サニークラウド(Sunny Cloud)」において、AWSのデータ分析サービスである「Amazon QuickSight」の導入実績や技術力が評価されたもので、日本のAWSパートナーネットワーク(以下、APN)のコンサルティングパートナーとしては初めての認定取得です。
ぜひ、データ分析に興味のある方はこちらまでお問い合わせください!
