Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Enkripsi saat diam
<a name="AMG-encryption-at-rest"></a>

Secara default, Grafana yang Dikelola Amazon secara otomatis memberi Anda enkripsi saat istirahat dan melakukan ini menggunakan kunci enkripsi yang AWS dimiliki.
+ **AWS kunci yang dimiliki** — Grafana yang Dikelola Amazon menggunakan kunci ini untuk mengenkripsi data ruang kerja Anda secara otomatis. Anda tidak dapat melihat, mengelola, atau menggunakan kunci yang AWS dimiliki, atau mengaudit penggunaannya. Namun, Anda tidak perlu mengambil tindakan apa pun atau mengubah program apa pun untuk melindungi kunci yang mengenkripsi data Anda. Untuk informasi selengkapnya, lihat [kunci AWS yang dimiliki](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) di *Panduan AWS KMS Pengembang*.

Enkripsi data saat istirahat membantu mengurangi overhead operasional dan kompleksitas yang digunakan untuk melindungi data pelanggan yang sensitif, seperti informasi yang dapat diidentifikasi secara pribadi. Ini memungkinkan Anda untuk membangun aplikasi aman yang memenuhi kepatuhan enkripsi yang ketat dan persyaratan peraturan.

Anda dapat memilih untuk menggunakan kunci yang dikelola pelanggan saat membuat ruang kerja:
+ **Kunci terkelola pelanggan** — Grafana yang Dikelola Amazon mendukung penggunaan kunci terkelola pelanggan simetris yang Anda buat, miliki, dan kelola untuk mengenkripsi data di ruang kerja Anda. Karena Anda memiliki kontrol penuh atas enkripsi ini, Anda dapat melakukan tugas-tugas seperti:
  + Menetapkan dan memelihara kebijakan utama
  + Menetapkan dan memelihara kebijakan dan hibah IAM
  + Mengaktifkan dan menonaktifkan kebijakan utama
  + Memutar bahan kriptografi kunci
  + Menambahkan tanda
  + Membuat alias kunci
  + Kunci penjadwalan untuk penghapusan

Untuk informasi selengkapnya, lihat [kunci yang dikelola pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) di *Panduan AWS KMS Pengembang* dan [Apa itu AWS KMS?](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)

Pilih apakah akan menggunakan kunci yang dikelola pelanggan atau kunci AWS yang dimiliki dengan hati-hati. Ruang kerja yang dibuat dengan kunci yang dikelola pelanggan tidak dapat dikonversi untuk menggunakan kunci yang AWS dimiliki nanti (dan sebaliknya).

**catatan**  
Grafana yang Dikelola Amazon secara otomatis mengaktifkan enkripsi saat istirahat menggunakan kunci yang AWS dimiliki untuk melindungi data Anda tanpa biaya.
Namun, AWS KMS biaya berlaku untuk menggunakan kunci yang dikelola pelanggan. Untuk informasi selengkapnya tentang harga, silakan lihat [harga AWS KMS](https://aws.amazon.com/kms/pricing/).

**penting**  
Jika Anda menonaktifkan kunci terkelola pelanggan atau menghapus akses Grafana Terkelola Amazon dalam kebijakan kunci, ruang kerja Anda akan menjadi tidak dapat diakses. Ruang kerja akan tetap dalam `ACTIVE` keadaan tetapi secara fungsional tidak tersedia. Anda memiliki 7 hari untuk memulihkan akses dengan mengaktifkan kembali kunci atau memulihkan kebijakan kunci. Setelah 7 hari, ruang kerja akan beralih ke `FAILED` keadaan dan hanya dapat dihapus.
Penjadwalan kunci untuk dihapus AWS KMS memiliki masa tunggu minimum 7 hari sebelum kunci dihapus. Setelah kunci dihapus, itu tidak dapat dipulihkan, dan ruang kerja apa pun yang dienkripsi dengan kunci itu akan kehilangan akses ke datanya secara permanen.
Enkripsi kunci terkelola pelanggan hanya tersedia saat membuat ruang kerja baru. Ruang kerja yang ada tidak dapat dikonversi untuk menggunakan kunci yang dikelola pelanggan.
Anda tidak dapat memodifikasi kunci terkelola pelanggan ruang kerja setelah pembuatan.

## Bagaimana Amazon Managed Grafana menggunakan hibah di AWS KMS
<a name="AMG-encryption-grants"></a>

Grafana yang Dikelola Amazon memerlukan hibah untuk menggunakan kunci yang dikelola pelanggan Anda.

Saat Anda membuat ruang kerja Grafana Terkelola Amazon yang dienkripsi dengan kunci yang dikelola pelanggan, Grafana Terkelola Amazon membuat hibah atas nama Anda dengan mengirimkan permintaan ke. [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) AWS KMS Hibah dalam AWS KMS digunakan untuk memberikan Grafana Terkelola Amazon akses ke kunci KMS di akun Anda, bahkan ketika tidak dipanggil langsung atas nama Anda (misalnya, saat menyimpan data dasbor atau konfigurasi pengguna).

Grafana yang Dikelola Amazon memerlukan hibah untuk menggunakan kunci terkelola pelanggan Anda untuk operasi internal berikut:
+ Kirim [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)permintaan AWS KMS untuk membuat hibah tambahan sesuai kebutuhan.
+ Kirim [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)permintaan AWS KMS untuk memverifikasi bahwa kunci KMS terkelola pelanggan simetris yang diberikan saat membuat ruang kerja valid.
+ Kirim [ReEncryptTo dan ReEncryptFrom](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html) minta AWS KMS untuk mengenkripsi ulang data saat berpindah di antara konteks enkripsi yang berbeda.
+ Kirim permintaan [Enkripsi](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html) AWS KMS untuk mengenkripsi data secara langsung dengan kunci terkelola pelanggan Anda.
+ Kirim permintaan [Dekripsi](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) ke AWS KMS untuk mendekripsi kunci data terenkripsi sehingga mereka dapat digunakan untuk mengenkripsi data Anda.
+ Kirim [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)permintaan AWS KMS untuk menghasilkan kunci data yang dienkripsi oleh kunci terkelola pelanggan Anda.
+ Kirim [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)permintaan AWS KMS untuk menghasilkan kunci data terenkripsi tanpa mengembalikan versi teks biasa.
+ Kirim [RetireGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html)permintaan AWS KMS untuk pensiun hibah yang tidak lagi diperlukan.

Grafana yang Dikelola Amazon membuat hibah ke AWS KMS kunci yang memungkinkan Grafana Terkelola Amazon menggunakan kunci atas nama Anda. Anda dapat menghapus akses ke kunci dengan mengubah kebijakan kunci, dengan menonaktifkan kunci, atau dengan mencabut hibah. Anda harus memahami konsekuensi dari tindakan ini sebelum melakukannya. Hal ini dapat menyebabkan hilangnya data di ruang kerja Anda.

Jika Anda menghapus akses ke salah satu hibah dengan cara apa pun, Grafana Terkelola Amazon tidak akan dapat mengakses data apa pun yang dienkripsi oleh kunci terkelola pelanggan, atau menyimpan data baru yang dikirim ke ruang kerja, yang memengaruhi operasi yang bergantung pada data tersebut. Pembaruan baru ke ruang kerja tidak akan dapat diakses dan mungkin hilang secara permanen.

**Awas**  
Jika Anda menonaktifkan kunci, atau menghapus akses Grafana Terkelola Amazon dalam kebijakan kunci, data ruang kerja tidak lagi dapat diakses. Ruang kerja akan tetap dalam `ACTIVE` keadaan tetapi secara fungsional tidak tersedia. Pembaruan baru yang dikirim ke ruang kerja tidak akan dapat diakses dan mungkin hilang secara permanen. Anda dapat memulihkan akses ke data ruang kerja dan melanjutkan penerimaan data baru dengan mengaktifkan kembali kunci atau memulihkan akses Grafana yang Dikelola Amazon ke kunci dalam 7 hari. Setelah 7 hari tanpa akses, ruang kerja akan beralih ke `FAILED` keadaan.
Jika Anda menjadwalkan kunci untuk dihapus AWS KMS, kunci akan dihapus setelah masa tunggu 7 hari wajib. Setelah dihapus, kunci tidak dapat dipulihkan, dan data ruang kerja akan tidak dapat diakses secara permanen.
Jika Anda *mencabut* hibah, hibah tidak dapat dibuat ulang, dan data di ruang kerja akan hilang secara permanen.
Grafana yang Dikelola Amazon membuat hibah anak tambahan melalui Amazon RDS karena ketergantungannya pada RDS untuk penyimpanan data. Mencabut hibah terkait RDS ini akan memiliki efek kehilangan data permanen yang sama seperti mencabut hibah Grafana utama.

## Langkah 1: Buat kunci yang dikelola pelanggan
<a name="AMG-encryption-create-key"></a>

Anda dapat membuat kunci terkelola pelanggan simetris dengan menggunakan AWS Management Console, atau. AWS KMS APIs Kuncinya harus berada di wilayah yang sama dengan ruang kerja Grafana yang Dikelola Amazon dan harus berupa kunci simetris dengan penggunaan kunci. `ENCRYPT_DECRYPT`

**Untuk membuat kunci terkelola pelanggan simetris**
+ Ikuti langkah-langkah untuk [Membuat kunci terkelola pelanggan simetris](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) di *Panduan AWS KMS Pengembang*.

Kebijakan utama mengontrol akses ke kunci yang dikelola pelanggan Anda. Setiap kunci yang dikelola pelanggan harus memiliki persis satu kebijakan utama, yang berisi pernyataan yang menentukan siapa yang dapat menggunakan kunci dan bagaimana mereka dapat menggunakannya. Saat membuat kunci terkelola pelanggan, Anda dapat menentukan kebijakan kunci. Untuk informasi selengkapnya, lihat [Mengelola akses ke kunci terkelola pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html#managing-access) di *Panduan AWS KMS Pengembang*.

Untuk menggunakan kunci terkelola pelanggan dengan ruang kerja Grafana yang Dikelola Amazon, operasi API berikut harus diizinkan dalam kebijakan kunci:
+ [kms: CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) — Menambahkan hibah ke kunci yang dikelola pelanggan. Memberikan akses kontrol ke kunci KMS tertentu, yang memungkinkan akses ke operasi hibah yang dibutuhkan [Grafana Terkelola Amazon](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html#terms-grant-operations). Untuk informasi selengkapnya, lihat [Menggunakan Hibah](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) di *Panduan AWS KMS Pengembang*. Ini memungkinkan Grafana yang Dikelola Amazon untuk melakukan hal berikut:
  + Panggil `GenerateDataKey` untuk menghasilkan kunci data terenkripsi dan menyimpannya.
  + Panggilan `Decrypt` untuk menggunakan kunci data terenkripsi yang disimpan untuk mengakses data terenkripsi.
+ [kms: DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) — Memberikan detail kunci yang dikelola pelanggan untuk memungkinkan Grafana yang Dikelola Amazon memvalidasi kunci.

Berikut ini adalah contoh pernyataan kebijakan yang dapat Anda tambahkan untuk Grafana Terkelola Amazon:

```
{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "Allow IAM Users and Roles to validate KMS key",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/root"
      },
      "Action": [
        "kms:DescribeKey",
        "kms:GenerateDataKey",
        "kms:Decrypt"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "kms:ViaService": [
            "grafana.<region>.amazonaws.com"
          ]
        }
      }
    },
    {
      "Sid": "Allow IAM Users and Roles to create grant on KMS key",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/root"
      },
      "Action": "kms:CreateGrant",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "kms:ViaService": [
            "grafana.<region>.amazonaws.com"
          ],
          "kms:GrantConstraintType": "EncryptionContextSubset"
        },
        "ForAllValues:StringEquals": {
          "kms:GrantOperations": [
            "CreateGrant",
            "RetireGrant",
            "Decrypt",
            "Encrypt",
            "GenerateDataKey",
            "GenerateDataKeyWithoutPlaintext",
            "ReEncryptFrom",
            "ReEncryptTo"
          ]
        }
      }
    }
  ]
}
```
+ Untuk informasi selengkapnya tentang menentukan izin dalam kebijakan, lihat Panduan [Pengembang Layanan Manajemen AWS Kunci](https://docs.aws.amazon.com/kms/latest/developerguide/).
+ Untuk informasi selengkapnya tentang akses kunci pemecahan masalah, lihat Panduan [Pengembang Layanan Manajemen AWS Kunci](https://docs.aws.amazon.com/kms/latest/developerguide/).

## Langkah 2: Menentukan kunci yang dikelola pelanggan untuk Grafana yang Dikelola Amazon
<a name="AMG-encryption-specify-key"></a>

Saat membuat ruang kerja, Anda dapat menentukan kunci yang dikelola pelanggan dengan memasukkan ARN Kunci KMS, yang digunakan Amazon Managed Grafana untuk mengenkripsi data yang disimpan oleh ruang kerja.

1. Buka konsol Grafana Terkelola Amazon di. [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/)

1. Pilih **Buat ruang kerja**.

1. Di bagian **Enkripsi**, pilih **Kunci yang dikelola pelanggan**.

1. Masukkan ARN kunci yang dikelola pelanggan Anda di bidang **KMS Key ARN**.

1. Selesaikan konfigurasi ruang kerja yang tersisa dan pilih **Buat ruang kerja**.

Anda dapat menentukan kunci yang dikelola pelanggan saat membuat ruang kerja menggunakan `--kms-key-id` parameter:

```
aws grafana create-workspace \
    --workspace-name "my-encrypted-workspace" \
    --workspace-description "Workspace with customer managed encryption" \
    --account-access-type "CURRENT_ACCOUNT" \
    --authentication-providers "AWS_SSO" \
    --permission-type "SERVICE_MANAGED" \
    --kms-key-id "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
```

## Memantau kunci enkripsi Anda untuk Grafana Terkelola Amazon
<a name="AMG-encryption-monitoring"></a>

Saat Anda menggunakan kunci terkelola AWS KMS pelanggan dengan ruang kerja Grafana Terkelola Amazon, Anda dapat menggunakan atau CloudWatch Log AWS CloudTrail Amazon untuk melacak permintaan yang dikirimkan oleh Grafana Terkelola Amazon. AWS KMS

Contoh berikut adalah AWS CloudTrail peristiwa untuk`CreateGrant`,, `DescribeKey``GenerateDataKey`, dan `Decrypt` untuk memantau operasi KMS yang dipanggil oleh Grafana Terkelola Amazon untuk mengakses data yang dienkripsi oleh kunci terkelola pelanggan Anda:

Saat Anda menggunakan kunci yang dikelola AWS KMS pelanggan untuk mengenkripsi ruang kerja Anda, Grafana Terkelola Amazon mengirimkan `CreateGrant` permintaan atas nama Anda untuk mengakses kunci KMS yang Anda tentukan. Hibah yang dibuat oleh Grafana Terkelola Amazon khusus untuk sumber daya yang terkait dengan AWS KMS kunci yang dikelola pelanggan.

Contoh peristiwa berikut mencatat `CreateGrant` operasi:

```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE-KEY-ID1",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-22T17:02:00Z"
}
},
"invokedBy": "grafana.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"retiringPrincipal": "grafana.amazonaws.com",
"operations": [
"CreateGrant",
"DescribeKey",
"ReEncryptTo",
"ReEncryptFrom",
"Encrypt",
"Decrypt",
"GenerateDataKey",
"GenerateDataKeyWithoutPlaintext",
"RetireGrant"
],
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"granteePrincipal": "grafana.amazonaws.com"
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```

Grafana yang Dikelola Amazon menggunakan `DescribeKey` operasi untuk memverifikasi apakah kunci terkelola AWS KMS pelanggan yang terkait dengan ruang kerja Anda ada di akun dan wilayah.

Contoh peristiwa berikut mencatat `DescribeKey` operasi:

```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE-KEY-ID1",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-22T17:02:00Z"
}
},
"invokedBy": "grafana.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DescribeKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"keyId": "00dd0db0-0000-0000-ac00-b0c000SAMPLE"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```

Grafana yang Dikelola Amazon menggunakan `GenerateDataKey` operasi untuk menghasilkan kunci data yang digunakan untuk mengenkripsi data ruang kerja.

Contoh peristiwa berikut mencatat `GenerateDataKey` operasi:

```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE-KEY-ID1",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-22T17:02:00Z"
}
},
"invokedBy": "grafana.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"keySpec": "AES_256"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```

Grafana yang Dikelola Amazon menggunakan `Decrypt` operasi untuk mendekripsi kunci data terenkripsi sehingga dapat digunakan untuk mendekripsi data ruang kerja.

Contoh peristiwa berikut mencatat `Decrypt` operasi:

```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE-KEY-ID1",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-22T17:02:00Z"
}
},
"invokedBy": "grafana.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"encryptionContext": {
"aws:grafana:workspace-id": "g-1234567890abcdef0"
}
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```

## Pelajari selengkapnya
<a name="AMG-encryption-learn-more"></a>

Sumber daya berikut memberikan informasi lebih lanjut tentang enkripsi data saat istirahat.
+ Untuk informasi selengkapnya tentang konsep AWS KMS dasar, lihat [Panduan AWS KMS Pengembang](https://docs.aws.amazon.com/kms/latest/developerguide/).
+ Untuk informasi selengkapnya tentang praktik terbaik Keamanan AWS KMS, lihat [Panduan AWS KMS Pengembang](https://docs.aws.amazon.com/kms/latest/developerguide/).