Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # Einen vom Kunden verwalteten Zugriffsschlüssel erstellen AWS KMS Standardmäßig werden Ihre Daten mit einem [AWS eigenen Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) verschlüsselt. Das bedeutet, dass der Schlüssel vom Dienst erstellt wird, ihm gehört und von ihm verwaltet wird. Wenn Sie den Schlüssel, der zur Verschlüsselung Ihrer Daten verwendet wird, besitzen und verwalten möchten, können Sie einen vom [Kunden verwalteten KMS-Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) erstellen. Amazon Inspector interagiert nicht mit Ihren Daten. Amazon Inspector nimmt nur Metadaten aus Repositorys in Ihrem Quellcode-Anbieter auf. Informationen zum Erstellen eines vom Kunden verwalteten KMS-Schlüssels finden Sie unter [Erstellen eines KMS-Schlüssels](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) im *AWS Key Management Service Benutzerhandbuch*. **Beispiel für eine Richtlinie** Verwenden Sie beim [Erstellen Ihres vom Kunden verwalteten Schlüssels](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) die folgende Beispielrichtlinie. **Anmerkung** Die [FAS-Berechtigungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html) in der folgenden Richtlinie sind spezifisch für Amazon Inspector, da sie es Amazon Inspector ermöglichen, nur diese API-Aufrufe durchzuführen. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Id": "key-policy", "Statement": [ { "Sid": "Allow Q to use Encrypt Decrypt GenerateDataKey and GenerateDataKeyWithoutPlaintext", "Effect": "Allow", "Principal": { "Service": "q.amazonaws.com" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "StringLike": { "kms:EncryptionContext:aws:qdeveloper:codesecurity-scope": "111122223333" }, "ArnLike": { "aws:SourceArn": "arn:aws:inspector2:us-east-1:111122223333:codesecurity-integration/*" } } }, { "Sid": "Allow Q to use DescribeKey", "Effect": "Allow", "Principal": { "Service": "q.amazonaws.com" }, "Action": "kms:DescribeKey", "Resource": "*" }, { "Sid": "Allow Inspector to use Encrypt Decrypt GenerateDataKey and GenerateDataKeyWithoutPlaintext using FAS", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/inspectorCodeSecurity" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "inspector2.us-east-1.amazonaws.com" }, "StringLike": { "kms:EncryptionContext:aws:qdeveloper:codesecurity-scope": "111122223333" } } }, { "Sid": "Allow Inspector to use DescribeKey using FAS", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/inspectorCodeSecurity" }, "Action": [ "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "inspector2.us-east-1.amazonaws.com" } } } ] } ``` ------ Nachdem Sie Ihren KMS-Schlüssel erstellt haben, können Sie den folgenden Amazon Inspector verwenden APIs. + UpdateEncryptionKey — Verwenden Sie mit `CODE_REPOSITORY` for `resourceType` und `CODE` als Scan-Typ, um die Verwendung Ihres vom Kunden verwalteten KMS-Schlüssels zu konfigurieren. + GetEncryptionKey — Verwenden Sie mit `CODE_REPOSITORY` for `resourceType` und `CODE` als Suchtyp, um den Abruf Ihrer KMS-Schlüsselkonfiguration zu konfigurieren. + ResetEncryptionKey — Verwenden Sie mit `CODE_REPOSITORY` for `resourceType` und`CODE`, um Ihre KMS-Schlüsselkonfiguration zurückzusetzen und einen AWS eigenen KMS-Schlüssel zu verwenden.