Crear una clave de acceso gestionada por el cliente AWS KMS - Amazon Inspector

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Crear una clave de acceso gestionada por el cliente AWS KMS

De forma predeterminada, los datos se cifran con una clave propiedad de AWS . Esto significa que el servicio crea la clave, la posee y la administra. Si desea poseer y administrar la clave utilizada para cifrar los datos, puede crear una clave de KMS administrada por el cliente. Amazon Inspector no interactúa con los datos. Amazon Inspector solo ingiere metadatos de los repositorios en el proveedor de código fuente. Para obtener información acerca de cómo crear una clave de KMS administrada por el cliente, consulte Creación de una clave de KMS en la Guía del usuario de AWS Key Management Service .

Ejemplo de política de

Cuando crea la clave administrada por el cliente, utilice la siguiente política de ejemplo.

nota

Los permisos de FAS de la siguiente política son específicos de Amazon Inspector, ya que permiten a Amazon Inspector realizar solo esas llamadas a la API.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Id": "key-policy",
  "Statement": [
    {
      "Sid": "Allow Q to use Encrypt Decrypt GenerateDataKey and GenerateDataKeyWithoutPlaintext",
      "Effect": "Allow",
      "Principal": {
        "Service": "q.amazonaws.com"
      },
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:GenerateDataKey",
        "kms:GenerateDataKeyWithoutPlaintext"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
        "aws:SourceAccount": "111122223333"
        },
        "StringLike": {
        "kms:EncryptionContext:aws:qdeveloper:codesecurity-scope": "111122223333"
        },
        "ArnLike": {
        "aws:SourceArn": "arn:aws:inspector2:us-east-1:111122223333:codesecurity-integration/*"
        }
      }
    },
    {
      "Sid": "Allow Q to use DescribeKey",
      "Effect": "Allow",
      "Principal": {
        "Service": "q.amazonaws.com"
      },
      "Action": "kms:DescribeKey",
      "Resource": "*"
    },
    {
      "Sid": "Allow Inspector to use Encrypt Decrypt GenerateDataKey and GenerateDataKeyWithoutPlaintext using FAS",
      "Effect": "Allow",
      "Principal": {
      "AWS": "arn:aws:iam::111122223333:role/inspectorCodeSecurity"
      },
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:GenerateDataKey",
        "kms:GenerateDataKeyWithoutPlaintext"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "kms:ViaService": "inspector2.us-east-1.amazonaws.com"
        },
        "StringLike": {
        "kms:EncryptionContext:aws:qdeveloper:codesecurity-scope": "111122223333"
        }
      }
    },
    {
      "Sid": "Allow Inspector to use DescribeKey using FAS",
      "Effect": "Allow",
      "Principal": {
      "AWS": "arn:aws:iam::111122223333:role/inspectorCodeSecurity"
      },
      "Action": [
        "kms:DescribeKey"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "kms:ViaService": "inspector2.us-east-1.amazonaws.com"
        }
      }
    }
  ]
}

Tras crear la clave de KMS, puede utilizar el siguiente Amazon Inspector APIs.

  • UpdateEncryptionKey — CODE_REPOSITORY Utilícela con resourceType y CODE como tipo de escaneo para configurar el uso de su clave KMS administrada por el cliente.

  • GetEncryptionKey — Úselo con CODE_REPOSITORY para resourceType y CODE como tipo de escaneo para configurar la recuperación de la configuración de la clave KMS.

  • ResetEncryptionKey — Utilícelo con CODE_REPOSITORY for resourceType y CODE para restablecer la configuración de la clave de KMS y para utilizar una clave AWS de KMS propia.