Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés. # Crear una clave de acceso gestionada por el cliente AWS KMS De forma predeterminada, los datos se cifran con una [clave propiedad de AWS .](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) Esto significa que el servicio crea la clave, la posee y la administra. Si desea poseer y administrar la clave utilizada para cifrar los datos, puede crear una [clave de KMS administrada por el cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk). Amazon Inspector no interactúa con los datos. Amazon Inspector solo ingiere metadatos de los repositorios en el proveedor de código fuente. Para obtener información acerca de cómo crear una clave de KMS administrada por el cliente, consulte [Creación de una clave de KMS](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) en la *Guía del usuario de AWS Key Management Service *. **Ejemplo de política de** Cuando [crea la clave administrada por el cliente](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html), utilice la siguiente política de ejemplo. **nota** Los [permisos de FAS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html) de la siguiente política son específicos de Amazon Inspector, ya que permiten a Amazon Inspector realizar solo esas llamadas a la API. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Id": "key-policy", "Statement": [ { "Sid": "Allow Q to use Encrypt Decrypt GenerateDataKey and GenerateDataKeyWithoutPlaintext", "Effect": "Allow", "Principal": { "Service": "q.amazonaws.com" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "StringLike": { "kms:EncryptionContext:aws:qdeveloper:codesecurity-scope": "111122223333" }, "ArnLike": { "aws:SourceArn": "arn:aws:inspector2:us-east-1:111122223333:codesecurity-integration/*" } } }, { "Sid": "Allow Q to use DescribeKey", "Effect": "Allow", "Principal": { "Service": "q.amazonaws.com" }, "Action": "kms:DescribeKey", "Resource": "*" }, { "Sid": "Allow Inspector to use Encrypt Decrypt GenerateDataKey and GenerateDataKeyWithoutPlaintext using FAS", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/inspectorCodeSecurity" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "inspector2.us-east-1.amazonaws.com" }, "StringLike": { "kms:EncryptionContext:aws:qdeveloper:codesecurity-scope": "111122223333" } } }, { "Sid": "Allow Inspector to use DescribeKey using FAS", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/inspectorCodeSecurity" }, "Action": [ "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "inspector2.us-east-1.amazonaws.com" } } } ] } ``` ------ Tras crear la clave de KMS, puede utilizar el siguiente Amazon Inspector APIs. + UpdateEncryptionKey — `CODE_REPOSITORY` Utilícela con `resourceType` y `CODE` como tipo de escaneo para configurar el uso de su clave KMS administrada por el cliente. + GetEncryptionKey — Úselo con `CODE_REPOSITORY` para `resourceType` y `CODE` como tipo de escaneo para configurar la recuperación de la configuración de la clave KMS. + ResetEncryptionKey — Utilícelo con `CODE_REPOSITORY` for `resourceType` y `CODE` para restablecer la configuración de la clave de KMS y para utilizar una clave AWS de KMS propia.