Cifrado en reposo - Amazon Inspector
Cifrado de código en reposo en los resultados Permisos para el cifrado de código con una clave administrada por el clienteConfiguración del cifrado con una clave administrada por el cliente

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cifrado en reposo

De forma predeterminada, Amazon Inspector almacena los datos en reposo mediante soluciones de AWS cifrado. Amazon Inspector cifra datos, como los siguientes:

  • Inventario de recursos recopilado con AWS Systems Manager.

  • Inventario de recursos analizado a partir de imágenes de Amazon Elastic Container Registry

  • Generó hallazgos de seguridad utilizando claves de cifrado AWS propias de AWS Key Management Service

No puede administrar, usar ni ver las claves AWS propias. Sin embargo, no necesita realizar acciones ni cambiar programas para proteger las claves que cifran los datos. Para obtener más información, consulte claves propiedad de AWS.

Al desactivar Amazon Inspector, se eliminan permanentemente todos los recursos almacenados o mantenidos, incluidos los inventarios recopilados y los resultados de seguridad.

Cifrado de código en reposo en los resultados

Para realizar los análisis de código de Lambda, Amazon Inspector colabora conjuntamente con Amazon Q para analizar el código en busca de vulnerabilidades. Cuando se detecta una vulnerabilidad, Amazon Q extrae un fragmento del código que contiene la vulnerabilidad y lo almacena hasta que Amazon Inspector solicite acceso. De forma predeterminada, Amazon Q utiliza una AWS clave propia para cifrar el código extraído. Sin embargo, puede configurar Amazon Inspector para que utilice su propia AWS KMS clave gestionada por el cliente para el cifrado.

En el siguiente flujo de trabajo se describe cómo Amazon Inspector utiliza la clave que ha configurado para cifrar el código:

  1. Usted proporciona una AWS KMS clave a Amazon Inspector mediante la UpdateEncryptionKeyAPI de Amazon Inspector.

  2. Amazon Inspector reenvía la información sobre tu AWS KMS clave a Amazon Q y Amazon Q la guarda para usarla en el futuro.

  3. Amazon Q utiliza la clave de KMS que ha configurado en Amazon Inspector a través de la política de claves.

  4. Amazon Q crea una clave de datos cifrada a partir de tu AWS KMS clave y la almacena. Esta clave de datos se utiliza para cifrar los datos de código almacenados por Amazon Q.

  5. Cuando Amazon Inspector solicita datos de análisis de código, Amazon Q utiliza la clave de KMS para descifrar la clave de datos. Cuando desactive el análisis de código de Lambda, Amazon Q elimina la clave de datos asociada.

Permisos para el cifrado de código con una clave administrada por el cliente

Para el cifrado, debe crear una clave de KMS con una política que incluya una instrucción que permita a Amazon Inspector y Amazon Q realizar las siguientes acciones.

  • kms:Decrypt

  • kms:DescribeKey

  • kms:Encrypt

  • kms:GenerateDataKey

  • kms:GenerateDataKeyWithoutPlainText

Declaración de la política

Puede utilizar la siguiente instrucción de política al crear la clave de KMS.

nota

account-idSustitúyala por tu Cuenta de AWS ID de 12 dígitos. RegionSustitúyala por la Región de AWS que habilitaste el escaneo de códigos de Amazon Inspector y Lambda. Sustituya role-ARN por el nombre de recurso de Amazon para el rol de IAM. 


{
  "Effect": "Allow",
  "Principal": {
    "Service": "q.amazonaws.com"
  },
  "Action": [
    "kms:Encrypt",
    "kms:Decrypt",
    "kms:GenerateDataKeyWithoutPlaintext",
    "kms:GenerateDataKey"
  ],
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "kms:EncryptionContext:aws:qdeveloper:lambda-codescan-scope": "account-id"
    },
    "StringEquals": {
      "aws:SourceAccount": "account-id"
    },
    "ArnLike": {
      "aws:SourceArn": "arn:aws:qdeveloper:Region:account-id:scans/*"
    }
  }
},
{
  "Effect": "Allow",
  "Principal": {
    "Service": "q.amazonaws.com"
  },
  "Action": "kms:DescribeKey",
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "aws:SourceAccount": "account-id"
    },
    "ArnLike": {
      "aws:SourceArn": "arn:aws:qdeveloper:Region:account-id:scans/*"
    }
  }
},
{
  "Effect": "Allow",
  "Action": [
    "kms:Encrypt",
    "kms:Decrypt",
    "kms:GenerateDataKeyWithoutPlaintext",
    "kms:GenerateDataKey"
  ],
  "Principal": {
    "AWS": "role-ARN"
  },
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:ViaService": "inspector2.Region.amazonaws.com"
    },
    "StringLike": {
      "kms:EncryptionContext:aws:qdeveloper:lambda-codescan-scope": "account-id"
    }
  }
},
{
  "Effect": "Allow",
  "Action": [
    "kms:DescribeKey"
  ],
  "Principal": {
    "AWS": "role-ARN"
  },
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:ViaService": "inspector2.Region.amazonaws.com"
    }
  }
}

La instrucción de la política está formateada en JSON. Después de incluir la instrucción, revise la política para asegurarse de que la sintaxis es válida. Si la instrucción es la última de la política, coloque la coma después del corchete de cierre de la instrucción anterior. Si la instrucción es la primera o está entre dos instrucciones existentes en la política, coloque una coma después del corchete de cierre de la instrucción.

nota

Amazon Inspector ya no admite concesiones para cifrar fragmentos de código extraídos de paquetes. Si utiliza una política basada en concesiones, podrá seguir accediendo a los resultados. Sin embargo, si alguna vez actualiza o restablece la clave de KMS o desactiva el análisis de código de Lambda, tendrá que usar la política de claves de KMS que se describe en esta sección.

Si configuras, actualizas o restableces la clave de cifrado de tu cuenta, debes usar una política de administrador de Amazon Inspector, como la política AWS gestionadaAmazonInspector2FullAccess.

Configuración del cifrado con una clave administrada por el cliente

Para configurar el cifrado en su cuenta con una clave administrada por el cliente, debe ser administrador de Amazon Inspector y contar con los permisos que se indican en Permisos para el cifrado de código con una clave administrada por el cliente. Además, necesitará una AWS KMS clave en la misma AWS región que sus hallazgos o una clave multirregional. Puede utilizar una clave simétrica existente en su cuenta o crear una clave simétrica gestionada por el cliente mediante la consola de AWS administración o la. AWS KMS APIs Para obtener más información, consulte Creación de AWS KMS claves de cifrado simétricas en la guía del AWS KMS usuario.

nota

A partir del 13 de junio de 2025, el nombre principal del servicio en AWS KMS las solicitudes registradas CloudTrail durante un fragmento encryption/decryption de código pasará de ser «codeguru-reviewer» a «q».

Uso de la API de Amazon Inspector para configurar el cifrado

Para configurar una clave de cifrado, el UpdateEncryptionKeyfuncionamiento de la API de Amazon Inspector cuando se ha iniciado sesión como administrador de Amazon Inspector. En la solicitud de API, usa el kmsKeyId campo para especificar el ARN de la AWS KMS clave que deseas usar. Para scanType, introduzca CODE y, para resourceType, introduzca AWS_LAMBDA_FUNCTION.

Puedes usar la UpdateEncryptionKeyAPI para comprobar qué AWS KMS clave utiliza Amazon Inspector para el cifrado.

nota

Si intentas utilizarla sin GetEncryptionKey configurar una clave gestionada por el cliente, la operación devolverá un ResourceNotFoundException error, lo que significa que se está utilizando una AWS clave propia para el cifrado.

Si elimina la clave o cambia su política para denegar el acceso a Amazon Inspector o Amazon Q, no podrá acceder a los resultados de vulnerabilidades de código y se producirán errores en los análisis de código de Lambda que realice en la cuenta.

Puede utilizarla ResetEncryptionKey para volver a utilizar una clave AWS propia para cifrar el código extraído como parte de las conclusiones de Amazon Inspector.