Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra. # Création d'une clé d'accès gérée par le client AWS KMS Par défaut, vos données sont chiffrées à l'aide d'une [clé que vous AWS possédez](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk). Cela signifie que la clé est créée, détenue et gérée par le service. Si vous souhaitez posséder et gérer la clé utilisée pour chiffrer vos données, vous pouvez créer une [clé KMS gérée par le client](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk). Amazon Inspector n'interagit pas avec vos données. Amazon Inspector ingère uniquement les métadonnées des référentiels de votre fournisseur de code source. Pour plus d'informations sur la création d'une clé KMS gérée par le client, voir [Création d'une clé KMS](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) dans le *guide de AWS Key Management Service l'utilisateur*. **Exemple de politique** Lorsque vous [créez votre clé gérée par le client](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html), utilisez l'exemple de politique suivant. **Note** Les [autorisations FAS définies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html) dans la politique suivante sont spécifiques à Amazon Inspector, car elles permettent à Amazon Inspector d'effectuer uniquement ces appels d'API. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Id": "key-policy", "Statement": [ { "Sid": "Allow Q to use Encrypt Decrypt GenerateDataKey and GenerateDataKeyWithoutPlaintext", "Effect": "Allow", "Principal": { "Service": "q.amazonaws.com" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "StringLike": { "kms:EncryptionContext:aws:qdeveloper:codesecurity-scope": "111122223333" }, "ArnLike": { "aws:SourceArn": "arn:aws:inspector2:us-east-1:111122223333:codesecurity-integration/*" } } }, { "Sid": "Allow Q to use DescribeKey", "Effect": "Allow", "Principal": { "Service": "q.amazonaws.com" }, "Action": "kms:DescribeKey", "Resource": "*" }, { "Sid": "Allow Inspector to use Encrypt Decrypt GenerateDataKey and GenerateDataKeyWithoutPlaintext using FAS", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/inspectorCodeSecurity" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "inspector2.us-east-1.amazonaws.com" }, "StringLike": { "kms:EncryptionContext:aws:qdeveloper:codesecurity-scope": "111122223333" } } }, { "Sid": "Allow Inspector to use DescribeKey using FAS", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/inspectorCodeSecurity" }, "Action": [ "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "inspector2.us-east-1.amazonaws.com" } } } ] } ``` ------ Après avoir créé votre clé KMS, vous pouvez utiliser l'Amazon Inspector suivant APIs. + UpdateEncryptionKey — À utiliser avec `CODE_REPOSITORY` pour `resourceType` et `CODE` comme type de scan pour configurer l'utilisation de votre clé KMS gérée par le client. + GetEncryptionKey — À utiliser avec `CODE_REPOSITORY` pour `resourceType` et `CODE` comme type de scan pour configurer la récupération de la configuration de votre clé KMS. + ResetEncryptionKey — À utiliser avec `CODE_REPOSITORY` for `resourceType` et `CODE` pour réinitialiser la configuration de votre clé KMS et pour utiliser une clé KMS AWS détenue.