Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris. # Membuat kunci yang dikelola pelanggan untuk mengakses AWS KMS Secara default, data Anda dienkripsi dengan kunci yang [AWS dimiliki](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk). Ini berarti kunci dibuat, dimiliki, dan dikelola oleh layanan. Jika Anda ingin memiliki dan mengelola kunci yang digunakan untuk mengenkripsi data Anda, Anda dapat membuat kunci [KMS yang dikelola pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk). Amazon Inspector tidak berinteraksi dengan data Anda. Amazon Inspector hanya menyerap metadata dari repositori di penyedia kode sumber Anda. Untuk informasi tentang cara membuat kunci KMS terkelola pelanggan, lihat [Membuat kunci KMS](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) di *AWS Key Management Service Panduan Pengguna*. **Contoh kebijakan** Saat [Anda membuat kunci terkelola pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html), gunakan kebijakan contoh berikut. **catatan** Izin [FAS dalam kebijakan berikut khusus untuk Amazon Inspector, karena izin](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html) tersebut mengizinkan Amazon Inspector untuk hanya melakukan panggilan API tersebut. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Id": "key-policy", "Statement": [ { "Sid": "Allow Q to use Encrypt Decrypt GenerateDataKey and GenerateDataKeyWithoutPlaintext", "Effect": "Allow", "Principal": { "Service": "q.amazonaws.com" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "StringLike": { "kms:EncryptionContext:aws:qdeveloper:codesecurity-scope": "111122223333" }, "ArnLike": { "aws:SourceArn": "arn:aws:inspector2:us-east-1:111122223333:codesecurity-integration/*" } } }, { "Sid": "Allow Q to use DescribeKey", "Effect": "Allow", "Principal": { "Service": "q.amazonaws.com" }, "Action": "kms:DescribeKey", "Resource": "*" }, { "Sid": "Allow Inspector to use Encrypt Decrypt GenerateDataKey and GenerateDataKeyWithoutPlaintext using FAS", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/inspectorCodeSecurity" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "inspector2.us-east-1.amazonaws.com" }, "StringLike": { "kms:EncryptionContext:aws:qdeveloper:codesecurity-scope": "111122223333" } } }, { "Sid": "Allow Inspector to use DescribeKey using FAS", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/inspectorCodeSecurity" }, "Action": [ "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "inspector2.us-east-1.amazonaws.com" } } } ] } ``` ------ Setelah Anda membuat kunci KMS Anda, Anda dapat menggunakan Amazon APIs Inspector berikut. + UpdateEncryptionKey — Gunakan dengan `CODE_REPOSITORY` untuk `resourceType` dan `CODE` sebagai jenis pemindaian untuk mengonfigurasi penggunaan kunci KMS yang dikelola pelanggan Anda. + GetEncryptionKey — Gunakan dengan `CODE_REPOSITORY` untuk `resourceType` dan `CODE` sebagai jenis pemindaian untuk mengonfigurasi pengambilan konfigurasi kunci KMS Anda. + ResetEncryptionKey — Gunakan dengan `CODE_REPOSITORY` for `resourceType` dan `CODE` untuk mengatur ulang konfigurasi kunci KMS Anda dan untuk menggunakan kunci KMS yang AWS dimiliki.