Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Creazione di una chiave di accesso gestita dal cliente AWS KMS Per impostazione predefinita, i dati sono crittografati con una [chiave AWS proprietaria](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk). Ciò significa che la chiave viene creata, posseduta e gestita dal servizio. Se desideri possedere e gestire la chiave utilizzata per crittografare i tuoi dati, puoi creare una chiave [KMS gestita dal cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk). Amazon Inspector non interagisce con i tuoi dati. Amazon Inspector acquisisce solo i metadati dai repository del tuo provider di codice sorgente. *Per informazioni su come creare una chiave KMS gestita dal cliente, consulta [Creare una](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) chiave KMS nella Guida per l'utente.AWS Key Management Service * **Esempio di policy** Quando [crei la tua chiave gestita dai clienti](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html), utilizza la seguente politica di esempio. **Nota** Le [autorizzazioni FAS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html) nella seguente politica sono specifiche di Amazon Inspector, in quanto consentono ad Amazon Inspector di eseguire solo quelle chiamate API. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Id": "key-policy", "Statement": [ { "Sid": "Allow Q to use Encrypt Decrypt GenerateDataKey and GenerateDataKeyWithoutPlaintext", "Effect": "Allow", "Principal": { "Service": "q.amazonaws.com" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "StringLike": { "kms:EncryptionContext:aws:qdeveloper:codesecurity-scope": "111122223333" }, "ArnLike": { "aws:SourceArn": "arn:aws:inspector2:us-east-1:111122223333:codesecurity-integration/*" } } }, { "Sid": "Allow Q to use DescribeKey", "Effect": "Allow", "Principal": { "Service": "q.amazonaws.com" }, "Action": "kms:DescribeKey", "Resource": "*" }, { "Sid": "Allow Inspector to use Encrypt Decrypt GenerateDataKey and GenerateDataKeyWithoutPlaintext using FAS", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/inspectorCodeSecurity" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "inspector2.us-east-1.amazonaws.com" }, "StringLike": { "kms:EncryptionContext:aws:qdeveloper:codesecurity-scope": "111122223333" } } }, { "Sid": "Allow Inspector to use DescribeKey using FAS", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/inspectorCodeSecurity" }, "Action": [ "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "inspector2.us-east-1.amazonaws.com" } } } ] } ``` ------ Dopo aver creato la tua chiave KMS, puoi utilizzare il seguente Amazon APIs Inspector. + UpdateEncryptionKey — Da utilizzare con `CODE_REPOSITORY` for `resourceType` e `CODE` come tipo di scansione per configurare l'uso della chiave KMS gestita dal cliente. + GetEncryptionKey — Da utilizzare con `CODE_REPOSITORY` for `resourceType` e `CODE` come tipo di scansione per configurare il recupero della configurazione della chiave KMS. + ResetEncryptionKey — Da utilizzare con `CODE_REPOSITORY` per `resourceType` `CODE` ripristinare la configurazione della chiave KMS e per utilizzare una AWS chiave KMS di proprietà.