にアクセスするためのカスタマーマネージドキーの作成 AWS KMS

デフォルトでは、データは、AWS 所有のキーで暗号化されます。つまり、キーはサービスによって作成、所有、管理されます。データの暗号化に使用されるキーを所有および管理する必要がある場合は、カスタマーマネージド KMS キーを作成できます。Amazon Inspector はデータとやり取りしません。Amazon Inspector は、ソースコードプロバイダーのリポジトリからメタデータを取り込むだけです。カスタマーマネージド KMS キーの作成方法の詳細については、「AWS Key Management Service ユーザーガイド」の「KMS キーを作成する」を参照してください。

ポリシーの例

カスタマーマネージドキーを作成するときは、次のサンプルポリシーを使用します。

注記

次のポリシーの FAS アクセス許可は Amazon Inspector がこれらの API コールのみを実行できるようにするものであり、Amazon Inspector に固有のものです。

JSON


{
  "Version":"2012-10-17",		 	 	 
  "Id": "key-policy",
  "Statement": [
    {
      "Sid": "Allow Q to use Encrypt Decrypt GenerateDataKey and GenerateDataKeyWithoutPlaintext",
      "Effect": "Allow",
      "Principal": {
        "Service": "q.amazonaws.com"
      },
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:GenerateDataKey",
        "kms:GenerateDataKeyWithoutPlaintext"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
        "aws:SourceAccount": "111122223333"
        },
        "StringLike": {
        "kms:EncryptionContext:aws:qdeveloper:codesecurity-scope": "111122223333"
        },
        "ArnLike": {
        "aws:SourceArn": "arn:aws:inspector2:us-east-1:111122223333:codesecurity-integration/*"
        }
      }
    },
    {
      "Sid": "Allow Q to use DescribeKey",
      "Effect": "Allow",
      "Principal": {
        "Service": "q.amazonaws.com"
      },
      "Action": "kms:DescribeKey",
      "Resource": "*"
    },
    {
      "Sid": "Allow Inspector to use Encrypt Decrypt GenerateDataKey and GenerateDataKeyWithoutPlaintext using FAS",
      "Effect": "Allow",
      "Principal": {
      "AWS": "arn:aws:iam::111122223333:role/inspectorCodeSecurity"
      },
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:GenerateDataKey",
        "kms:GenerateDataKeyWithoutPlaintext"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "kms:ViaService": "inspector2.us-east-1.amazonaws.com"
        },
        "StringLike": {
        "kms:EncryptionContext:aws:qdeveloper:codesecurity-scope": "111122223333"
        }
      }
    },
    {
      "Sid": "Allow Inspector to use DescribeKey using FAS",
      "Effect": "Allow",
      "Principal": {
      "AWS": "arn:aws:iam::111122223333:role/inspectorCodeSecurity"
      },
      "Action": [
        "kms:DescribeKey"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "kms:ViaService": "inspector2.us-east-1.amazonaws.com"
        }
      }
    }
  ]
}

KMS キーを作成したら、次の Amazon Inspector API を使用できます。

UpdateEncryptionKey – resourceType に CODE_REPOSITORY を、スキャンタイプに CODE を使用して、カスタマーマネージド KMS キーの使用を設定します。
GetEncryptionKey – resourceType に CODE_REPOSITORY を、スキャンタイプに CODE を使用して、KMS キー設定の取得を設定します。
ResetEncryptionKey – CODE_REPOSITORY for resourceTypeおよびで CODEを使用して KMS キー設定をリセットし、 AWS 所有の KMS キーを使用します。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

コードセキュリティのアクティブ化

統合の作成