翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # にアクセスするためのカスタマーマネージドキーの作成 AWS KMS デフォルトでは、データは、[AWS 所有のキー](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk)で暗号化されます。つまり、キーは サービスによって作成、所有、管理されます。データの暗号化に使用されるキーを所有および管理する必要がある場合は、[カスタマーマネージド KMS キー](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk)を作成できます。Amazon Inspector はデータとやり取りしません。Amazon Inspector は、ソースコードプロバイダーのリポジトリからメタデータを取り込むだけです。カスタマーマネージド KMS キーの作成方法の詳細については、「*AWS Key Management Service ユーザーガイド*」の「[KMS キーを作成する](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html)」を参照してください。 **ポリシーの例** [カスタマーマネージドキーを作成する](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html)ときは、次のサンプルポリシーを使用します。 **注記** 次のポリシーの [FAS アクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html)は Amazon Inspector がこれらの API コールのみを実行できるようにするものであり、Amazon Inspector に固有のものです。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Id": "key-policy", "Statement": [ { "Sid": "Allow Q to use Encrypt Decrypt GenerateDataKey and GenerateDataKeyWithoutPlaintext", "Effect": "Allow", "Principal": { "Service": "q.amazonaws.com" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "StringLike": { "kms:EncryptionContext:aws:qdeveloper:codesecurity-scope": "111122223333" }, "ArnLike": { "aws:SourceArn": "arn:aws:inspector2:us-east-1:111122223333:codesecurity-integration/*" } } }, { "Sid": "Allow Q to use DescribeKey", "Effect": "Allow", "Principal": { "Service": "q.amazonaws.com" }, "Action": "kms:DescribeKey", "Resource": "*" }, { "Sid": "Allow Inspector to use Encrypt Decrypt GenerateDataKey and GenerateDataKeyWithoutPlaintext using FAS", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/inspectorCodeSecurity" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "inspector2.us-east-1.amazonaws.com" }, "StringLike": { "kms:EncryptionContext:aws:qdeveloper:codesecurity-scope": "111122223333" } } }, { "Sid": "Allow Inspector to use DescribeKey using FAS", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/inspectorCodeSecurity" }, "Action": [ "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "inspector2.us-east-1.amazonaws.com" } } } ] } ``` ------ KMS キーを作成したら、次の Amazon Inspector API を使用できます。 + UpdateEncryptionKey – `resourceType` に `CODE_REPOSITORY` を、スキャンタイプに `CODE` を使用して、カスタマーマネージド KMS キーの使用を設定します。 + GetEncryptionKey – `resourceType` に `CODE_REPOSITORY` を、 スキャンタイプに `CODE` を使用して、KMS キー設定の取得を設定します。 + ResetEncryptionKey – `CODE_REPOSITORY` for `resourceType`および で `CODE`を使用して KMS キー設定をリセットし、 AWS 所有の KMS キーを使用します。