액세스할 고객 관리형 키 생성 AWS KMS - Amazon Inspector –

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

액세스할 고객 관리형 키 생성 AWS KMS

기본적으로 데이터는 AWS 소유 키로 암호화됩니다. 즉, 서비스에서 키를 생성, 소유 및 관리합니다. 데이터를 암호화하는 데 사용되는 키를 소유하고 관리하려면 고객 관리형 KMS 키를 생성할 수 있습니다. Amazon Inspector는 데이터와 상호 작용하지 않습니다. Amazon Inspector는 소스 코드 공급자의 리포지토리에서만 메타데이터를 수집합니다. 고객 관리형 KMS 키 생성 방법에 대한 자세한 내용은 AWS Key Management Service 사용 설명서KMS 키 생성을 참조하세요.

샘플 정책

고객 관리형 키를 생성할 때 다음 샘플 정책을 사용합니다.

참고

다음 정책의 FAS 권한은 Amazon Inspector가 해당 API 직접 호출만 수행하도록 허용하므로 Amazon Inspector에만 적용됩니다.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Id": "key-policy",
  "Statement": [
    {
      "Sid": "Allow Q to use Encrypt Decrypt GenerateDataKey and GenerateDataKeyWithoutPlaintext",
      "Effect": "Allow",
      "Principal": {
        "Service": "q.amazonaws.com"
      },
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:GenerateDataKey",
        "kms:GenerateDataKeyWithoutPlaintext"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
        "aws:SourceAccount": "111122223333"
        },
        "StringLike": {
        "kms:EncryptionContext:aws:qdeveloper:codesecurity-scope": "111122223333"
        },
        "ArnLike": {
        "aws:SourceArn": "arn:aws:inspector2:us-east-1:111122223333:codesecurity-integration/*"
        }
      }
    },
    {
      "Sid": "Allow Q to use DescribeKey",
      "Effect": "Allow",
      "Principal": {
        "Service": "q.amazonaws.com"
      },
      "Action": "kms:DescribeKey",
      "Resource": "*"
    },
    {
      "Sid": "Allow Inspector to use Encrypt Decrypt GenerateDataKey and GenerateDataKeyWithoutPlaintext using FAS",
      "Effect": "Allow",
      "Principal": {
      "AWS": "arn:aws:iam::111122223333:role/inspectorCodeSecurity"
      },
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:GenerateDataKey",
        "kms:GenerateDataKeyWithoutPlaintext"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "kms:ViaService": "inspector2.us-east-1.amazonaws.com"
        },
        "StringLike": {
        "kms:EncryptionContext:aws:qdeveloper:codesecurity-scope": "111122223333"
        }
      }
    },
    {
      "Sid": "Allow Inspector to use DescribeKey using FAS",
      "Effect": "Allow",
      "Principal": {
      "AWS": "arn:aws:iam::111122223333:role/inspectorCodeSecurity"
      },
      "Action": [
        "kms:DescribeKey"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "kms:ViaService": "inspector2.us-east-1.amazonaws.com"
        }
      }
    }
  ]
}

KMS 키를 생성한 후 다음 Amazon Inspector API를 사용할 수 있습니다.

  • UpdateEncryptionKey - 고객 관리형 KMS 키 사용을 구성하기 위한 스캔 유형으로 resourceTypeCODECODE_REPOSITORY를 사용합니다.

  • GetEncryptionKey - KMS 키 구성의 검색을 구성하기 위한 스캔 유형으로 resourceTypeCODECODE_REPOSITORY를 사용합니다.

  • ResetEncryptionKey - resourceTypeCODE CODE_REPOSITORY에 대해를 사용하여 KMS 키 구성을 재설정하고 AWS 소유 KMS 키를 사용합니다.