Criação de uma chave gerenciada pelo cliente para acessar AWS KMS - Amazon Inspector

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criação de uma chave gerenciada pelo cliente para acessar AWS KMS

Por padrão, seus dados são criptografados com uma chave pertencente àAWS. Isso significa que o serviço cria, possui e gerencia a chave. Se você quiser possuir e gerenciar a chave usada para criptografar seus dados, crie uma chave do KMS gerenciada pelo cliente. O Amazon Inspector não interage com seus dados. O Amazon Inspector só ingere metadados de repositórios em seu provedor de código-fonte. Consulte informações sobre como criar uma chave do KMS gerenciada pelo cliente em Criar uma chave do KMS no Guia do usuário do AWS Key Management Service .

Exemplo da política do

Ao criar a chave gerenciada pelo cliente, use o exemplo de política a seguir.

nota

As permissões FAS na política a seguir são específicas do Amazon Inspector, pois permitem que ele execute somente essas chamadas de API.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Id": "key-policy",
  "Statement": [
    {
      "Sid": "Allow Q to use Encrypt Decrypt GenerateDataKey and GenerateDataKeyWithoutPlaintext",
      "Effect": "Allow",
      "Principal": {
        "Service": "q.amazonaws.com"
      },
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:GenerateDataKey",
        "kms:GenerateDataKeyWithoutPlaintext"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
        "aws:SourceAccount": "111122223333"
        },
        "StringLike": {
        "kms:EncryptionContext:aws:qdeveloper:codesecurity-scope": "111122223333"
        },
        "ArnLike": {
        "aws:SourceArn": "arn:aws:inspector2:us-east-1:111122223333:codesecurity-integration/*"
        }
      }
    },
    {
      "Sid": "Allow Q to use DescribeKey",
      "Effect": "Allow",
      "Principal": {
        "Service": "q.amazonaws.com"
      },
      "Action": "kms:DescribeKey",
      "Resource": "*"
    },
    {
      "Sid": "Allow Inspector to use Encrypt Decrypt GenerateDataKey and GenerateDataKeyWithoutPlaintext using FAS",
      "Effect": "Allow",
      "Principal": {
      "AWS": "arn:aws:iam::111122223333:role/inspectorCodeSecurity"
      },
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:GenerateDataKey",
        "kms:GenerateDataKeyWithoutPlaintext"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "kms:ViaService": "inspector2.us-east-1.amazonaws.com"
        },
        "StringLike": {
        "kms:EncryptionContext:aws:qdeveloper:codesecurity-scope": "111122223333"
        }
      }
    },
    {
      "Sid": "Allow Inspector to use DescribeKey using FAS",
      "Effect": "Allow",
      "Principal": {
      "AWS": "arn:aws:iam::111122223333:role/inspectorCodeSecurity"
      },
      "Action": [
        "kms:DescribeKey"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "kms:ViaService": "inspector2.us-east-1.amazonaws.com"
        }
      }
    }
  ]
}

Depois de criar sua chave KMS, você pode usar o seguinte Amazon APIs Inspector.

  • UpdateEncryptionKey — Use com CODE_REPOSITORY para resourceType e CODE como tipo de digitalização para configurar o uso da chave KMS gerenciada pelo cliente.

  • GetEncryptionKey — Use com CODE_REPOSITORY for resourceType e CODE como tipo de digitalização para configurar a recuperação da configuração da chave KMS.

  • ResetEncryptionKey — Use com CODE_REPOSITORY para resourceType e CODE para redefinir a configuração da chave KMS e usar uma chave AWS KMS própria.