As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Criação de uma chave gerenciada pelo cliente para acessar AWS KMS Por padrão, seus dados são criptografados com uma [chave pertencente àAWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk). Isso significa que o serviço cria, possui e gerencia a chave. Se você quiser possuir e gerenciar a chave usada para criptografar seus dados, crie uma [chave do KMS gerenciada pelo cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk). O Amazon Inspector não interage com seus dados. O Amazon Inspector ingere somente metadados de repositórios em seu provedor de código-fonte. Consulte informações sobre como criar uma chave do KMS gerenciada pelo cliente em [Criar uma chave do KMS](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) no *Guia do usuário do AWS Key Management Service *. **Exemplo da política do** Ao [criar a chave gerenciada pelo cliente](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html), use o exemplo de política a seguir. **nota** As [permissões FAS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html) na política a seguir são específicas do Amazon Inspector, pois permitem que ele execute somente essas chamadas de API. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Id": "key-policy", "Statement": [ { "Sid": "Allow Q to use Encrypt Decrypt GenerateDataKey and GenerateDataKeyWithoutPlaintext", "Effect": "Allow", "Principal": { "Service": "q.amazonaws.com" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "StringLike": { "kms:EncryptionContext:aws:qdeveloper:codesecurity-scope": "111122223333" }, "ArnLike": { "aws:SourceArn": "arn:aws:inspector2:us-east-1:111122223333:codesecurity-integration/*" } } }, { "Sid": "Allow Q to use DescribeKey", "Effect": "Allow", "Principal": { "Service": "q.amazonaws.com" }, "Action": "kms:DescribeKey", "Resource": "*" }, { "Sid": "Allow Inspector to use Encrypt Decrypt GenerateDataKey and GenerateDataKeyWithoutPlaintext using FAS", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/inspectorCodeSecurity" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "inspector2.us-east-1.amazonaws.com" }, "StringLike": { "kms:EncryptionContext:aws:qdeveloper:codesecurity-scope": "111122223333" } } }, { "Sid": "Allow Inspector to use DescribeKey using FAS", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/inspectorCodeSecurity" }, "Action": [ "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "inspector2.us-east-1.amazonaws.com" } } } ] } ``` ------ Depois de criar sua chave KMS, você pode usar o seguinte Amazon APIs Inspector. + UpdateEncryptionKey — Use com `CODE_REPOSITORY` para `resourceType` e `CODE` como tipo de digitalização para configurar o uso da chave KMS gerenciada pelo cliente. + GetEncryptionKey — Use com `CODE_REPOSITORY` for `resourceType` e `CODE` como tipo de digitalização para configurar a recuperação da configuração da chave KMS. + ResetEncryptionKey — Use com `CODE_REPOSITORY` para `resourceType` e `CODE` para redefinir a configuração da chave KMS e usar uma chave AWS KMS própria.