Criptografia em repouso - Amazon Inspector
Criptografia em repouso para código em suas descobertasÉ possível usar uma chave gerenciada pelo cliente para criptografar um volume.É possível usar uma chave gerenciada pelo cliente para criptografar um volume.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criptografia em repouso

Por padrão, o Amazon Inspector armazena dados em repouso usando soluções de AWS criptografia. O Amazon Inspector criptografa dados, como os seguintes:

  • Inventário de recursos coletado com AWS Systems Manager.

  • Inventário de recursos analisado com base em imagens do Amazon Elastic Container Registry

  • Descobertas de segurança geradas usando chaves de criptografia AWS próprias da AWS Key Management Service

Você não pode gerenciar, usar ou visualizar chaves AWS de propriedade. No entanto, você não precisa realizar nenhuma ação nem alterar programas para proteger as chaves que criptografam os dados. Para ter mais informações, consulte AWS owned keys.

Se você desabilitar o Amazon Inspector, ele excluirá permanentemente todos os recursos que armazena ou mantém para você, como inventário coletado e descobertas de segurança.

Criptografia em repouso para código em suas descobertas

Para a verificação de código do Lambda do Amazon Inspector, este funciona em parceria com o Amazon Q para verificar o código em busca de vulnerabilidades. Quando uma vulnerabilidade é detectada, o Amazon Q extrai um trecho do código que contém a vulnerabilidade e o armazena esse código até que o Amazon Inspector solicite acesso. Por padrão, o Amazon Q usa uma chave AWS própria para criptografar o código extraído. No entanto, você pode configurar o Amazon Inspector para usar sua própria chave gerenciada pelo cliente AWS KMS para criptografia.

O fluxo de trabalho a seguir explica como o Amazon Inspector usa a chave que você configura para criptografar o código:

  1. Você fornece uma AWS KMS chave para o Amazon Inspector usando a API do Amazon UpdateEncryptionKeyInspector.

  2. O Amazon Inspector encaminha as informações sobre sua chave AWS KMS para o Amazon Q, e o Amazon Q armazena as informações para uso futuro.

  3. O Amazon Q usa a chave do KMS configurada no Amazon Inspector por meio da política de chave.

  4. O Amazon Q cria uma chave de dados criptografada a partir da sua AWS KMS chave e a armazena. Essa chave de dados é usada para criptografar os dados do código armazenados pelo Amazon Q.

  5. Quando o Amazon Inspector solicita dados das verificações de código, o Amazon Q usa a chave do KMS para descriptografar a chave de dados. Quando você desabilita a verificação de código do Lambda, o Amazon Q exclui a chave de dados associada.

É possível usar uma chave gerenciada pelo cliente para criptografar um volume.

Para criptografia, você deve criar uma chave do KMS com uma política que inclua uma declaração permitindo que o Amazon Inspector e o Amazon Q executem as ações a seguir.

  • kms:Decrypt

  • kms:DescribeKey

  • kms:Encrypt

  • kms:GenerateDataKey

  • kms:GenerateDataKeyWithoutPlainText

Declaração da política

Você pode usar a seguinte declaração de política ao criar a chave do KMS.

nota

account-idSubstitua pelo seu ID de 12 dígitos. Conta da AWS RegionSubstitua pelo Região da AWS local em que você ativou a digitalização de código do Amazon Inspector e do Lambda. Substitua role-ARN pelo nome do recurso da Amazon do perfil do IAM. 


{
  "Effect": "Allow",
  "Principal": {
    "Service": "q.amazonaws.com"
  },
  "Action": [
    "kms:Encrypt",
    "kms:Decrypt",
    "kms:GenerateDataKeyWithoutPlaintext",
    "kms:GenerateDataKey"
  ],
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "kms:EncryptionContext:aws:qdeveloper:lambda-codescan-scope": "account-id"
    },
    "StringEquals": {
      "aws:SourceAccount": "account-id"
    },
    "ArnLike": {
      "aws:SourceArn": "arn:aws:qdeveloper:Region:account-id:scans/*"
    }
  }
},
{
  "Effect": "Allow",
  "Principal": {
    "Service": "q.amazonaws.com"
  },
  "Action": "kms:DescribeKey",
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "aws:SourceAccount": "account-id"
    },
    "ArnLike": {
      "aws:SourceArn": "arn:aws:qdeveloper:Region:account-id:scans/*"
    }
  }
},
{
  "Effect": "Allow",
  "Action": [
    "kms:Encrypt",
    "kms:Decrypt",
    "kms:GenerateDataKeyWithoutPlaintext",
    "kms:GenerateDataKey"
  ],
  "Principal": {
    "AWS": "role-ARN"
  },
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:ViaService": "inspector2.Region.amazonaws.com"
    },
    "StringLike": {
      "kms:EncryptionContext:aws:qdeveloper:lambda-codescan-scope": "account-id"
    }
  }
},
{
  "Effect": "Allow",
  "Action": [
    "kms:DescribeKey"
  ],
  "Principal": {
    "AWS": "role-ARN"
  },
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:ViaService": "inspector2.Region.amazonaws.com"
    }
  }
}

A declaração da política é formatada em JSON. Depois de incluir a declaração, revise a política para garantir a validade da sintaxe. Se a declaração for a última da política, coloque uma vírgula depois de fechar o colchete da declaração anterior. Se a declaração for a primeira ou estiver entre duas outras já existentes na política, coloque uma vírgula depois de fechar o colchete da declaração.

nota

O Amazon Inspector não permite mais concessões para criptografar trechos de código extraídos de pacotes. Se você estiver usando uma política baseada em concessões, ainda poderá acessar suas descobertas. No entanto, se atualizar ou redefinir a chave do KMS ou desabilitar a verificação de código do Lambda, você precisará usar a política de chave do KMS descrita nesta seção.

Se você definir, atualizar ou redefinir a chave de criptografia da sua conta, deverá usar uma política de administrador do Amazon Inspector, como a política AWS gerenciada. AmazonInspector2FullAccess

É possível usar uma chave gerenciada pelo cliente para criptografar um volume.

Para configurar a criptografia para sua conta usando uma chave gerenciada pelo cliente, você deve ser um administrador do Amazon Inspector com as permissões descritas em É possível usar uma chave gerenciada pelo cliente para criptografar um volume.. Além disso, você precisará de uma AWS KMS chave na mesma AWS região de suas descobertas ou de uma chave multirregional. Você pode usar uma chave simétrica existente em sua conta ou criar uma chave simétrica gerenciada pelo cliente usando o AWS Management Console ou o. AWS KMS APIs Para obter mais informações, consulte Criação de AWS KMS chaves de criptografia simétricas no guia do AWS KMS usuário.

nota

A partir de 13 de junho de 2025, o principal de serviço nas AWS KMS solicitações registradas CloudTrail durante o trecho de código encryption/decryption está mudando de “codeguru-reviewer” para “q”.

Usando a API do Amazon Inspector para configurar a criptografia

Para definir uma chave para criptografia, a UpdateEncryptionKeyoperação da API do Amazon Inspector enquanto estiver conectado como administrador do Amazon Inspector. Na solicitação da API, use o kmsKeyId campo para especificar o ARN da AWS KMS chave que você deseja usar. Para scanType digitar o CODE e para resourceType digitar o AWS_LAMBDA_FUNCTION.

Você pode usar a UpdateEncryptionKeyAPI para verificar qual AWS KMS chave o Amazon Inspector está usando para criptografia.

nota

Se você tentar GetEncryptionKey usar sem definir uma chave gerenciada pelo cliente, a operação retornará um ResourceNotFoundException erro, o que significa que uma AWS chave própria está sendo usada para criptografia.

Se excluir a chave ou alterar a política para negar acesso ao Amazon Inspector ou ao Amazon Q, você não conseguirá acessar as descobertas de vulnerabilidade de código e a verificação de código do Lambda falhará para a conta.

Você pode usar ResetEncryptionKey para continuar usando uma chave AWS própria para criptografar o código extraído como parte das descobertas do Amazon Inspector.