创建客户管理的密钥进行访问 AWS KMS - Amazon Inspector

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建客户管理的密钥进行访问 AWS KMS

默认情况下,您的数据使用 AWS 拥有的密钥进行加密。这意味着密钥由相应服务创建、拥有和管理。如果要拥有和管理用于加密数据的密钥,可以创建客户托管的 KMS 密钥。Amazon Inspector 不会与您的数据进行交互。Amazon Inspector 仅从您的源代码提供商的存储库中摄取元数据。有关如何创建客户托管 KMS 密钥的信息,请参阅《AWS Key Management Service 用户指南》中的创建 KMS 密钥

策略示例

创建客户托管密钥时,使用以下策略示例。

注意

以下策略中的 FAS 权限特定于 Amazon Inspector,因为它们仅允许 Amazon Inspector 执行那些 API 调用。

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Id": "key-policy",
  "Statement": [
    {
      "Sid": "Allow Q to use Encrypt Decrypt GenerateDataKey and GenerateDataKeyWithoutPlaintext",
      "Effect": "Allow",
      "Principal": {
        "Service": "q.amazonaws.com"
      },
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:GenerateDataKey",
        "kms:GenerateDataKeyWithoutPlaintext"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
        "aws:SourceAccount": "111122223333"
        },
        "StringLike": {
        "kms:EncryptionContext:aws:qdeveloper:codesecurity-scope": "111122223333"
        },
        "ArnLike": {
        "aws:SourceArn": "arn:aws:inspector2:us-east-1:111122223333:codesecurity-integration/*"
        }
      }
    },
    {
      "Sid": "Allow Q to use DescribeKey",
      "Effect": "Allow",
      "Principal": {
        "Service": "q.amazonaws.com"
      },
      "Action": "kms:DescribeKey",
      "Resource": "*"
    },
    {
      "Sid": "Allow Inspector to use Encrypt Decrypt GenerateDataKey and GenerateDataKeyWithoutPlaintext using FAS",
      "Effect": "Allow",
      "Principal": {
      "AWS": "arn:aws:iam::111122223333:role/inspectorCodeSecurity"
      },
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:GenerateDataKey",
        "kms:GenerateDataKeyWithoutPlaintext"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "kms:ViaService": "inspector2.us-east-1.amazonaws.com"
        },
        "StringLike": {
        "kms:EncryptionContext:aws:qdeveloper:codesecurity-scope": "111122223333"
        }
      }
    },
    {
      "Sid": "Allow Inspector to use DescribeKey using FAS",
      "Effect": "Allow",
      "Principal": {
      "AWS": "arn:aws:iam::111122223333:role/inspectorCodeSecurity"
      },
      "Action": [
        "kms:DescribeKey"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "kms:ViaService": "inspector2.us-east-1.amazonaws.com"
        }
      }
    }
  ]
}

创建 KMS 密钥后,您可以使用以下 Amazon Inspector APIs。

  • UpdateEncryptionKey — 与 f CODE_REPOSITORY or resourceType 和一起使用CODE作为扫描类型,配置客户托管 KMS 密钥的使用。

  • GetEncryptionKey — 与 f CODE_REPOSITORY or resourceType 和一起使用CODE作为扫描类型,配置对您的 KMS 密钥配置的检索。

  • ResetEncryptionKey — 与 for resourceTypeCODE_REPOSITORY for 一起使用CODE可重置您的 KMS 密钥配置并使用 AWS 拥有的 KMS 密钥。