Einen vom Kunden verwalteten Schlüssel für den Zugriff erstellen AWS KMS

Standardmäßig werden Ihre Daten mit einem AWS eigenen Schlüssel verschlüsselt. Das bedeutet, dass der Schlüssel vom Dienst erstellt wird, ihm gehört und von ihm verwaltet wird. Wenn Sie den zur Verschlüsselung Ihrer Daten verwendeten Schlüssel besitzen und verwalten möchten, können Sie einen vom Kunden verwalteten KMS-Schlüssel erstellen. Amazon Inspector interagiert nicht mit Ihren Daten. Amazon Inspector nimmt nur Metadaten aus Repositorys in Ihrem Quellcode-Anbieter auf. Informationen zum Erstellen eines vom Kunden verwalteten KMS-Schlüssels finden Sie unter Erstellen eines KMS-Schlüssels im AWS Key Management Service Benutzerhandbuch.

Beispiel für eine Richtlinie

Verwenden Sie beim Erstellen Ihres vom Kunden verwalteten Schlüssels die folgende Beispielrichtlinie.

JSON

{
    "Version": "2012-10-17",
    "Id": "key-policy",
    "Statement": [
        {
            "Sid": "Allow Q to use Encrypt Decrypt GenerateDataKey and GenerateDataKeyWithoutPlaintext",
            "Effect": "Allow",
            "Principal": {
                "Service": "q.amazonaws.com"
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:GenerateDataKeyWithoutPlaintext"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "111122223333"
                },
                "StringLike": {
                    "kms:EncryptionContext:aws:qdeveloper:codesecurity-scope": "111122223333"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:inspector2:us-east-1:111122223333:codesecurity-integration/*"
                }
            }
        },
        {
            "Sid": "Allow Q to use DescribeKey",
            "Effect": "Allow",
            "Principal": {
                "Service": "q.amazonaws.com"
            },
            "Action": "kms:DescribeKey",
            "Resource": "*"
        },
        {
            "Sid": "Allow Inspector to use Encrypt Decrypt GenerateDataKey and GenerateDataKeyWithoutPlaintext using FAS",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::{111122223333}:role/inspectorCodeSecurity"
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:GenerateDataKeyWithoutPlaintext"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "inspector2.us-east-1.amazonaws.com"
                },
                "StringLike": {
                    "kms:EncryptionContext:aws:qdeveloper:codesecurity-scope": "111122223333"
                }
            }
        },
        {
            "Sid": "Allow Inspector to use DescribeKey using FAS",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::{111122223333}:role/inspectorCodeSecurity"
            },
            "Action": [
                "kms:DescribeKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "inspector2.us-east-1.amazonaws.com"
                }
            }
        }
    ]
}

Nachdem Sie Ihren KMS-Schlüssel erstellt haben, können Sie den folgenden Amazon Inspector verwenden APIs.

• UpdateEncryptionKey — Verwenden Sie mit CODE_REPOSITORY for resourceType und CODE als Scan-Typ, um die Verwendung Ihres vom Kunden verwalteten KMS-Schlüssels zu konfigurieren.

• GetEncryptionKey — Verwenden Sie mit CODE_REPOSITORY for resourceType und CODE als Suchtyp, um den Abruf Ihrer KMS-Schlüsselkonfiguration zu konfigurieren.

• ResetEncryptionKey — Verwenden Sie mit CODE_REPOSITORY for resourceType undCODE, um Ihre KMS-Schlüsselkonfiguration zurückzusetzen und einen AWS eigenen KMS-Schlüssel zu verwenden.