Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verschlüsselung im Ruhezustand
Standardmäßig speichert Amazon Inspector Daten im Ruhezustand mithilfe von AWS Verschlüsselungslösungen. Amazon Inspector verschlüsselt Daten wie die folgenden:
-
Ressourcenbestand, gesammelt mit AWS Systems Manager.
-
Aus Amazon Elastic Container Registry-Images analysierter Ressourcenbestand
-
Generierte Sicherheitsergebnisse unter Verwendung AWS eigener Verschlüsselungsschlüssel von AWS Key Management Service
Sie können AWS eigene Schlüssel nicht verwalten, verwenden oder anzeigen. Sie müssen jedoch keine Maßnahmen ergreifen oder Programme ändern, um Schlüssel zu schützen, die Ihre Daten verschlüsseln. Weitere Informationen finden Sie unter Eigene AWS Schlüssel.
Wenn Sie Amazon Inspector deaktivieren, werden alle Ressourcen, die es für Sie speichert oder verwaltet, dauerhaft gelöscht, z. B. gesammeltes Inventar und Sicherheitserkenntnisse.
Verschlüsselung im Ruhezustand für den Code in Ihren Ergebnissen
Beim Scannen von Amazon Inspector Lambda-Code arbeitet Amazon Inspector mit Amazon Q zusammen, um Ihren Code auf Sicherheitslücken zu scannen. Wenn eine Sicherheitslücke erkannt wird, extrahiert Amazon Q einen Codeausschnitt, der die Sicherheitslücke enthält, und speichert diesen Code, bis Amazon Inspector Zugriff anfordert. Standardmäßig verwendet Amazon Q einen AWS eigenen Schlüssel, um den extrahierten Code zu verschlüsseln. Sie können Amazon Inspector jedoch so konfigurieren, dass Ihr eigener, vom Kunden verwalteter AWS KMS Schlüssel für die Verschlüsselung verwendet wird.
Der folgende Arbeitsablauf erklärt, wie Amazon Inspector den von Ihnen konfigurierten Schlüssel verwendet, um Ihren Code zu verschlüsseln:
-
Sie stellen Amazon Inspector mithilfe der Amazon Inspector UpdateEncryptionKeyInspector-API einen AWS KMS Schlüssel zur Verfügung.
-
Amazon Inspector leitet die Informationen über Ihren AWS KMS Schlüssel an Amazon Q weiter, und Amazon Q speichert die Informationen für die future Verwendung.
-
Amazon Q verwendet den KMS-Schlüssel, den Sie in Amazon Inspector über die Schlüsselrichtlinie konfiguriert haben.
-
Amazon Q erstellt aus Ihrem Schlüssel einen verschlüsselten AWS KMS Datenschlüssel und speichert ihn. Dieser Datenschlüssel wird verwendet, um Ihre von Amazon Q gespeicherten Codedaten zu verschlüsseln.
-
Wenn Amazon Inspector Daten aus Codescans anfordert, verwendet Amazon Q den KMS-Schlüssel, um den Datenschlüssel zu entschlüsseln. Wenn Sie das Lambda-Code-Scannen deaktivieren, löscht Amazon Q den zugehörigen Datenschlüssel.
Berechtigungen für die Codeverschlüsselung mit einem vom Kunden verwalteten Schlüssel
Für die Verschlüsselung müssen Sie einen KMS-Schlüssel mit einer Richtlinie erstellen, die eine Anweisung enthält, mit der Amazon Inspector und Amazon Q die folgenden Aktionen ausführen können.
-
kms:Decrypt -
kms:DescribeKey -
kms:Encrypt -
kms:GenerateDataKey -
kms:GenerateDataKeyWithoutPlainText
Richtlinienanweisung
Sie können die folgende Richtlinienerklärung verwenden, wenn Sie den KMS-Schlüssel erstellen.
Anmerkung
Ersetzen Sie es account-idRegionrole-ARN
{ "Effect": "Allow", "Principal": { "Service": "q.amazonaws.com" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKeyWithoutPlaintext", "kms:GenerateDataKey" ], "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:aws:qdeveloper:lambda-codescan-scope": "account-id" }, "StringEquals": { "aws:SourceAccount": "account-id" }, "ArnLike": { "aws:SourceArn": "arn:aws:qdeveloper:Region:account-id:scans/*" } } }, { "Effect": "Allow", "Principal": { "Service": "q.amazonaws.com" }, "Action": "kms:DescribeKey", "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "account-id" }, "ArnLike": { "aws:SourceArn": "arn:aws:qdeveloper:Region:account-id:scans/*" } } }, { "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKeyWithoutPlaintext", "kms:GenerateDataKey" ], "Principal": { "AWS": "role-ARN" }, "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "inspector2.Region.amazonaws.com" }, "StringLike": { "kms:EncryptionContext:aws:qdeveloper:lambda-codescan-scope": "account-id" } } }, { "Effect": "Allow", "Action": [ "kms:DescribeKey" ], "Principal": { "AWS": "role-ARN" }, "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "inspector2.Region.amazonaws.com" } } }
Die Richtlinienerklärung ist in JSON formatiert. Nachdem Sie die Erklärung hinzugefügt haben, überprüfen Sie die Richtlinie, um sicherzustellen, dass die Syntax gültig ist. Wenn es sich bei der Aussage um die letzte Aussage in der Richtlinie handelt, setzen Sie hinter die schließende Klammer für die vorherige Anweisung ein Komma. Wenn es sich bei der Aussage um die erste Aussage oder um eine Aussage zwischen zwei bestehenden Aussagen in der Richtlinie handelt, setzen Sie hinter der schließenden Klammer für die Anweisung ein Komma.
Anmerkung
Amazon Inspector unterstützt keine Zuschüsse mehr zur Verschlüsselung von Codefragmenten, die aus Paketen extrahiert wurden. Wenn Sie eine auf Zuschüssen basierende Richtlinie verwenden, können Sie weiterhin auf Ihre Ergebnisse zugreifen. Wenn Sie jedoch Ihren KMS-Schlüssel aktualisieren oder zurücksetzen oder das Lambda-Code-Scannen deaktivieren, müssen Sie die in diesem Abschnitt beschriebene KMS-Schlüsselrichtlinie verwenden.
Wenn Sie den Verschlüsselungsschlüssel für Ihr Konto einrichten, aktualisieren oder zurücksetzen, müssen Sie eine Amazon Inspector-Administratorrichtlinie verwenden, z. B. die AWS verwaltete RichtlinieAmazonInspector2FullAccess.
Konfiguration der Verschlüsselung mit einem vom Kunden verwalteten Schlüssel
Um die Verschlüsselung für Ihr Konto mit einem vom Kunden verwalteten Schlüssel zu konfigurieren, müssen Sie ein Amazon Inspector-Administrator mit den unter beschriebenen Berechtigungen seinBerechtigungen für die Codeverschlüsselung mit einem vom Kunden verwalteten Schlüssel. Darüber hinaus benötigen Sie einen AWS KMS Schlüssel in derselben AWS Region wie Ihre Ergebnisse oder einen Schlüssel für mehrere Regionen. Sie können einen vorhandenen symmetrischen Schlüssel in Ihrem Konto verwenden oder mithilfe der AWS Management-Konsole einen symmetrischen, vom Kunden verwalteten Schlüssel erstellen, oder AWS KMS APIs Weitere Informationen finden Sie im Benutzerhandbuch unter Erstellen symmetrischer AWS KMSAWS KMS Verschlüsselungsschlüssel.
Anmerkung
Ab dem 13. Juni 2025 ändert sich der Dienstprinzipal bei AWS KMS Anfragen, die CloudTrail während des encryption/decryption Codeausschnitts angemeldet wurden, von „codeguru-reviewer“ zu „q“.
Verwenden der Amazon Inspector API zur Konfiguration der Verschlüsselung
Um einen Schlüssel für die Verschlüsselung für den UpdateEncryptionKeyBetrieb der Amazon Inspector-API festzulegen, während Sie als Amazon Inspector-Administrator angemeldet sind. Verwenden Sie in der API-Anfrage das kmsKeyId Feld, um den ARN des AWS KMS Schlüssels anzugeben, den Sie verwenden möchten. Für scanType Enter CODE und für resourceType EnterAWS_LAMBDA_FUNCTION.
Sie können die UpdateEncryptionKeyAPI verwenden, um zu überprüfen, welchen AWS KMS Schlüssel Amazon Inspector für die Verschlüsselung verwendet.
Anmerkung
Wenn Sie versuchen zu verwenden, GetEncryptionKey obwohl Sie keinen vom Kunden verwalteten Schlüssel eingerichtet haben, gibt der Vorgang einen ResourceNotFoundException Fehler zurück, was bedeutet, dass ein AWS eigener Schlüssel für die Verschlüsselung verwendet wird.
Wenn Sie den Schlüssel löschen oder seine Richtlinie dahingehend ändern, dass der Zugriff auf Amazon Inspector oder Amazon Q verweigert wird, können Sie nicht mehr auf Ihre gefundenen Sicherheitslücken zugreifen und der Lambda-Code-Scan schlägt für Ihr Konto fehl.
Sie können ResetEncryptionKey damit fortfahren, einen AWS eigenen Schlüssel zum Verschlüsseln von Code zu verwenden, der im Rahmen Ihrer Amazon Inspector Inspector-Ergebnisse extrahiert wurde.
