Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Crear una clave de acceso gestionada por el cliente AWS KMS
De forma predeterminada, sus datos se cifran con una AWS clave propia. Esto significa que la clave es creada, propiedad y administrada por el servicio. Si desea poseer y administrar la clave utilizada para cifrar sus datos, puede crear una clave KMS administrada por el cliente. Amazon Inspector no interactúa con tus datos. Amazon Inspector solo ingiere metadatos de los repositorios de su proveedor de código fuente. Para obtener información sobre cómo crear una clave de KMS administrada por el cliente, consulte Crear una clave de KMS en la Guía del AWS Key Management Service usuario.
Ejemplo de política de
Al crear la clave gestionada por el cliente, utilice el siguiente ejemplo de política.
- JSON
-
-
{
"Version": "2012-10-17",
"Id": "key-policy",
"Statement": [
{
"Sid": "Allow Q to use Encrypt Decrypt GenerateDataKey and GenerateDataKeyWithoutPlaintext",
"Effect": "Allow",
"Principal": {
"Service": "q.amazonaws.com"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"StringLike": {
"kms:EncryptionContext:aws:qdeveloper:codesecurity-scope": "111122223333"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:inspector2:us-east-1:111122223333:codesecurity-integration/*"
}
}
},
{
"Sid": "Allow Q to use DescribeKey",
"Effect": "Allow",
"Principal": {
"Service": "q.amazonaws.com"
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "Allow Inspector to use Encrypt Decrypt GenerateDataKey and GenerateDataKeyWithoutPlaintext using FAS",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{111122223333}:role/inspectorCodeSecurity"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "inspector2.us-east-1.amazonaws.com"
},
"StringLike": {
"kms:EncryptionContext:aws:qdeveloper:codesecurity-scope": "111122223333"
}
}
},
{
"Sid": "Allow Inspector to use DescribeKey using FAS",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{111122223333}:role/inspectorCodeSecurity"
},
"Action": [
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "inspector2.us-east-1.amazonaws.com"
}
}
}
]
}
Tras crear la clave de KMS, puede utilizar el siguiente Amazon Inspector APIs.
-
UpdateEncryptionKey — CODE_REPOSITORY Utilícela con resourceType y CODE como tipo de escaneo para configurar el uso de su clave KMS administrada por el cliente.
-
GetEncryptionKey — Úselo con CODE_REPOSITORY para resourceType y CODE como tipo de escaneo para configurar la recuperación de la configuración de la clave KMS.
-
ResetEncryptionKey — Utilícelo con CODE_REPOSITORY for resourceType y CODE para restablecer la configuración de la clave de KMS y para utilizar una clave AWS de KMS propia.
