Cifrado en reposo - Amazon Inspector
Cifrado de código en reposo en los resultados Permisos para el cifrado de código con una clave administrada por el clienteConfiguración del cifrado con una clave administrada por el cliente

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cifrado en reposo

De forma predeterminada, Amazon Inspector almacena los datos en reposo mediante soluciones de AWS cifrado. Amazon Inspector cifra datos, como los siguientes:

  • Inventario de recursos recopilado con AWS Systems Manager.

  • Inventario de recursos analizado a partir de imágenes de Amazon Elastic Container Registry

  • Generó hallazgos de seguridad utilizando claves de cifrado AWS propias de AWS Key Management Service

No puede administrar, usar ni ver las claves AWS propias. Sin embargo, no necesita realizar acciones ni cambiar programas para proteger las claves que cifran los datos. Para obtener más información, consulte claves propiedad de AWS.

Al desactivar Amazon Inspector, se eliminan permanentemente todos los recursos almacenados o mantenidos, incluidos los inventarios recopilados y los resultados de seguridad.

Cifrado de código en reposo en los resultados

Para el escaneo de código Lambda de Amazon Inspector, Amazon Inspector se asocia con Amazon Q para escanear el código en busca de vulnerabilidades. Cuando se detecta una vulnerabilidad, Amazon Q extrae un fragmento del código que contiene la vulnerabilidad y lo almacena hasta que Amazon Inspector solicite acceso. De forma predeterminada, Amazon Q utiliza una AWS clave propia para cifrar el código extraído. Sin embargo, puede configurar Amazon Inspector para que utilice su propia AWS KMS clave gestionada por el cliente para el cifrado.

El siguiente flujo de trabajo explica cómo Amazon Inspector utiliza la clave que usted configura para cifrar el código:

  1. Usted proporciona una AWS KMS clave a Amazon Inspector mediante la UpdateEncryptionKeyAPI de Amazon Inspector.

  2. Amazon Inspector reenvía la información sobre tu AWS KMS clave a Amazon Q y Amazon Q la guarda para usarla en el futuro.

  3. Amazon Q usa la clave de KMS que configuraste en Amazon Inspector a través de la política de claves.

  4. Amazon Q crea una clave de datos cifrada a partir de tu AWS KMS clave y la almacena. Esta clave de datos se utiliza para cifrar los datos de código almacenados por Amazon Q.

  5. Cuando Amazon Inspector solicita datos de escaneos de código, Amazon Q utiliza la clave de KMS para descifrar la clave de datos. Al deshabilitar el escaneo de código Lambda, Amazon Q elimina la clave de datos asociada.

Permisos para el cifrado de código con una clave administrada por el cliente

Para el cifrado, debe crear una clave KMS con una política que incluya una declaración que permita a Amazon Inspector y Amazon Q realizar las siguientes acciones.

  • kms:Decrypt

  • kms:DescribeKey

  • kms:Encrypt

  • kms:GenerateDataKey

  • kms:GenerateDataKeyWithoutPlainText

Declaración de la política

Puede utilizar la siguiente declaración de política al crear la clave KMS.

nota

account-idSustitúyala por tu Cuenta de AWS ID de 12 dígitos. RegionSustitúyala por la Región de AWS que habilitaste el escaneo de códigos de Amazon Inspector y Lambda. role-ARNSustitúyalo por el nombre del recurso de Amazon para tu función de IAM. 


{
  "Effect": "Allow",
  "Principal": {
    "Service": "q.amazonaws.com"
  },
  "Action": [
    "kms:Encrypt",
    "kms:Decrypt",
    "kms:GenerateDataKeyWithoutPlaintext",
    "kms:GenerateDataKey"
  ],
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "kms:EncryptionContext:aws:qdeveloper:lambda-codescan-scope": "account-id"
    },
    "StringEquals": {
      "aws:SourceAccount": "account-id"
    },
    "ArnLike": {
      "aws:SourceArn": "arn:aws:qdeveloper:Region:account-id:scans/*"
    }
  }
},
{
  "Effect": "Allow",
  "Principal": {
    "Service": "q.amazonaws.com"
  },
  "Action": "kms:DescribeKey",
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "aws:SourceAccount": "account-id"
    },
    "ArnLike": {
      "aws:SourceArn": "arn:aws:qdeveloper:Region:account-id:scans/*"
    }
  }
},
{
  "Effect": "Allow",
  "Action": [
    "kms:Encrypt",
    "kms:Decrypt",
    "kms:GenerateDataKeyWithoutPlaintext",
    "kms:GenerateDataKey"
  ],
  "Principal": {
    "AWS": "role-ARN"
  },
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:ViaService": "inspector2.Region.amazonaws.com"
    },
    "StringLike": {
      "kms:EncryptionContext:aws:qdeveloper:lambda-codescan-scope": "account-id"
    }
  }
},
{
  "Effect": "Allow",
  "Action": [
    "kms:DescribeKey"
  ],
  "Principal": {
    "AWS": "role-ARN"
  },
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:ViaService": "inspector2.Region.amazonaws.com"
    }
  }
}

La declaración de política está formateada en JSON. Tras incluir la declaración, revise la política para asegurarse de que la sintaxis es válida. Si la declaración es la última de la política, coloque una coma después del corchete de cierre de la declaración anterior. Si la declaración es la primera o entre dos declaraciones existentes en la política, coloque una coma después del corchete de cierre de la declaración.

nota

Amazon Inspector ya no admite subvenciones para cifrar fragmentos de código extraídos de paquetes. Si utiliza una política basada en subvenciones, podrá seguir accediendo a sus conclusiones. Sin embargo, si alguna vez actualiza o restablece la clave de KMS o deshabilita el escaneo de código Lambda, tendrá que usar la política de claves de KMS que se describe en esta sección.

Si configuras, actualizas o restableces la clave de cifrado de tu cuenta, debes usar una política de administrador de Amazon Inspector, como la política AWS gestionadaAmazonInspector2FullAccess.

Configuración del cifrado con una clave administrada por el cliente

Para configurar el cifrado en su cuenta con una clave administrada por el cliente, debe ser administrador de Amazon Inspector y contar con los permisos que se indican en Permisos para el cifrado de código con una clave administrada por el cliente. Además, necesitará una AWS KMS clave en la misma AWS región que sus hallazgos o una clave multirregional. Puede utilizar una clave simétrica existente en su cuenta o crear una clave simétrica gestionada por el cliente mediante la consola de AWS administración o la. AWS KMS APIs Para obtener más información, consulte Creación de AWS KMS claves de cifrado simétricas en la guía del AWS KMS usuario.

nota

A partir del 13 de junio de 2025, el nombre principal del servicio en AWS KMS las solicitudes registradas CloudTrail durante un fragmento encryption/decryption de código pasará de ser «codeguru-reviewer» a «q».

Uso de la API de Amazon Inspector para configurar el cifrado

Para configurar una clave de cifrado, el UpdateEncryptionKeyfuncionamiento de la API de Amazon Inspector cuando se ha iniciado sesión como administrador de Amazon Inspector. En la solicitud de API, usa el kmsKeyId campo para especificar el ARN de la AWS KMS clave que deseas usar. Para scanType, introduzca CODE y, para resourceType, introduzca AWS_LAMBDA_FUNCTION.

Puedes usar la UpdateEncryptionKeyAPI para comprobar qué AWS KMS clave utiliza Amazon Inspector para el cifrado.

nota

Si intentas utilizarla sin GetEncryptionKey configurar una clave gestionada por el cliente, la operación devolverá un ResourceNotFoundException error, lo que significa que se está utilizando una AWS clave propia para el cifrado.

Si eliminas la clave o cambias su política para denegar el acceso a Amazon Inspector o Amazon Q, no podrás acceder a los hallazgos de vulnerabilidad de tu código y no se podrá escanear el código Lambda de tu cuenta.

Puede utilizarla ResetEncryptionKey para volver a utilizar una clave AWS propia para cifrar el código extraído como parte de las conclusiones de Amazon Inspector.