Création d'une clé d'accès gérée par le client AWS KMS

Par défaut, vos données sont chiffrées à l'aide d'une clé que vous AWS possédez. Cela signifie que la clé est créée, détenue et gérée par le service. Si vous souhaitez posséder et gérer la clé utilisée pour chiffrer vos données, vous pouvez créer une clé KMS gérée par le client. Amazon Inspector n'interagit pas avec vos données. Amazon Inspector ingère uniquement les métadonnées des référentiels de votre fournisseur de code source. Pour plus d'informations sur la création d'une clé KMS gérée par le client, voir Création d'une clé KMS dans le guide de AWS Key Management Service l'utilisateur.

Exemple de politique

Lorsque vous créez votre clé gérée par le client, utilisez l'exemple de politique suivant.

JSON

{
    "Version": "2012-10-17",
    "Id": "key-policy",
    "Statement": [
        {
            "Sid": "Allow Q to use Encrypt Decrypt GenerateDataKey and GenerateDataKeyWithoutPlaintext",
            "Effect": "Allow",
            "Principal": {
                "Service": "q.amazonaws.com"
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:GenerateDataKeyWithoutPlaintext"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "111122223333"
                },
                "StringLike": {
                    "kms:EncryptionContext:aws:qdeveloper:codesecurity-scope": "111122223333"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:inspector2:us-east-1:111122223333:codesecurity-integration/*"
                }
            }
        },
        {
            "Sid": "Allow Q to use DescribeKey",
            "Effect": "Allow",
            "Principal": {
                "Service": "q.amazonaws.com"
            },
            "Action": "kms:DescribeKey",
            "Resource": "*"
        },
        {
            "Sid": "Allow Inspector to use Encrypt Decrypt GenerateDataKey and GenerateDataKeyWithoutPlaintext using FAS",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::{111122223333}:role/inspectorCodeSecurity"
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:GenerateDataKeyWithoutPlaintext"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "inspector2.us-east-1.amazonaws.com"
                },
                "StringLike": {
                    "kms:EncryptionContext:aws:qdeveloper:codesecurity-scope": "111122223333"
                }
            }
        },
        {
            "Sid": "Allow Inspector to use DescribeKey using FAS",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::{111122223333}:role/inspectorCodeSecurity"
            },
            "Action": [
                "kms:DescribeKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "inspector2.us-east-1.amazonaws.com"
                }
            }
        }
    ]
}

Après avoir créé votre clé KMS, vous pouvez utiliser l'Amazon Inspector suivant APIs.

• UpdateEncryptionKey — À utiliser avec CODE_REPOSITORY pour resourceType et CODE comme type de scan pour configurer l'utilisation de votre clé KMS gérée par le client.

• GetEncryptionKey — À utiliser avec CODE_REPOSITORY pour resourceType et CODE comme type de scan pour configurer la récupération de la configuration de votre clé KMS.

• ResetEncryptionKey — À utiliser avec CODE_REPOSITORY for resourceType et CODE pour réinitialiser la configuration de votre clé KMS et pour utiliser une clé KMS AWS détenue.