Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Chiffrement au repos
Par défaut, Amazon Inspector stocke les données au repos à l'aide de solutions de AWS chiffrement. Amazon Inspector chiffre les données, telles que les suivantes :
-
Inventaire des ressources collecté avec AWS Systems Manager.
-
Inventaire des ressources analysé à partir des images d'Amazon Elastic Container Registry
-
Résultats de sécurité générés à l'aide de clés de chiffrement AWS détenues par AWS Key Management Service
Vous ne pouvez pas gérer, utiliser ou consulter les clés AWS détenues. Cependant, il n'est pas nécessaire de prendre des mesures ou de modifier les programmes pour protéger les clés qui chiffrent vos données. Pour plus d'informations, consultez la section Clés AWS détenues.
Si vous désactivez Amazon Inspector, celui-ci supprime définitivement toutes les ressources qu'il stocke ou gère pour vous, telles que l'inventaire collecté et les résultats de sécurité.
Chiffrement inexistant pour le code contenu dans vos résultats
Pour scanner le code Lambda d'Amazon Inspector, Amazon Inspector s'associe à Amazon Q pour analyser votre code afin de détecter les vulnérabilités. Lorsqu'une vulnérabilité est détectée, Amazon Q extrait un extrait de code contenant la vulnérabilité et stocke ce code jusqu'à ce qu'Amazon Inspector demande l'accès. Par défaut, Amazon Q utilise une clé AWS détenue pour chiffrer le code extrait. Cependant, vous pouvez configurer Amazon Inspector pour utiliser votre propre AWS KMS clé gérée par le client pour le chiffrement.
Le flux de travail suivant explique comment Amazon Inspector utilise la clé que vous configurez pour chiffrer votre code :
-
Vous fournissez une AWS KMS clé à Amazon Inspector à l'aide de l'UpdateEncryptionKeyAPI Amazon Inspector.
-
Amazon Inspector transmet les informations relatives à votre AWS KMS clé à Amazon Q, qui les stocke pour une utilisation future.
-
Amazon Q utilise la clé KMS que vous avez configurée dans Amazon Inspector via la politique relative aux clés.
-
Amazon Q crée une clé de données chiffrée à partir de votre AWS KMS clé et la stocke. Cette clé de données est utilisée pour chiffrer les données de code stockées par Amazon Q.
-
Lorsqu'Amazon Inspector demande des données issues de scans de code, Amazon Q utilise la clé KMS pour déchiffrer la clé de données. Lorsque vous désactivez le scan de code Lambda, Amazon Q supprime la clé de données associée.
Autorisations pour le chiffrement du code à l'aide d'une clé gérée par le client
Pour le chiffrement, vous devez créer une clé KMS avec une politique qui inclut une déclaration autorisant Amazon Inspector et Amazon Q à effectuer les actions suivantes.
-
kms:Decrypt -
kms:DescribeKey -
kms:Encrypt -
kms:GenerateDataKey -
kms:GenerateDataKeyWithoutPlainText
Déclaration de stratégie
Vous pouvez utiliser la déclaration de politique suivante lors de la création de la clé KMS.
Note
account-idRegionrole-ARN
{ "Effect": "Allow", "Principal": { "Service": "q.amazonaws.com" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKeyWithoutPlaintext", "kms:GenerateDataKey" ], "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:aws:qdeveloper:lambda-codescan-scope": "account-id" }, "StringEquals": { "aws:SourceAccount": "account-id" }, "ArnLike": { "aws:SourceArn": "arn:aws:qdeveloper:Region:account-id:scans/*" } } }, { "Effect": "Allow", "Principal": { "Service": "q.amazonaws.com" }, "Action": "kms:DescribeKey", "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "account-id" }, "ArnLike": { "aws:SourceArn": "arn:aws:qdeveloper:Region:account-id:scans/*" } } }, { "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKeyWithoutPlaintext", "kms:GenerateDataKey" ], "Principal": { "AWS": "role-ARN" }, "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "inspector2.Region.amazonaws.com" }, "StringLike": { "kms:EncryptionContext:aws:qdeveloper:lambda-codescan-scope": "account-id" } } }, { "Effect": "Allow", "Action": [ "kms:DescribeKey" ], "Principal": { "AWS": "role-ARN" }, "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "inspector2.Region.amazonaws.com" } } }
La déclaration de politique est formatée en JSON. Après avoir inclus l'instruction, passez en revue la politique pour vous assurer que la syntaxe est valide. S'il s'agit de la dernière déclaration de la politique, placez une virgule après l'accolade de fermeture de l'instruction précédente. S'il s'agit de la première déclaration ou entre deux instructions existantes de la politique, placez une virgule après l'accolade de fermeture de l'instruction.
Note
Amazon Inspector ne prend plus en charge les subventions pour chiffrer les extraits de code extraits des packages. Si vous utilisez une politique basée sur des subventions, vous pouvez toujours accéder à vos résultats. Toutefois, si vous mettez à jour ou réinitialisez votre clé KMS ou si vous désactivez le scan de code Lambda, vous devrez appliquer la politique relative aux clés KMS décrite dans cette section.
Si vous définissez, mettez à jour ou réinitialisez la clé de chiffrement de votre compte, vous devez utiliser une politique d'administrateur Amazon Inspector, telle que la politique AWS géréeAmazonInspector2FullAccess.
Configuration du chiffrement à l'aide d'une clé gérée par le client
Pour configurer le chiffrement de votre compte à l'aide d'une clé gérée par le client, vous devez être un administrateur Amazon Inspector avec les autorisations décrites dansAutorisations pour le chiffrement du code à l'aide d'une clé gérée par le client. En outre, vous aurez besoin d'une AWS KMS clé dans la même AWS région que vos résultats, ou d'une clé multirégionale. Vous pouvez utiliser une clé symétrique existante dans votre compte ou créer une clé symétrique gérée par le client à l'aide de la console AWS de gestion ou du. AWS KMS APIs Pour plus d'informations, voir Création de AWS KMS clés de chiffrement symétriques dans le guide de l' AWS KMS utilisateur.
Note
À compter du 13 juin 2025, le principal du service pour les AWS KMS demandes enregistrées CloudTrail pendant l'extrait encryption/decryption de code passe de « codeguru-reviewer » à « q ».
Utilisation de l'API Amazon Inspector pour configurer le chiffrement
Pour définir une clé de chiffrement, le UpdateEncryptionKeyfonctionnement de l'API Amazon Inspector lorsque vous êtes connecté en tant qu'administrateur Amazon Inspector. Dans la demande d'API, utilisez le kmsKeyId champ pour spécifier l'ARN de la AWS KMS clé que vous souhaitez utiliser. Pour scanType entrer CODE et pour resourceType entrerAWS_LAMBDA_FUNCTION.
Vous pouvez utiliser UpdateEncryptionKeyl'API pour vérifier quelle AWS KMS clé Amazon Inspector utilise pour le chiffrement.
Note
Si vous tentez de l'utiliser GetEncryptionKey alors que vous n'avez pas défini de clé gérée par le client, l'opération renvoie une ResourceNotFoundException erreur, ce qui signifie qu'une clé AWS détenue est utilisée pour le chiffrement.
Si vous supprimez la clé ou si vous modifiez sa politique de refus d'accès à Amazon Inspector ou Amazon Q, vous ne pourrez pas accéder aux résultats de vulnérabilité de votre code et le scan du code Lambda échouera pour votre compte.
Vous pouvez l'utiliser ResetEncryptionKey pour recommencer à utiliser une clé AWS détenue pour chiffrer le code extrait dans le cadre de vos recherches sur Amazon Inspector.
