Enkripsi diam - Amazon Inspector
Enkripsi saat istirahat untuk kode dalam temuan AndaIzin untuk enkripsi kode dengan kunci yang dikelola pelangganMengkonfigurasi enkripsi dengan kunci yang dikelola pelanggan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Enkripsi diam

Secara default, Amazon Inspector menyimpan data saat istirahat menggunakan solusi AWS enkripsi. Amazon Inspector mengenkripsi data, seperti berikut ini:

  • Inventaris sumber daya dikumpulkan dengan AWS Systems Manager.

  • Inventaris sumber daya diuraikan dari gambar Amazon Elastic Container Registry

  • Temuan keamanan yang dihasilkan menggunakan kunci enkripsi yang AWS dimiliki dari AWS Key Management Service

Anda tidak dapat mengelola, menggunakan, atau melihat kunci AWS yang dimiliki. Namun, Anda tidak perlu mengambil tindakan atau mengubah program untuk melindungi kunci yang mengenkripsi data Anda. Untuk informasi selengkapnya, lihat kunci AWS yang dimiliki.

Jika Anda menonaktifkan Amazon Inspector, Amazon Inspector akan menghapus secara permanen semua sumber daya yang disimpan atau dipelihara untuk Anda, seperti inventaris yang dikumpulkan dan temuan keamanan.

Enkripsi saat istirahat untuk kode dalam temuan Anda

Untuk pemindaian kode Amazon Inspector Lambda, Amazon Inspector bermitra dengan Amazon Q untuk memindai kode Anda dari kerentanan. Ketika kerentanan terdeteksi, Amazon Q mengekstrak cuplikan kode Anda yang berisi kerentanan dan menyimpan kode tersebut hingga Amazon Inspector meminta akses. Secara default, Amazon Q menggunakan kunci yang AWS dimiliki untuk mengenkripsi kode yang diekstraksi. Namun, Anda dapat mengonfigurasi Amazon Inspector untuk menggunakan kunci yang dikelola pelanggan AWS KMS Anda sendiri untuk enkripsi.

Alur kerja berikut menjelaskan cara Amazon Inspector menggunakan kunci yang Anda konfigurasikan untuk mengenkripsi kode Anda:

  1. Anda menyediakan AWS KMS kunci ke Amazon Inspector menggunakan Amazon UpdateEncryptionKeyInspector API.

  2. Amazon Inspector meneruskan informasi tentang kunci Anda AWS KMS ke Amazon Q, dan Amazon Q menyimpan informasi untuk digunakan di masa mendatang.

  3. Amazon Q menggunakan kunci KMS yang Anda konfigurasikan di Amazon Inspector melalui kebijakan kunci.

  4. Amazon Q membuat kunci data terenkripsi dari AWS KMS kunci Anda dan menyimpannya. Kunci data ini digunakan untuk mengenkripsi data kode Anda yang disimpan oleh Amazon Q.

  5. Saat Amazon Inspector meminta data dari pemindaian kode, Amazon Q menggunakan kunci KMS untuk mendekripsi kunci data. Saat Anda menonaktifkan Pemindaian Kode Lambda, Amazon Q menghapus kunci data terkait.

Izin untuk enkripsi kode dengan kunci yang dikelola pelanggan

Untuk enkripsi, Anda harus membuat kunci KMS dengan kebijakan yang menyertakan pernyataan yang memungkinkan Amazon Inspector dan Amazon Q untuk melakukan tindakan berikut.

  • kms:Decrypt

  • kms:DescribeKey

  • kms:Encrypt

  • kms:GenerateDataKey

  • kms:GenerateDataKeyWithoutPlainText

Pernyataan kebijakan

Anda dapat menggunakan pernyataan kebijakan berikut saat membuat kunci KMS.

catatan

Ganti account-id dengan Akun AWS ID 12 digit Anda. Ganti Region dengan Wilayah AWS tempat Anda mengaktifkan pemindaian kode Amazon Inspector dan Lambda. Ganti role-ARN dengan Nama Sumber Daya Amazon untuk peran IAM Anda. 


{
  "Effect": "Allow",
  "Principal": {
    "Service": "q.amazonaws.com"
  },
  "Action": [
    "kms:Encrypt",
    "kms:Decrypt",
    "kms:GenerateDataKeyWithoutPlaintext",
    "kms:GenerateDataKey"
  ],
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "kms:EncryptionContext:aws:qdeveloper:lambda-codescan-scope": "account-id"
    },
    "StringEquals": {
      "aws:SourceAccount": "account-id"
    },
    "ArnLike": {
      "aws:SourceArn": "arn:aws:qdeveloper:Region:account-id:scans/*"
    }
  }
},
{
  "Effect": "Allow",
  "Principal": {
    "Service": "q.amazonaws.com"
  },
  "Action": "kms:DescribeKey",
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "aws:SourceAccount": "account-id"
    },
    "ArnLike": {
      "aws:SourceArn": "arn:aws:qdeveloper:Region:account-id:scans/*"
    }
  }
},
{
  "Effect": "Allow",
  "Action": [
    "kms:Encrypt",
    "kms:Decrypt",
    "kms:GenerateDataKeyWithoutPlaintext",
    "kms:GenerateDataKey"
  ],
  "Principal": {
    "AWS": "role-ARN"
  },
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:ViaService": "inspector2.Region.amazonaws.com"
    },
    "StringLike": {
      "kms:EncryptionContext:aws:qdeveloper:lambda-codescan-scope": "account-id"
    }
  }
},
{
  "Effect": "Allow",
  "Action": [
    "kms:DescribeKey"
  ],
  "Principal": {
    "AWS": "role-ARN"
  },
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:ViaService": "inspector2.Region.amazonaws.com"
    }
  }
}

Pernyataan kebijakan diformat dalam JSON. Setelah Anda menyertakan pernyataan, tinjau kebijakan untuk memastikan sintaksnya valid. Jika pernyataan tersebut adalah pernyataan terakhir dalam kebijakan, letakkan koma setelah tanda kurung kurung penutup untuk pernyataan sebelumnya. Jika pernyataan tersebut adalah pernyataan pertama atau di antara dua pernyataan yang ada dalam kebijakan, tempatkan koma setelah tanda kurung kurung penutup untuk pernyataan tersebut.

catatan

Amazon Inspector tidak lagi mendukung hibah untuk mengenkripsi cuplikan kode yang diekstrak dari paket. Jika Anda menggunakan kebijakan berbasis hibah, Anda masih dapat mengakses temuan Anda. Namun, jika Anda memperbarui atau mengatur ulang kunci KMS atau menonaktifkan Pemindaian Kode Lambda, Anda harus menggunakan kebijakan kunci KMS yang dijelaskan di bagian ini.

Jika Anda menyetel, memperbarui, atau mengatur ulang kunci enkripsi untuk akun Anda, Anda harus menggunakan kebijakan administrator Amazon Inspector, seperti kebijakan AWS terkelola. AmazonInspector2FullAccess

Mengkonfigurasi enkripsi dengan kunci yang dikelola pelanggan

Untuk mengonfigurasi enkripsi akun menggunakan kunci terkelola pelanggan, Anda harus menjadi administrator Amazon Inspector dengan izin yang diuraikan. Izin untuk enkripsi kode dengan kunci yang dikelola pelanggan Selain itu, Anda akan memerlukan AWS KMS kunci di AWS Wilayah yang sama dengan temuan Anda, atau kunci multi-wilayah. Anda dapat menggunakan kunci simetris yang ada di akun Anda atau membuat kunci terkelola pelanggan simetris dengan menggunakan AWS Management Console, atau. AWS KMS APIs Untuk informasi selengkapnya, lihat Membuat AWS KMS kunci enkripsi simetris di panduan AWS KMS pengguna.

catatan

Efektif 13 Juni 2025, prinsip layanan dalam AWS KMS permintaan yang masuk CloudTrail selama cuplikan encryption/decryption kode berubah dari “codeguru-reviewer” menjadi “q”.

Menggunakan Amazon Inspector API untuk mengonfigurasi enkripsi

Untuk menyetel kunci enkripsi, UpdateEncryptionKeypengoperasian Amazon Inspector API saat masuk sebagai administrator Amazon Inspector. Dalam permintaan API, gunakan kmsKeyId bidang untuk menentukan ARN AWS KMS kunci yang ingin Anda gunakan. Untuk scanType masuk CODE dan resourceType masukAWS_LAMBDA_FUNCTION.

Anda dapat menggunakan UpdateEncryptionKeyAPI untuk memeriksa tampilan AWS KMS kunci yang digunakan Amazon Inspector untuk enkripsi.

catatan

Jika Anda mencoba menggunakan GetEncryptionKey ketika Anda belum menetapkan kunci terkelola pelanggan, operasi mengembalikan ResourceNotFoundException kesalahan yang berarti bahwa kunci yang AWS dimiliki sedang digunakan untuk enkripsi.

Jika Anda menghapus kunci atau mengubah kebijakan untuk menolak akses ke Amazon Inspector atau Amazon Q, Anda tidak akan dapat mengakses temuan kerentanan kode Anda dan pemindaian kode Lambda akan gagal untuk akun Anda.

Anda dapat menggunakan ResetEncryptionKey untuk melanjutkan menggunakan kunci yang AWS dimiliki untuk mengenkripsi kode yang diekstraksi sebagai bagian dari temuan Amazon Inspector Anda.