Enkripsi diam - Amazon Inspector
Enkripsi saat istirahat untuk kode dalam temuan AndaIzin untuk enkripsi kode dengan kunci yang dikelola pelangganMengkonfigurasi enkripsi dengan kunci yang dikelola pelanggan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Enkripsi diam

Secara default, Amazon Inspector menyimpan data saat istirahat menggunakan solusi AWS enkripsi. Amazon Inspector mengenkripsi data, seperti berikut ini:

  • Inventaris sumber daya dikumpulkan dengan AWS Systems Manager.

  • Inventaris sumber daya diuraikan dari gambar Amazon Elastic Container Registry

  • Temuan keamanan yang dihasilkan menggunakan kunci enkripsi yang AWS dimiliki dari AWS Key Management Service

Anda tidak dapat mengelola, menggunakan, atau melihat kunci AWS yang dimiliki. Namun, Anda tidak perlu mengambil tindakan atau mengubah program untuk melindungi kunci yang mengenkripsi data Anda. Untuk informasi selengkapnya, lihat kunci AWS yang dimiliki.

Jika Anda menonaktifkan Amazon Inspector, Amazon Inspector akan menghapus secara permanen semua sumber daya yang disimpan atau dipelihara untuk Anda, seperti inventaris yang dikumpulkan dan temuan keamanan.

Enkripsi saat istirahat untuk kode dalam temuan Anda

Untuk pemindaian kode Amazon Inspector Lambda, Amazon Inspector bermitra dengan CodeGuru untuk memindai kode Anda dari kerentanan. Ketika kerentanan terdeteksi, CodeGuru ekstrak cuplikan kode Anda yang berisi kerentanan dan menyimpan kode tersebut hingga Amazon Inspector meminta akses. Secara default CodeGuru menggunakan kunci yang AWS dimiliki untuk mengenkripsi kode yang diekstrak, namun, Anda dapat mengonfigurasi Amazon Inspector untuk menggunakan kunci AWS KMS terkelola pelanggan Anda sendiri untuk enkripsi.

Alur kerja berikut menjelaskan bagaimana Amazon Inspector menggunakan kunci yang Anda konfigurasikan untuk mengenkripsi kode Anda:

  1. Anda menyediakan AWS KMS kunci untuk Amazon Inspector menggunakan Amazon Inspector. UpdateEncryptionKeyAPI

  2. Amazon Inspector meneruskan informasi tentang kunci Anda AWS KMS . CodeGuru CodeGuru menyimpan informasi untuk digunakan di masa depan.

  3. CodeGuru meminta hibah dari kunci AWS KMS yang Anda konfigurasikan di Amazon Inspector.

  4. CodeGuru membuat kunci data terenkripsi dari AWS KMS kunci Anda dan menyimpannya. Kunci data ini digunakan untuk mengenkripsi data kode Anda yang disimpan oleh CodeGuru.

  5. Setiap kali Amazon Inspector meminta data dari pemindaian kode CodeGuru menggunakan hibah untuk mendekripsi kunci data terenkripsi, kemudian menggunakan kunci tersebut untuk mendekripsi data sehingga dapat diambil.

Ketika Anda menonaktifkan pemindaian kode Lambda CodeGuru menghentikan hibah dan menghapus kunci data terkait.

Izin untuk enkripsi kode dengan kunci yang dikelola pelanggan

Untuk menggunakan enkripsi, Anda harus memiliki kebijakan yang memungkinkan akses ke AWS KMS tindakan, serta pernyataan yang memberikan Amazon Inspector CodeGuru dan izin untuk menggunakan tindakan tersebut melalui kunci kondisi.

Jika Anda menyetel, memperbarui, atau mengatur ulang kunci enkripsi untuk akun Anda, Anda harus menggunakan kebijakan administrator Amazon Inspector, seperti. AWS kebijakan terkelola: AmazonInspector2FullAccess Anda juga perlu memberikan izin berikut kepada pengguna hanya-baca yang perlu mengambil cuplikan kode dari temuan atau data tentang kunci yang dipilih untuk enkripsi.

UntukKMS, kebijakan harus memungkinkan Anda untuk melakukan tindakan berikut:

  • kms:CreateGrant

  • kms:Decrypt

  • kms:DescribeKey

  • kms:GenerateDataKeyWithoutPlainText

  • kms:Encrypt

  • kms:RetireGrant

Setelah Anda memverifikasi bahwa Anda memiliki AWS KMS izin yang benar dalam kebijakan Anda, Anda harus melampirkan pernyataan yang memungkinkan Amazon Inspector CodeGuru dan menggunakan kunci Anda untuk enkripsi. Lampirkan pernyataan kebijakan berikut:

catatan

Ganti Wilayah dengan AWS Wilayah tempat Anda mengaktifkan pemindaian kode Amazon Inspector Lambda.


{
            "Sid": "allow CodeGuru Security to request a grant for a AWS KMS key",
        	"Effect": "Allow",
        	"Action": "kms:CreateGrant",
        	"Resource": "*",
        	"Condition": {
        		"ForAllValues:StringEquals": {
        			"kms:GrantOperations": [
        				"GenerateDataKey",
        				"GenerateDataKeyWithoutPlaintext",
        				"Encrypt",
        				"Decrypt",
        				"RetireGrant",
        				"DescribeKey"
        			]
        		},
        		"StringEquals": {
        			"kms:ViaService": [
        				"codeguru-security.Region.amazonaws.com"
        			]
        		}
        	}
        }, 
        {
        	"Sid": "allow Amazon Inspector and CodeGuru Security to use your AWS KMS key",
        	"Effect": "Allow",
        	"Action": [
        		"kms:Encrypt",
        		"kms:Decrypt",
        		"kms:RetireGrant",
        		"kms:DescribeKey",
        		"kms:GenerateDataKeyWithoutPlaintext"
        	],
        	"Resource": "*",
        	"Condition": {
        		"StringEquals": {
        			"kms:ViaService": [
        				"inspector2.Region.amazonaws.com",
        				"codeguru-security.Region.amazonaws.com"
        			]
        		}
        	}
        }
catatan

Ketika Anda menambahkan pernyataan, pastikan bahwa sintaksnya valid. Kebijakan menggunakan JSON format. Ini berarti Anda perlu menambahkan koma sebelum atau sesudah pernyataan, tergantung di mana Anda menambahkan pernyataan ke kebijakan. Jika Anda menambahkan pernyataan sebagai pernyataan terakhir, tambahkan koma setelah tanda kurung kurung penutup untuk pernyataan sebelumnya. Jika Anda menambahkannya sebagai pernyataan pertama atau di antara dua pernyataan yang ada, tambahkan koma setelah tanda kurung kurung penutup untuk pernyataan tersebut.

Mengkonfigurasi enkripsi dengan kunci yang dikelola pelanggan

Untuk mengonfigurasi enkripsi akun menggunakan kunci terkelola pelanggan, Anda harus menjadi administrator Amazon Inspector dengan izin yang diuraikan. Izin untuk enkripsi kode dengan kunci yang dikelola pelanggan Selain itu, Anda akan memerlukan AWS KMS kunci di AWS Wilayah yang sama dengan temuan Anda, atau kunci multi-wilayah. Anda dapat menggunakan kunci simetris yang ada di akun Anda atau membuat kunci terkelola pelanggan simetris dengan menggunakan AWS Management Console, atau. AWS KMS APIs Untuk informasi selengkapnya, lihat Membuat AWS KMS kunci enkripsi simetris di panduan AWS KMS pengguna.

Menggunakan Amazon Inspector API untuk mengonfigurasi enkripsi

Untuk menetapkan kunci untuk enkripsi UpdateEncryptionKeypengoperasian Amazon Inspector API saat masuk sebagai administrator Amazon Inspector. Dalam API permintaan, gunakan kmsKeyId bidang untuk menentukan AWS KMS kunci ARN yang ingin Anda gunakan. Untuk scanType masuk CODE dan resourceType masukAWS_LAMBDA_FUNCTION.

Anda dapat menggunakan UpdateEncryptionKeyAPIuntuk memeriksa melihat AWS KMS kunci yang digunakan Amazon Inspector untuk enkripsi.

catatan

Jika Anda mencoba menggunakan GetEncryptionKey ketika Anda belum menetapkan kunci terkelola pelanggan, operasi mengembalikan ResourceNotFoundException kesalahan yang berarti bahwa kunci yang AWS dimiliki sedang digunakan untuk enkripsi.

Jika Anda menghapus atau kunci atau mengubah kebijakannya untuk menolak akses ke Amazon Inspector atau CodeGuru Anda tidak akan dapat mengakses temuan kerentanan kode Anda dan pemindaian kode Lambda akan gagal untuk akun Anda.

Anda dapat menggunakan ResetEncryptionKey untuk melanjutkan menggunakan kunci yang AWS dimiliki untuk mengenkripsi kode yang diekstraksi sebagai bagian dari temuan Amazon Inspector Anda.