Crittografia dei dati a riposo

Per impostazione predefinita, Amazon Inspector archivia i dati inattivi utilizzando soluzioni di AWS crittografia. Amazon Inspector crittografa i dati, come i seguenti:

• Inventario delle risorse raccolto con. AWS Systems Manager

• Inventario delle risorse analizzato dalle immagini di Amazon Elastic Container Registry

• Risultati di sicurezza generati utilizzando chiavi AWS di crittografia di proprietà di AWS Key Management Service

Non è possibile gestire, utilizzare o visualizzare le chiavi AWS di proprietà. Tuttavia, non è necessario agire o modificare i programmi per proteggere le chiavi che crittografano i dati. Per ulteriori informazioni, consulta le chiavi AWS possedute.

Se disabiliti Amazon Inspector, elimina definitivamente tutte le risorse che archivia o gestisce per te, come l'inventario raccolto e i risultati di sicurezza.

Crittografia inattiva per il codice contenuto nei tuoi risultati

Per la scansione del codice Amazon Inspector Lambda, Amazon Inspector collabora con Amazon Q per scansionare il codice alla ricerca di vulnerabilità. Quando viene rilevata una vulnerabilità, Amazon Q estrae un frammento di codice contenente la vulnerabilità e lo archivia fino a quando Amazon Inspector non richiede l'accesso. Per impostazione predefinita, Amazon Q utilizza una chiave AWS proprietaria per crittografare il codice estratto. Tuttavia, puoi configurare Amazon Inspector per utilizzare la tua chiave gestita dal cliente AWS KMS per la crittografia.

Il seguente flusso di lavoro spiega come Amazon Inspector utilizza la chiave configurata per crittografare il codice:

1. Fornisci una AWS KMS chiave ad Amazon Inspector utilizzando l'API Amazon UpdateEncryptionKeyInspector.

2. Amazon Inspector inoltra le informazioni sulla tua chiave AWS KMS ad Amazon Q e Amazon Q le memorizza per utilizzi futuri.

3. Amazon Q utilizza la chiave KMS configurata in Amazon Inspector tramite la policy chiave.

4. Amazon Q crea una chiave dati crittografata a partire dalla tua AWS KMS chiave e la archivia. Questa chiave dati viene utilizzata per crittografare i dati del codice archiviati da Amazon Q.

5. Quando Amazon Inspector richiede dati da scansioni di codice, Amazon Q utilizza la chiave KMS per decrittografare la chiave dati. Quando disabiliti la scansione del codice Lambda, Amazon Q elimina la chiave dati associata.

Autorizzazioni per la crittografia del codice con una chiave gestita dal cliente

Per la crittografia, è necessario creare una chiave KMS con una politica che includa una dichiarazione che consenta ad Amazon Inspector e Amazon Q di eseguire le seguenti azioni.

• kms:Decrypt

• kms:DescribeKey

• kms:Encrypt

• kms:GenerateDataKey

• kms:GenerateDataKeyWithoutPlainText

Dichiarazione delle policy

È possibile utilizzare la seguente dichiarazione di politica durante la creazione della chiave KMS.

Nota

account-idSostituiscila con il tuo ID a 12 cifre Account AWS . RegionSostituiscilo con quello Regione AWS in cui hai abilitato Amazon Inspector e la scansione del codice Lambda. Sostituiscilo role-ARN con Amazon Resource Name per il tuo ruolo IAM.

{
  "Effect": "Allow",
  "Principal": {
    "Service": "q.amazonaws.com"
  },
  "Action": [
    "kms:Encrypt",
    "kms:Decrypt",
    "kms:GenerateDataKeyWithoutPlaintext",
    "kms:GenerateDataKey"
  ],
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "kms:EncryptionContext:aws:qdeveloper:lambda-codescan-scope": "account-id"
    },
    "StringEquals": {
      "aws:SourceAccount": "account-id"
    },
    "ArnLike": {
      "aws:SourceArn": "arn:aws:qdeveloper:Region:account-id:scans/*"
    }
  }
},
{
  "Effect": "Allow",
  "Principal": {
    "Service": "q.amazonaws.com"
  },
  "Action": "kms:DescribeKey",
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "aws:SourceAccount": "account-id"
    },
    "ArnLike": {
      "aws:SourceArn": "arn:aws:qdeveloper:Region:account-id:scans/*"
    }
  }
},
{
  "Effect": "Allow",
  "Action": [
    "kms:Encrypt",
    "kms:Decrypt",
    "kms:GenerateDataKeyWithoutPlaintext",
    "kms:GenerateDataKey"
  ],
  "Principal": {
    "AWS": "role-ARN"
  },
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:ViaService": "inspector2.Region.amazonaws.com"
    },
    "StringLike": {
      "kms:EncryptionContext:aws:qdeveloper:lambda-codescan-scope": "account-id"
    }
  }
},
{
  "Effect": "Allow",
  "Action": [
    "kms:DescribeKey"
  ],
  "Principal": {
    "AWS": "role-ARN"
  },
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:ViaService": "inspector2.Region.amazonaws.com"
    }
  }
}

La dichiarazione politica è formattata in JSON. Dopo aver incluso l'istruzione, rivedi la politica per assicurarti che la sintassi sia valida. Se l'istruzione è l'ultima dichiarazione della politica, inserisci una virgola dopo la parentesi di chiusura dell'istruzione precedente. Se l'istruzione è la prima dichiarazione o tra due istruzioni esistenti nella politica, inserisci una virgola dopo la parentesi che chiude la dichiarazione.

Nota

Amazon Inspector non supporta più le sovvenzioni per crittografare frammenti di codice estratti dai pacchetti. Se utilizzi una politica basata sulle sovvenzioni, puoi comunque accedere ai risultati. Tuttavia, se aggiorni o reimposti la tua chiave KMS o disabiliti la scansione del codice Lambda, dovrai utilizzare la politica delle chiavi KMS descritta in questa sezione.

Se imposti, aggiorni o reimposti la chiave di crittografia per il tuo account, devi utilizzare una politica di amministratore di Amazon Inspector, ad esempio la politica AWS gestita. AmazonInspector2FullAccess

Configurazione della crittografia con una chiave gestita dal cliente

Per configurare la crittografia per il tuo account utilizzando una chiave gestita dal cliente, devi essere un amministratore di Amazon Inspector con le autorizzazioni descritte in. Autorizzazioni per la crittografia del codice con una chiave gestita dal cliente Inoltre, avrai bisogno di una AWS KMS chiave nella stessa AWS regione dei risultati o di una chiave multiregionale. Puoi utilizzare una chiave simmetrica esistente nel tuo account o creare una chiave simmetrica gestita dal cliente utilizzando la console di AWS gestione o il. AWS KMS APIs Per ulteriori informazioni, vedere Creazione di chiavi di crittografia AWS KMS simmetriche nella guida per l'utente. AWS KMS

Nota

A partire dal 13 giugno 2025, il principale servizio nelle AWS KMS richieste registrate CloudTrail durante lo snippet encryption/decryption di codice passerà da «codeguru-reviewer» a «q».

Utilizzo dell'API Amazon Inspector per configurare la crittografia

Per impostare una chiave per la crittografia, il UpdateEncryptionKeyfunzionamento dell'API Amazon Inspector dopo aver effettuato l'accesso come amministratore di Amazon Inspector. Nella richiesta API, utilizza il kmsKeyId campo per specificare l'ARN della AWS KMS chiave che desideri utilizzare. Per scanType entrare CODE e per resourceType entrareAWS_LAMBDA_FUNCTION.

Puoi utilizzare l'UpdateEncryptionKeyAPI per verificare la visualizzazione della AWS KMS chiave utilizzata da Amazon Inspector per la crittografia.

Nota

Se tenti di utilizzare GetEncryptionKey quando non hai impostato una chiave gestita dal cliente, l'operazione restituisce un ResourceNotFoundException errore, il che significa che per la crittografia viene utilizzata una chiave di AWS proprietà.

Se elimini la chiave o ne modifichi la politica per negare l'accesso ad Amazon Inspector o Amazon Q, non sarai in grado di accedere ai risultati delle vulnerabilità del codice e la scansione del codice Lambda non riuscirà per il tuo account.

Puoi utilizzare ResetEncryptionKey per riprendere a utilizzare una chiave AWS proprietaria per crittografare il codice estratto come parte dei risultati di Amazon Inspector.