Crittografia dei dati a riposo - Amazon Inspector
Crittografia inattiva per il codice contenuto nei tuoi risultatiAutorizzazioni per la crittografia del codice con una chiave gestita dal clienteConfigurazione della crittografia con una chiave gestita dal cliente

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crittografia dei dati a riposo

Per impostazione predefinita, Amazon Inspector archivia i dati inattivi utilizzando soluzioni di AWS crittografia. Amazon Inspector crittografa i dati, come i seguenti:

  • Inventario delle risorse raccolto con. AWS Systems Manager

  • Inventario delle risorse analizzato dalle immagini di Amazon Elastic Container Registry

  • Risultati di sicurezza generati utilizzando chiavi AWS di crittografia di proprietà di AWS Key Management Service

Non è possibile gestire, utilizzare o visualizzare le chiavi AWS di proprietà. Tuttavia, non è necessario agire o modificare i programmi per proteggere le chiavi che crittografano i dati. Per ulteriori informazioni, consulta le chiavi AWS possedute.

Se disabiliti Amazon Inspector, elimina definitivamente tutte le risorse che archivia o gestisce per te, come l'inventario raccolto e i risultati di sicurezza.

Crittografia inattiva per il codice contenuto nei tuoi risultati

Per la scansione del codice Amazon Inspector Lambda, Amazon Inspector collabora con Amazon Inspector per scansionare il codice CodeGuru alla ricerca di vulnerabilità. Quando viene rilevata una vulnerabilità, CodeGuru estrae un frammento di codice contenente la vulnerabilità e lo archivia fino a quando Amazon Inspector non richiede l'accesso. Per impostazione predefinita, CodeGuru utilizza una chiave AWS proprietaria per crittografare il codice estratto, tuttavia, puoi configurare Amazon Inspector in modo che utilizzi la tua chiave AWS KMS gestita dal cliente per la crittografia.

Il seguente flusso di lavoro spiega come Amazon Inspector utilizza la chiave configurata per crittografare il codice:

  1. Fornisci una AWS KMS chiave ad Amazon Inspector utilizzando l'API Amazon UpdateEncryptionKeyInspector.

  2. Amazon Inspector inoltra le informazioni sulla tua AWS KMS chiave a. CodeGuru CodeGuru memorizza le informazioni per usi futuri.

  3. CodeGuru richiede un modulo di concessione AWS KMS per la chiave configurata in Amazon Inspector.

  4. CodeGuru crea una chiave di dati crittografata a partire dalla tua AWS KMS chiave e la archivia. Questa chiave dati viene utilizzata per crittografare i dati del codice memorizzati da CodeGuru.

  5. Ogni volta che Amazon Inspector richiede dati da scansioni di codice CodeGuru utilizza la concessione per decrittografare la chiave dati crittografata, quindi utilizza quella chiave per decrittografare i dati in modo che possano essere recuperati.

Quando disabiliti la scansione del codice Lambda CodeGuru ritira la concessione ed elimina la chiave dati associata.

Autorizzazioni per la crittografia del codice con una chiave gestita dal cliente

Per utilizzare la crittografia è necessario disporre di una politica che consenta l'accesso alle AWS KMS azioni, nonché di una dichiarazione che conceda Amazon Inspector CodeGuru e le autorizzazioni per utilizzare tali azioni tramite chiavi di condizione.

Se stai impostando, aggiornando o reimpostando la chiave di crittografia per il tuo account, dovrai utilizzare una politica di amministrazione di Amazon Inspector, ad esempio. AWS politica gestita: AmazonInspector2FullAccess Dovrai inoltre concedere le seguenti autorizzazioni agli utenti di sola lettura che devono recuperare frammenti di codice dai risultati o dai dati relativi alla chiave scelta per la crittografia.

Per KMS, la politica deve consentire di eseguire le seguenti azioni:

  • kms:CreateGrant

  • kms:Decrypt

  • kms:DescribeKey

  • kms:GenerateDataKeyWithoutPlainText

  • kms:Encrypt

  • kms:RetireGrant

Dopo aver verificato di disporre delle AWS KMS autorizzazioni corrette nella tua politica, devi allegare una dichiarazione che consenta ad Amazon Inspector CodeGuru e di utilizzare la tua chiave per la crittografia. Allega la seguente dichiarazione sulla politica:

Nota

Sostituisci la regione con la AWS regione in cui è abilitata la scansione del codice Amazon Inspector Lambda.


{
            "Sid": "allow CodeGuru Security to request a grant for a AWS KMS key",
        	"Effect": "Allow",
        	"Action": "kms:CreateGrant",
        	"Resource": "*",
        	"Condition": {
        		"ForAllValues:StringEquals": {
        			"kms:GrantOperations": [
        				"GenerateDataKey",
        				"GenerateDataKeyWithoutPlaintext",
        				"Encrypt",
        				"Decrypt",
        				"RetireGrant",
        				"DescribeKey"
        			]
        		},
        		"StringEquals": {
        			"kms:ViaService": [
        				"codeguru-security.Region.amazonaws.com"
        			]
        		}
        	}
        }, 
        {
        	"Sid": "allow Amazon Inspector and CodeGuru Security to use your AWS KMS key",
        	"Effect": "Allow",
        	"Action": [
        		"kms:Encrypt",
        		"kms:Decrypt",
        		"kms:RetireGrant",
        		"kms:DescribeKey",
        		"kms:GenerateDataKeyWithoutPlaintext"
        	],
        	"Resource": "*",
        	"Condition": {
        		"StringEquals": {
        			"kms:ViaService": [
        				"inspector2.Region.amazonaws.com",
        				"codeguru-security.Region.amazonaws.com"
        			]
        		}
        	}
        }
Nota

Quando aggiungi l'istruzione, assicurati che la sintassi sia valida. Le politiche utilizzano il formato JSON. Ciò significa che è necessario aggiungere una virgola prima o dopo l'istruzione, a seconda di dove si aggiunge l'istruzione alla politica. Se aggiungete l'istruzione come ultima istruzione, aggiungete una virgola dopo la parentesi di chiusura dell'istruzione precedente. Se la aggiungete come prima istruzione o tra due istruzioni esistenti, aggiungete una virgola dopo la parentesi che chiude l'istruzione.

Configurazione della crittografia con una chiave gestita dal cliente

Per configurare la crittografia per il tuo account utilizzando una chiave gestita dal cliente, devi essere un amministratore di Amazon Inspector con le autorizzazioni descritte in. Autorizzazioni per la crittografia del codice con una chiave gestita dal cliente Inoltre, avrai bisogno di una AWS KMS chiave nella stessa AWS regione dei risultati o di una chiave multiregionale. Puoi utilizzare una chiave simmetrica esistente nel tuo account o creare una chiave simmetrica gestita dal cliente utilizzando la console di AWS gestione o le API. AWS KMS Per ulteriori informazioni, consulta Creazione di chiavi di crittografia simmetriche nella guida per l'utente. AWS KMS AWS KMS

Utilizzo dell'API Amazon Inspector per configurare la crittografia

Per impostare una chiave per la crittografia, il UpdateEncryptionKeyfunzionamento dell'API Amazon Inspector dopo aver effettuato l'accesso come amministratore di Amazon Inspector. Nella richiesta API, utilizza il kmsKeyId campo per specificare l'ARN della AWS KMS chiave che desideri utilizzare. Per scanType entrare CODE e per resourceType entrareAWS_LAMBDA_FUNCTION.

Puoi utilizzare l'UpdateEncryptionKeyAPI per verificare la visualizzazione della AWS KMS chiave utilizzata da Amazon Inspector per la crittografia.

Nota

Se tenti di utilizzare GetEncryptionKey quando non hai impostato una chiave gestita dal cliente, l'operazione restituisce un ResourceNotFoundException errore, il che significa che per la crittografia viene utilizzata una chiave di AWS proprietà.

Se elimini la chiave o modifichi la sua politica per negare l'accesso ad Amazon Inspector CodeGuru , non sarai in grado di accedere ai risultati delle vulnerabilità del codice e la scansione del codice Lambda non riuscirà per il tuo account.

Puoi utilizzare ResetEncryptionKey per riprendere a utilizzare una chiave AWS proprietaria per crittografare il codice estratto come parte dei risultati di Amazon Inspector.