にアクセスするためのカスタマーマネージドキーの作成 AWS KMS - Amazon Inspector

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

にアクセスするためのカスタマーマネージドキーの作成 AWS KMS

デフォルトでは、データは AWS 所有キーで暗号化されます。つまり、キーは サービスによって作成、所有、管理されます。データの暗号化に使用されるキーを所有および管理する場合は、カスタマーマネージド KMS キーを作成できます。Amazon Inspector はデータとやり取りしません。Amazon Inspector は、ソースコードプロバイダーのリポジトリからのみメタデータを取り込みます。カスタマーマネージド KMS キーを作成する方法については、 AWS Key Management Service ユーザーガイド「KMS キーの作成」を参照してください。

ポリシーの例

カスタマーマネージドキーを作成するときは、次のサンプルポリシーを使用します。

JSON
{
    "Version": "2012-10-17",
    "Id": "key-policy",
    "Statement": [
        {
            "Sid": "Allow Q to use Encrypt Decrypt GenerateDataKey and GenerateDataKeyWithoutPlaintext",
            "Effect": "Allow",
            "Principal": {
                "Service": "q.amazonaws.com"
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:GenerateDataKeyWithoutPlaintext"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "111122223333"
                },
                "StringLike": {
                    "kms:EncryptionContext:aws:qdeveloper:codesecurity-scope": "111122223333"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:inspector2:us-east-1:111122223333:codesecurity-integration/*"
                }
            }
        },
        {
            "Sid": "Allow Q to use DescribeKey",
            "Effect": "Allow",
            "Principal": {
                "Service": "q.amazonaws.com"
            },
            "Action": "kms:DescribeKey",
            "Resource": "*"
        },
        {
            "Sid": "Allow Inspector to use Encrypt Decrypt GenerateDataKey and GenerateDataKeyWithoutPlaintext using FAS",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::{111122223333}:role/inspectorCodeSecurity"
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:GenerateDataKeyWithoutPlaintext"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "inspector2.us-east-1.amazonaws.com"
                },
                "StringLike": {
                    "kms:EncryptionContext:aws:qdeveloper:codesecurity-scope": "111122223333"
                }
            }
        },
        {
            "Sid": "Allow Inspector to use DescribeKey using FAS",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::{111122223333}:role/inspectorCodeSecurity"
            },
            "Action": [
                "kms:DescribeKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "inspector2.us-east-1.amazonaws.com"
                }
            }
        }
    ]
}

KMS キーを作成したら、次の Amazon Inspector APIsを使用できます。

  • UpdateEncryptionKey – for CODE_REPOSITORYresourceTypeと をスキャンタイプCODEとして使用して、カスタマーマネージド KMS キーの使用を設定します。

  • GetEncryptionKey – for CODE_REPOSITORYresourceTypeと をスキャンタイプCODEとして使用して、KMS キー設定の取得を設定します。

  • ResetEncryptionKey – CODE_REPOSITORY for resourceTypeおよび で CODEを使用して KMS キー設定をリセットし、 AWS 所有の KMS キーを使用します。