保管中の暗号化 - Amazon Inspector
検出結果のコードの保管時の暗号化カスタマーマネージドキーによるコード暗号化のアクセス許可カスタマーマネージドキーによる暗号化の設定

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

保管中の暗号化

デフォルトでは、Amazon Inspector は AWS 暗号化ソリューションを使用して保管中のデータを保存します。Amazon Inspector は、次のようなデータを暗号化します。

  • で収集されたリソースインベントリ AWS Systems Manager。

  • Amazon Elastic Container Registry イメージから解析されたリソースインベントリ

  • から AWS 所有の暗号化キーを使用して生成されたセキュリティ検出結果 AWS Key Management Service

AWS 所有キーを管理、使用、または表示することはできません。ただし、データを暗号化するキーを保護するためにアクションを実行したり、プログラムを変更したりする必要はありません。詳細については、「 AWS 所有キー」を参照してください。

Amazon Inspector を無効にすると、収集されたインベントリやセキュリティの検出結果など、Amazon Inspector が保存または維持するすべてのリソースが完全に削除されます。

検出結果のコードの保管時の暗号化

Amazon Inspector Lambda コードスキャンの場合、Amazon Inspector は と提携 CodeGuru してコードの脆弱性をスキャンします。脆弱性が検出されると、脆弱性を含むコードのスニペットが CodeGuru 抽出され、Amazon Inspector がアクセスをリクエストするまでそのコードが保存されます。デフォルトでは、 AWS 所有キー CodeGuru を使用して抽出されたコードを暗号化しますが、暗号化に独自のカスタマーマネージド AWS KMS キーを使用するように Amazon Inspector を設定できます。

次のワークフローでは、Amazon Inspector が、設定したキーを使用してコードを暗号化する方法を説明しています。

  1. Amazon Inspector を使用して Amazon Inspector に AWS KMS キーを指定しますUpdateEncryptionKeyAPI。

  2. Amazon Inspector は、 AWS KMS キーに関する情報を に転送します CodeGuru。 は、将来の使用のために情報 CodeGuru を保存します。

  3. CodeGuru は、Amazon Inspector で設定したキー AWS KMS の から許可をリクエストします。

  4. CodeGuru は、 キーから暗号化されたデータ AWS KMS キーを作成し、保存します。このデータキーは、 によって保存されているコードデータを暗号化するために使用されます CodeGuru。

  5. Amazon Inspector がコードスキャンからデータをリクエストするたびに、 はグラント CodeGuru を使用して暗号化されたデータキーを復号します。その後、 はそのキーを使用してデータを復号し、取得できるようにします。

Lambda コードスキャンを無効にすると、 はグラントを CodeGuru 廃止し、関連するデータキーを削除します。

カスタマーマネージドキーによるコード暗号化のアクセス許可

暗号化を使用するには、 AWS KMS アクションへのアクセスを許可するポリシーと、Amazon Inspector にそれらのアクションを条件キーで使用するための CodeGuru アクセス許可を付与するステートメントが必要です。

アカウントの暗号化キーを設定、更新、またはリセットする場合は、AWS マネージドポリシー: AmazonInspector2FullAccess などの Amazon Inspector 管理者ポリシーを使用する必要があります。また、暗号化対象として選択したキーに関する検出結果またはデータからコードスニペットを取得する必要がある読み取り専用ユーザーには、次のアクセス許可を付与する必要があります。

の場合KMS、ポリシーで次のアクションを実行できるようにする必要があります。

  • kms:CreateGrant

  • kms:Decrypt

  • kms:DescribeKey

  • kms:GenerateDataKeyWithoutPlainText

  • kms:Encrypt

  • kms:RetireGrant

ポリシーに正しい AWS KMS アクセス許可があることを確認したら、Amazon Inspector と が暗号化にキーを使用できるようにするステートメント CodeGuru をアタッチする必要があります。以下のポリシーステートメントをアタッチします。

注記

Region を、Amazon Inspector Lambda コードスキャンが有効になっている AWS リージョンに置き換えます。


{
            "Sid": "allow CodeGuru Security to request a grant for a AWS KMS key",
        	"Effect": "Allow",
        	"Action": "kms:CreateGrant",
        	"Resource": "*",
        	"Condition": {
        		"ForAllValues:StringEquals": {
        			"kms:GrantOperations": [
        				"GenerateDataKey",
        				"GenerateDataKeyWithoutPlaintext",
        				"Encrypt",
        				"Decrypt",
        				"RetireGrant",
        				"DescribeKey"
        			]
        		},
        		"StringEquals": {
        			"kms:ViaService": [
        				"codeguru-security.Region.amazonaws.com"
        			]
        		}
        	}
        }, 
        {
        	"Sid": "allow Amazon Inspector and CodeGuru Security to use your AWS KMS key",
        	"Effect": "Allow",
        	"Action": [
        		"kms:Encrypt",
        		"kms:Decrypt",
        		"kms:RetireGrant",
        		"kms:DescribeKey",
        		"kms:GenerateDataKeyWithoutPlaintext"
        	],
        	"Resource": "*",
        	"Condition": {
        		"StringEquals": {
        			"kms:ViaService": [
        				"inspector2.Region.amazonaws.com",
        				"codeguru-security.Region.amazonaws.com"
        			]
        		}
        	}
        }
注記

ステートメントをポリシーに追加するときに、構文が有効であることを確認します。ポリシーは JSON 形式を使用します。これは、ステートメントをポリシーに追加する場所に応じて、ステートメントの前後にカンマを追加する必要があることを意味します。ステートメントを最後のステートメントとして追加する場合は、前のステートメントの右中括弧の後にカンマを追加します。最初のステートメントとして追加するか、既存の 2 つのステートメントの間に追加する場合は、右中括弧の後にカンマを追加します。

カスタマーマネージドキーによる暗号化の設定

カスタマーマネージドキーを使用してアカウントの暗号化を設定するには、カスタマーマネージドキーによるコード暗号化のアクセス許可 で説明されているアクセス許可を持つ Amazon Inspector 管理者である必要があります。さらに、検出結果と同じ AWS リージョンに AWS KMS キー 、またはマルチリージョンキー が必要になります。アカウント内の既存の対称キーを使用するか、 AWS マネジメントコンソールまたは AWS KMS を使用して対称カスタマーマネージドキーを作成できますAPIs。詳細については、 ユーザーガイドの「対称暗号化 AWS KMS キーの作成 AWS KMS 」を参照してください。

Amazon Inspector APIを使用した暗号化の設定

Amazon Inspector 管理者としてサインインAPIしているときに Amazon Inspector UpdateEncryptionKeyのAmazon Inspectorを暗号化するためのキーを設定するには。API リクエストで、 kmsKeyIdフィールドを使用して、使用する AWS KMS キーARNの を指定します。scanTypeCODE を、resourceTypeAWS_LAMBDA_FUNCTION を入力します。

を使用してUpdateEncryptionKeyAPI、Amazon Inspector が暗号化に使用している AWS KMS キーを確認できます。

注記

カスタマーマネージドキーを設定していないGetEncryptionKeyときに を使用しようとすると、オペレーションはResourceNotFoundExceptionエラーを返します。これは、 AWS 所有キーが暗号化に使用されていることを意味します。

または キーを削除したり、Amazon Inspector へのアクセスを拒否するポリシーを変更 CodeGuru したりすると、コードの脆弱性の検出結果にアクセスできなくなり、Lambda コードスキャンはアカウントで失敗します。

ResetEncryptionKey を使用して、Amazon Inspector の検出結果の一部として抽出されたコードを暗号化するために、 AWS 所有キーの使用を再開できます。