Criptografia em repouso - Amazon Inspector
Criptografia em repouso para código em suas descobertasÉ possível usar uma chave gerenciada pelo cliente para criptografar um volume.É possível usar uma chave gerenciada pelo cliente para criptografar um volume.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criptografia em repouso

Por padrão, o Amazon Inspector armazena dados em repouso usando soluções de AWS criptografia. O Amazon Inspector criptografa dados, como os seguintes:

  • Inventário de recursos coletado com AWS Systems Manager.

  • Inventário de recursos analisado com base em imagens do Amazon Elastic Container Registry

  • Descobertas de segurança geradas usando chaves de criptografia AWS próprias da AWS Key Management Service

Você não pode gerenciar, usar ou visualizar chaves AWS de propriedade. No entanto, você não precisa realizar nenhuma ação nem alterar programas para proteger as chaves que criptografam os dados. Para ter mais informações, consulte AWS owned keys.

Se você desabilitar o Amazon Inspector, ele excluirá permanentemente todos os recursos que armazena ou mantém para você, como inventário coletado e descobertas de segurança.

Criptografia em repouso para código em suas descobertas

Para a digitalização de código do Amazon Inspector Lambda, o Amazon Inspector faz parceria com o Amazon Q para escanear seu código em busca de vulnerabilidades. Quando uma vulnerabilidade é detectada, o Amazon Q extrai um trecho do seu código contendo a vulnerabilidade e armazena esse código até que o Amazon Inspector solicite acesso. Por padrão, o Amazon Q usa uma chave AWS própria para criptografar o código extraído. No entanto, você pode configurar o Amazon Inspector para usar sua própria chave gerenciada pelo cliente AWS KMS para criptografia.

O fluxo de trabalho a seguir explica como o Amazon Inspector usa a chave que você configura para criptografar seu código:

  1. Você fornece uma AWS KMS chave para o Amazon Inspector usando a API do Amazon UpdateEncryptionKeyInspector.

  2. O Amazon Inspector encaminha as informações sobre sua chave AWS KMS para o Amazon Q, e o Amazon Q armazena as informações para uso futuro.

  3. O Amazon Q usa a chave KMS que você configurou no Amazon Inspector por meio da política de chaves.

  4. O Amazon Q cria uma chave de dados criptografada a partir da sua AWS KMS chave e a armazena. Essa chave de dados é usada para criptografar seus dados de código armazenados pela Amazon Q.

  5. Quando o Amazon Inspector solicita dados de escaneamentos de código, o Amazon Q usa a chave KMS para descriptografar a chave de dados. Quando você desativa o Lambda Code Scanning, o Amazon Q exclui a chave de dados associada.

É possível usar uma chave gerenciada pelo cliente para criptografar um volume.

Para criptografia, você deve criar uma chave KMS com uma política que inclua uma declaração permitindo que o Amazon Inspector e o Amazon Q executem as seguintes ações.

  • kms:Decrypt

  • kms:DescribeKey

  • kms:Encrypt

  • kms:GenerateDataKey

  • kms:GenerateDataKeyWithoutPlainText

Declaração da política

Você pode usar a seguinte declaração de política ao criar a chave KMS.

nota

account-idSubstitua pelo seu ID de 12 dígitos. Conta da AWS RegionSubstitua pelo Região da AWS local em que você ativou a digitalização de código do Amazon Inspector e do Lambda. role-ARNSubstitua pelo nome de recurso da Amazon para sua função do IAM. 


{
  "Effect": "Allow",
  "Principal": {
    "Service": "q.amazonaws.com"
  },
  "Action": [
    "kms:Encrypt",
    "kms:Decrypt",
    "kms:GenerateDataKeyWithoutPlaintext",
    "kms:GenerateDataKey"
  ],
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "kms:EncryptionContext:aws:qdeveloper:lambda-codescan-scope": "account-id"
    },
    "StringEquals": {
      "aws:SourceAccount": "account-id"
    },
    "ArnLike": {
      "aws:SourceArn": "arn:aws:qdeveloper:Region:account-id:scans/*"
    }
  }
},
{
  "Effect": "Allow",
  "Principal": {
    "Service": "q.amazonaws.com"
  },
  "Action": "kms:DescribeKey",
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "aws:SourceAccount": "account-id"
    },
    "ArnLike": {
      "aws:SourceArn": "arn:aws:qdeveloper:Region:account-id:scans/*"
    }
  }
},
{
  "Effect": "Allow",
  "Action": [
    "kms:Encrypt",
    "kms:Decrypt",
    "kms:GenerateDataKeyWithoutPlaintext",
    "kms:GenerateDataKey"
  ],
  "Principal": {
    "AWS": "role-ARN"
  },
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:ViaService": "inspector2.Region.amazonaws.com"
    },
    "StringLike": {
      "kms:EncryptionContext:aws:qdeveloper:lambda-codescan-scope": "account-id"
    }
  }
},
{
  "Effect": "Allow",
  "Action": [
    "kms:DescribeKey"
  ],
  "Principal": {
    "AWS": "role-ARN"
  },
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:ViaService": "inspector2.Region.amazonaws.com"
    }
  }
}

A declaração de política está formatada em JSON. Depois de incluir a declaração, revise a política para verificar se a sintaxe é válida. Se a declaração for a última declaração na política, coloque uma vírgula após a chave de fechamento da declaração anterior. Se a declaração for a primeira declaração ou entre duas declarações existentes na política, coloque uma vírgula após a chave de fechamento da declaração.

nota

O Amazon Inspector não suporta mais concessões para criptografar trechos de código extraídos de pacotes. Se você estiver usando uma política baseada em subsídios, ainda poderá acessar suas descobertas. No entanto, se você atualizar ou redefinir sua chave KMS ou desativar a digitalização de código Lambda, precisará usar a política de chaves KMS descrita nesta seção.

Se você definir, atualizar ou redefinir a chave de criptografia da sua conta, deverá usar uma política de administrador do Amazon Inspector, como a política AWS gerenciada. AmazonInspector2FullAccess

É possível usar uma chave gerenciada pelo cliente para criptografar um volume.

Para configurar a criptografia para sua conta usando uma chave gerenciada pelo cliente, você deve ser um administrador do Amazon Inspector com as permissões descritas em É possível usar uma chave gerenciada pelo cliente para criptografar um volume.. Além disso, você precisará de uma AWS KMS chave na mesma AWS região de suas descobertas ou de uma chave multirregional. Você pode usar uma chave simétrica existente em sua conta ou criar uma chave simétrica gerenciada pelo cliente usando o AWS Management Console ou o. AWS KMS APIs Para obter mais informações, consulte Criação de AWS KMS chaves de criptografia simétricas no guia do AWS KMS usuário.

nota

A partir de 13 de junho de 2025, o principal de serviço nas AWS KMS solicitações registradas CloudTrail durante o trecho de código encryption/decryption está mudando de “codeguru-reviewer” para “q”.

Usando a API do Amazon Inspector para configurar a criptografia

Para definir uma chave para criptografia, a UpdateEncryptionKeyoperação da API do Amazon Inspector enquanto estiver conectado como administrador do Amazon Inspector. Na solicitação da API, use o kmsKeyId campo para especificar o ARN da AWS KMS chave que você deseja usar. Para scanType digitar o CODE e para resourceType digitar o AWS_LAMBDA_FUNCTION.

Você pode usar a UpdateEncryptionKeyAPI para verificar qual AWS KMS chave o Amazon Inspector está usando para criptografia.

nota

Se você tentar GetEncryptionKey usar sem definir uma chave gerenciada pelo cliente, a operação retornará um ResourceNotFoundException erro, o que significa que uma AWS chave própria está sendo usada para criptografia.

Se você excluir a chave ou alterar sua política para negar acesso ao Amazon Inspector ou ao Amazon Q, você não conseguirá acessar suas descobertas de vulnerabilidade de código e o escaneamento de código Lambda falhará em sua conta.

Você pode usar ResetEncryptionKey para continuar usando uma chave AWS própria para criptografar o código extraído como parte das descobertas do Amazon Inspector.