Criptografia em repouso - Amazon Inspector
Criptografia em repouso para código em suas descobertasÉ possível usar uma chave gerenciada pelo cliente para criptografar um volume.É possível usar uma chave gerenciada pelo cliente para criptografar um volume.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criptografia em repouso

Por padrão, o Amazon Inspector armazena dados em repouso usando soluções de AWS criptografia. O Amazon Inspector criptografa dados, como os seguintes:

  • Inventário de recursos coletado com AWS Systems Manager.

  • Inventário de recursos analisado com base em imagens do Amazon Elastic Container Registry

  • Descobertas de segurança geradas usando chaves de criptografia AWS próprias da AWS Key Management Service

Você não pode gerenciar, usar ou visualizar chaves AWS de propriedade. No entanto, você não precisa realizar nenhuma ação nem alterar programas para proteger as chaves que criptografam os dados. Para ter mais informações, consulte AWS owned keys.

Se você desabilitar o Amazon Inspector, ele excluirá permanentemente todos os recursos que armazena ou mantém para você, como inventário coletado e descobertas de segurança.

Criptografia em repouso para código em suas descobertas

Para a digitalização de código Lambda do Amazon Inspector, o Amazon Inspector faz parceria CodeGuru para escanear seu código em busca de vulnerabilidades. Quando uma vulnerabilidade é detectada, CodeGuru extrai um trecho do seu código contendo a vulnerabilidade e armazena esse código até que o Amazon Inspector solicite acesso. Por padrão, CodeGuru usa uma chave AWS própria para criptografar o código extraído, no entanto, você pode configurar o Amazon Inspector para usar sua própria chave AWS KMS gerenciada pelo cliente para criptografia.

O fluxo de trabalho a seguir explica como o Amazon Inspector usa a chave que você configura para criptografar o código:

  1. Você fornece uma AWS KMS chave para o Amazon Inspector usando a API do Amazon UpdateEncryptionKeyInspector.

  2. O Amazon Inspector encaminha as informações sobre sua AWS KMS chave para. CodeGuru CodeGuru armazena as informações para uso futuro.

  3. CodeGuru solicita uma concessão AWS KMS para a chave que você configurou no Amazon Inspector.

  4. CodeGuru cria uma chave de dados criptografada a partir da sua AWS KMS chave e a armazena. Essa chave de dados é usada para criptografar seus dados de código armazenados pelo CodeGuru.

  5. Sempre que o Amazon Inspector solicita dados de escaneamentos de código, CodeGuru usa a concessão para descriptografar a chave de dados criptografada e, em seguida, usa essa chave para descriptografar os dados para que possam ser recuperados.

Quando você desativa a digitalização de código Lambda, CodeGuru retira a concessão e exclui a chave de dados associada.

É possível usar uma chave gerenciada pelo cliente para criptografar um volume.

Para usar a criptografia, você precisa ter uma política que permita o acesso às AWS KMS ações, bem como uma declaração que conceda ao Amazon Inspector e CodeGuru permissões para usar essas ações por meio de chaves de condição.

Se estiver configurando, atualizando ou redefinindo a chave de criptografia da conta, precisará usar uma política de administrador do Amazon Inspector, como AWS política gerenciada: AmazonInspector2FullAccess. Você também precisará conceder as seguintes permissões aos usuários somente para leitura que precisam recuperar trechos de código de descobertas ou dados sobre a chave escolhida para criptografia.

Para o KMS, a política deve permitir executar as seguintes ações:

  • kms:CreateGrant

  • kms:Decrypt

  • kms:DescribeKey

  • kms:GenerateDataKeyWithoutPlainText

  • kms:Encrypt

  • kms:RetireGrant

Depois de verificar se você tem as AWS KMS permissões corretas em sua política, você deve anexar uma declaração que permita que o Amazon Inspector use sua chave para criptografia. CodeGuru Anexe a seguinte declaração de política:

nota

Substitua a região pela AWS região na qual você habilitou a digitalização de código do Amazon Inspector Lambda.


{
            "Sid": "allow CodeGuru Security to request a grant for a AWS KMS key",
        	"Effect": "Allow",
        	"Action": "kms:CreateGrant",
        	"Resource": "*",
        	"Condition": {
        		"ForAllValues:StringEquals": {
        			"kms:GrantOperations": [
        				"GenerateDataKey",
        				"GenerateDataKeyWithoutPlaintext",
        				"Encrypt",
        				"Decrypt",
        				"RetireGrant",
        				"DescribeKey"
        			]
        		},
        		"StringEquals": {
        			"kms:ViaService": [
        				"codeguru-security.Region.amazonaws.com"
        			]
        		}
        	}
        }, 
        {
        	"Sid": "allow Amazon Inspector and CodeGuru Security to use your AWS KMS key",
        	"Effect": "Allow",
        	"Action": [
        		"kms:Encrypt",
        		"kms:Decrypt",
        		"kms:RetireGrant",
        		"kms:DescribeKey",
        		"kms:GenerateDataKeyWithoutPlaintext"
        	],
        	"Resource": "*",
        	"Condition": {
        		"StringEquals": {
        			"kms:ViaService": [
        				"inspector2.Region.amazonaws.com",
        				"codeguru-security.Region.amazonaws.com"
        			]
        		}
        	}
        }
nota

Ao adicionar a instrução, verifique se a sintaxe é válida. As políticas usam o formato JSON. Isso significa que você precisa adicionar uma vírgula antes ou depois da declaração, dependendo de onde você adiciona a declaração à política. Se você incluir a instrução como a última instrução, adicione uma vírgula após o colchete de fechamento para a instrução anterior. Se você adicioná-la como a primeira instrução ou adicioná-la entre duas instruções existentes, adicione uma vírgula após o colchete de fechamento.

É possível usar uma chave gerenciada pelo cliente para criptografar um volume.

Para configurar a criptografia para sua conta usando uma chave gerenciada pelo cliente, você deve ser um administrador do Amazon Inspector com as permissões descritas em É possível usar uma chave gerenciada pelo cliente para criptografar um volume.. Além disso, você precisará de uma AWS KMS chave na mesma AWS região de suas descobertas ou de uma chave multirregional. Você pode usar uma chave simétrica existente em sua conta ou criar uma chave simétrica gerenciada pelo cliente usando o AWS Management Console ou o. AWS KMS APIs Para obter mais informações, consulte Criação de AWS KMS chaves de criptografia simétricas no guia do AWS KMS usuário.

Usando a API do Amazon Inspector para configurar a criptografia

Para definir uma chave para criptografia, a UpdateEncryptionKeyoperação da API do Amazon Inspector enquanto estiver conectado como administrador do Amazon Inspector. Na solicitação da API, use o kmsKeyId campo para especificar o ARN da AWS KMS chave que você deseja usar. Para scanType digitar o CODE e para resourceType digitar o AWS_LAMBDA_FUNCTION.

Você pode usar a UpdateEncryptionKeyAPI para verificar qual AWS KMS chave o Amazon Inspector está usando para criptografia.

nota

Se você tentar GetEncryptionKey usar sem definir uma chave gerenciada pelo cliente, a operação retornará um ResourceNotFoundException erro, o que significa que uma AWS chave própria está sendo usada para criptografia.

Se você excluir ou alterar a chave ou alterar sua política para negar acesso ao Amazon Inspector ou CodeGuru não conseguir acessar suas descobertas de vulnerabilidade de código, a digitalização de código Lambda falhará em sua conta.

Você pode usar ResetEncryptionKey para continuar usando uma chave AWS própria para criptografar o código extraído como parte das descobertas do Amazon Inspector.