Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verschlüsselung im Ruhezustand
Standardmäßig speichert Amazon Inspector Daten im Ruhezustand mithilfe von AWS Verschlüsselungslösungen. Amazon Inspector verschlüsselt Daten wie die folgenden:
-
Ressourcenbestand, gesammelt mit AWS Systems Manager.
-
Aus Amazon Elastic Container Registry-Images analysierter Ressourcenbestand
-
Generierte Sicherheitsergebnisse unter Verwendung AWS eigener Verschlüsselungsschlüssel von AWS Key Management Service
Sie können AWS eigene Schlüssel nicht verwalten, verwenden oder anzeigen. Sie müssen jedoch keine Maßnahmen ergreifen oder Programme ändern, um Schlüssel zu schützen, die Ihre Daten verschlüsseln. Weitere Informationen finden Sie unter Eigene AWS Schlüssel.
Wenn Sie Amazon Inspector deaktivieren, werden alle Ressourcen, die es für Sie speichert oder verwaltet, dauerhaft gelöscht, z. B. gesammeltes Inventar und Sicherheitserkenntnisse.
Verschlüsselung im Ruhezustand für den Code in Ihren Ergebnissen
Beim Scannen von Amazon Inspector Lambda-Code arbeitet Amazon Inspector mit Amazon Inspector zusammen, CodeGuru um Ihren Code auf Sicherheitslücken zu scannen. Wenn eine Sicherheitslücke erkannt wird, wird ein Codeausschnitt, der die Sicherheitslücke enthält, CodeGuru extrahiert und gespeichert, bis Amazon Inspector Zugriff anfordert. Standardmäßig wird ein AWS eigener Schlüssel CodeGuru verwendet, um den extrahierten Code zu verschlüsseln. Sie können Amazon Inspector jedoch so konfigurieren, dass Ihr eigener, vom Kunden verwalteter AWS KMS Schlüssel für die Verschlüsselung verwendet wird.
Der folgende Arbeitsablauf erklärt, wie Amazon Inspector den von Ihnen konfigurierten Schlüssel verwendet, um Ihren Code zu verschlüsseln:
Sie stellen Amazon Inspector mithilfe der Amazon Inspector UpdateEncryptionKeyInspector-API einen AWS KMS Schlüssel zur Verfügung.
Amazon Inspector leitet die Informationen zu Ihrem AWS KMS Schlüssel weiter an CodeGuru. CodeGuru speichert die Informationen für die future Verwendung.
CodeGuru fordert ein Zuschussformular AWS KMS für den Schlüssel an, den Sie in Amazon Inspector konfiguriert haben.
CodeGuru erstellt aus Ihrem Schlüssel einen verschlüsselten AWS KMS Datenschlüssel und speichert ihn. Dieser Datenschlüssel wird verwendet, um Ihre von CodeGuru gespeicherten Codedaten zu verschlüsseln.
Immer wenn Amazon Inspector Daten aus Codescans anfordert, CodeGuru verwendet Amazon Inspector den Grant, um den verschlüsselten Datenschlüssel zu entschlüsseln, und verwendet diesen Schlüssel dann, um die Daten zu entschlüsseln, sodass sie abgerufen werden können.
Wenn Sie das Lambda-Code-Scannen deaktivieren, wird CodeGuru der Grant zurückgezogen und der zugehörige Datenschlüssel gelöscht.
Berechtigungen für die Codeverschlüsselung mit einem vom Kunden verwalteten Schlüssel
Um Verschlüsselung verwenden zu können, benötigen Sie eine Richtlinie, die den Zugriff auf AWS KMS Aktionen ermöglicht, sowie eine Erklärung, die Amazon Inspector die CodeGuru Erlaubnis erteilt, diese Aktionen über Bedingungsschlüssel zu verwenden.
Wenn Sie den Verschlüsselungsschlüssel für Ihr Konto einrichten, aktualisieren oder zurücksetzen, müssen Sie eine Amazon Inspector-Administratorrichtlinie verwenden, wie z. AWS verwaltete Richtlinie: AmazonInspector2FullAccess Außerdem müssen Sie Benutzern mit Lesezugriff, die Codefragmente aus Ergebnissen oder Daten über den für die Verschlüsselung ausgewählten Schlüssel abrufen müssen, die folgenden Berechtigungen gewähren.
Für KMS muss die Richtlinie es Ihnen ermöglichen, die folgenden Aktionen auszuführen:
kms:CreateGrantkms:Decryptkms:DescribeKeykms:GenerateDataKeyWithoutPlainTextkms:Encryptkms:RetireGrant
Sobald Sie sich vergewissert haben, dass Sie in Ihrer Richtlinie über die richtigen AWS KMS Berechtigungen verfügen, müssen Sie eine Erklärung beifügen, die Amazon Inspector und CodeGuru die Verwendung Ihres Schlüssels für die Verschlüsselung gestattet. Fügen Sie die folgende Grundsatzerklärung bei:
Anmerkung
Ersetzen Sie Region durch die AWS Region, in der Sie das Amazon Inspector Lambda-Code-Scannen aktiviert haben.
{ "Sid": "allow CodeGuru Security to request a grant for a AWS KMS key", "Effect": "Allow", "Action": "kms:CreateGrant", "Resource": "*", "Condition": { "ForAllValues:StringEquals": { "kms:GrantOperations": [ "GenerateDataKey", "GenerateDataKeyWithoutPlaintext", "Encrypt", "Decrypt", "RetireGrant", "DescribeKey" ] }, "StringEquals": { "kms:ViaService": [ "codeguru-security.Region.amazonaws.com" ] } } }, { "Sid": "allow Amazon Inspector and CodeGuru Security to use your AWS KMS key", "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:RetireGrant", "kms:DescribeKey", "kms:GenerateDataKeyWithoutPlaintext" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": [ "inspector2.Region.amazonaws.com", "codeguru-security.Region.amazonaws.com" ] } } }
Anmerkung
Wenn Sie die Anweisung hinzufügen, stellen Sie sicher, dass die Syntax gültig ist. Richtlinien verwenden das JSON-Format. Das bedeutet, dass Sie vor oder nach der Anweisung ein Komma hinzufügen müssen, je nachdem, wo Sie die Anweisung zur Richtlinie hinzufügen. Wenn Sie die Anweisung als letzte Anweisung hinzufügen, fügen Sie hinter der schließenden Klammer für die vorherige Anweisung ein Komma hinzu. Wenn Sie sie als erste Anweisung oder zwischen zwei vorhandenen Anweisungen hinzufügen, fügen Sie hinter der schließenden Klammer für die Anweisung ein Komma ein.
Konfiguration der Verschlüsselung mit einem vom Kunden verwalteten Schlüssel
Um die Verschlüsselung für Ihr Konto mit einem vom Kunden verwalteten Schlüssel zu konfigurieren, müssen Sie ein Amazon Inspector-Administrator mit den unter beschriebenen Berechtigungen seinBerechtigungen für die Codeverschlüsselung mit einem vom Kunden verwalteten Schlüssel. Darüber hinaus benötigen Sie einen AWS KMS Schlüssel in derselben AWS Region wie Ihre Ergebnisse oder einen Schlüssel für mehrere Regionen. Sie können einen vorhandenen symmetrischen Schlüssel in Ihrem Konto verwenden oder mithilfe der AWS Managementkonsole oder der APIs einen symmetrischen, vom Kunden verwalteten Schlüssel erstellen. AWS KMS Weitere Informationen finden Sie im Benutzerhandbuch unter Erstellen symmetrischer AWS KMSAWS KMS Verschlüsselungsschlüssel.
Verwenden der Amazon Inspector API zur Konfiguration der Verschlüsselung
Um einen Schlüssel für die Verschlüsselung für den UpdateEncryptionKeyBetrieb der Amazon Inspector-API festzulegen, während Sie als Amazon Inspector-Administrator angemeldet sind. Verwenden Sie in der API-Anfrage das kmsKeyId Feld, um den ARN des AWS KMS Schlüssels anzugeben, den Sie verwenden möchten. Für scanType Enter CODE und für resourceType EnterAWS_LAMBDA_FUNCTION.
Sie können die UpdateEncryptionKeyAPI verwenden, um zu überprüfen, welchen AWS KMS Schlüssel Amazon Inspector für die Verschlüsselung verwendet.
Anmerkung
Wenn Sie versuchen zu verwenden, GetEncryptionKey obwohl Sie keinen vom Kunden verwalteten Schlüssel eingerichtet haben, gibt der Vorgang einen ResourceNotFoundException Fehler zurück, was bedeutet, dass ein AWS eigener Schlüssel für die Verschlüsselung verwendet wird.
Wenn Sie den Schlüssel löschen oder seine Richtlinie ändern, sodass der Zugriff auf Amazon Inspector verweigert wird, können CodeGuru Sie andernfalls nicht auf Ihre gefundenen Sicherheitslücken zugreifen und der Lambda-Code-Scan schlägt für Ihr Konto fehl.
Sie können ResetEncryptionKey damit fortfahren, einen AWS eigenen Schlüssel zur Verschlüsselung von Code zu verwenden, der im Rahmen Ihrer Amazon Inspector Inspector-Ergebnisse extrahiert wurde.
