Chiffrement au repos - Amazon Inspector
Chiffrement inexistant pour le code contenu dans vos résultatsAutorisations pour le chiffrement du code à l'aide d'une clé gérée par le clientConfiguration du chiffrement à l'aide d'une clé gérée par le client

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Chiffrement au repos

Par défaut, Amazon Inspector stocke les données au repos à l'aide de solutions de AWS chiffrement. Amazon Inspector chiffre les données, telles que les suivantes :

  • Inventaire des ressources collecté avec AWS Systems Manager.

  • Inventaire des ressources analysé à partir des images d'Amazon Elastic Container Registry

  • Résultats de sécurité générés à l'aide de clés de chiffrement AWS détenues par AWS Key Management Service

Vous ne pouvez pas gérer, utiliser ou consulter les clés AWS détenues. Cependant, il n'est pas nécessaire de prendre des mesures ou de modifier les programmes pour protéger les clés qui chiffrent vos données. Pour plus d'informations, consultez la section Clés AWS détenues.

Si vous désactivez Amazon Inspector, celui-ci supprime définitivement toutes les ressources qu'il stocke ou gère pour vous, telles que l'inventaire collecté et les résultats de sécurité.

Chiffrement inexistant pour le code contenu dans vos résultats

Pour l'analyse du code Lambda d'Amazon Inspector, Amazon Inspector s'associe CodeGuru pour analyser votre code afin de détecter les vulnérabilités. Lorsqu'une vulnérabilité est détectée, CodeGuru extrait un extrait de code contenant la vulnérabilité et stocke ce code jusqu'à ce qu'Amazon Inspector demande l'accès. CodeGuru Utilise par défaut une AWS clé propre pour chiffrer le code extrait, mais vous pouvez configurer Amazon Inspector pour utiliser votre propre AWS KMS clé gérée par le client pour le chiffrement.

Le flux de travail suivant explique comment Amazon Inspector utilise la clé que vous configurez pour chiffrer votre code :

  1. Vous fournissez une AWS KMS clé à Amazon Inspector à l'aide de l'UpdateEncryptionKeyAPI Amazon Inspector.

  2. Amazon Inspector transmet les informations relatives à votre AWS KMS clé à CodeGuru. CodeGuru stocke les informations pour une utilisation future.

  3. CodeGuru demande une subvention AWS KMS pour la clé que vous avez configurée dans Amazon Inspector.

  4. CodeGuru crée une clé de données cryptée à partir de votre AWS KMS clé et la stocke. Cette clé de données est utilisée pour chiffrer les données de code stockées par CodeGuru.

  5. Chaque fois qu'Amazon Inspector demande des données à partir de codes, il CodeGuru utilise l'autorisation pour déchiffrer la clé de données chiffrée, puis utilise cette clé pour déchiffrer les données afin qu'elles puissent être récupérées.

Lorsque vous désactivez le scan du code Lambda, l'autorisation est CodeGuru retirée et la clé de données associée est supprimée.

Autorisations pour le chiffrement du code à l'aide d'une clé gérée par le client

Pour utiliser le chiffrement, vous devez disposer d'une politique autorisant l'accès aux AWS KMS actions, ainsi que d'une déclaration octroyant à Amazon Inspector l' CodeGuru autorisation d'utiliser ces actions par le biais de clés de condition.

Si vous configurez, mettez à jour ou réinitialisez la clé de chiffrement de votre compte, vous devez utiliser une politique d'administration Amazon Inspector, telle queAWS politique gérée : AmazonInspector2FullAccess. Vous devrez également accorder les autorisations suivantes aux utilisateurs en lecture seule qui ont besoin de récupérer des extraits de code à partir de résultats ou de données concernant la clé choisie pour le chiffrement.

Pour KMS, la politique doit vous permettre d'effectuer les actions suivantes :

  • kms:CreateGrant

  • kms:Decrypt

  • kms:DescribeKey

  • kms:GenerateDataKeyWithoutPlainText

  • kms:Encrypt

  • kms:RetireGrant

Une fois que vous avez vérifié que vous disposez des AWS KMS autorisations appropriées dans votre politique, vous devez joindre une déclaration autorisant Amazon Inspector CodeGuru à utiliser votre clé pour le chiffrement. Joignez la déclaration de politique suivante :

Note

Remplacez la région par la AWS région dans laquelle le scan du code Lambda d'Amazon Inspector est activé.


{
            "Sid": "allow CodeGuru Security to request a grant for a AWS KMS key",
        	"Effect": "Allow",
        	"Action": "kms:CreateGrant",
        	"Resource": "*",
        	"Condition": {
        		"ForAllValues:StringEquals": {
        			"kms:GrantOperations": [
        				"GenerateDataKey",
        				"GenerateDataKeyWithoutPlaintext",
        				"Encrypt",
        				"Decrypt",
        				"RetireGrant",
        				"DescribeKey"
        			]
        		},
        		"StringEquals": {
        			"kms:ViaService": [
        				"codeguru-security.Region.amazonaws.com"
        			]
        		}
        	}
        }, 
        {
        	"Sid": "allow Amazon Inspector and CodeGuru Security to use your AWS KMS key",
        	"Effect": "Allow",
        	"Action": [
        		"kms:Encrypt",
        		"kms:Decrypt",
        		"kms:RetireGrant",
        		"kms:DescribeKey",
        		"kms:GenerateDataKeyWithoutPlaintext"
        	],
        	"Resource": "*",
        	"Condition": {
        		"StringEquals": {
        			"kms:ViaService": [
        				"inspector2.Region.amazonaws.com",
        				"codeguru-security.Region.amazonaws.com"
        			]
        		}
        	}
        }
Note

Lorsque vous ajoutez l'instruction, assurez-vous que la syntaxe est valide. Les stratégies utilisent le format JSON. Cela signifie que vous devez ajouter une virgule avant ou après la déclaration, selon l'endroit où vous l'ajoutez à la politique. Si vous ajoutez l'instruction en tant que dernière instruction, ajoutez une virgule après l'accolade de fermeture pour l'instruction précédente. Si vous l'ajoutez en tant que première instruction ou entre deux instructions existantes, ajoutez une virgule après l'accolade de fermeture de l'instruction.

Configuration du chiffrement à l'aide d'une clé gérée par le client

Pour configurer le chiffrement de votre compte à l'aide d'une clé gérée par le client, vous devez être un administrateur Amazon Inspector avec les autorisations décrites dansAutorisations pour le chiffrement du code à l'aide d'une clé gérée par le client. En outre, vous aurez besoin d'une AWS KMS clé dans la même AWS région que vos résultats, ou d'une clé multirégionale. Vous pouvez utiliser une clé symétrique existante dans votre compte ou créer une clé symétrique gérée par le client à l'aide de la console AWS de gestion ou des AWS KMS API. Pour plus d'informations, voir Création de AWS KMS clés de chiffrement symétriques dans le guide de l' AWS KMS utilisateur.

Utilisation de l'API Amazon Inspector pour configurer le chiffrement

Pour définir une clé de chiffrement, le UpdateEncryptionKeyfonctionnement de l'API Amazon Inspector lorsque vous êtes connecté en tant qu'administrateur Amazon Inspector. Dans la demande d'API, utilisez le kmsKeyId champ pour spécifier l'ARN de la AWS KMS clé que vous souhaitez utiliser. Pour scanType entrer CODE et pour resourceType entrerAWS_LAMBDA_FUNCTION.

Vous pouvez utiliser UpdateEncryptionKeyl'API pour vérifier quelle AWS KMS clé Amazon Inspector utilise pour le chiffrement.

Note

Si vous essayez de l'utiliser GetEncryptionKey alors que vous n'avez pas défini de clé gérée par le client, l'opération renvoie une ResourceNotFoundException erreur indiquant qu'une clé AWS détenue est utilisée pour le chiffrement.

Si vous supprimez la clé ou si vous modifiez sa politique de refus d'accès à Amazon Inspector, CodeGuru vous ne pourrez pas accéder aux résultats de vulnérabilité de votre code et le scan du code Lambda échouera pour votre compte.

Vous pouvez l'utiliser ResetEncryptionKey pour recommencer à utiliser une clé AWS détenue pour chiffrer le code extrait dans le cadre de vos recherches sur Amazon Inspector.