Por padrão, a Cognition criptografa todos os dados dos clientes em repouso usando chaves gerenciadas pela própria Cognition. Para organizações que precisam de controle direto sobre suas chaves de criptografia, o Devin oferece suporte a chaves gerenciadas pelo cliente (CMK) com o AWS Key Management Service (KMS).Com o CMK, você fornece sua própria chave do AWS KMS, e a Cognition a utiliza para criptografar os dados armazenados no seu tenant dedicado — incluindo dados de sessão e snapshots de VM. Isso dá a você controle total sobre o ciclo de vida da chave, incluindo a capacidade de rotacioná-la, desativá-la ou revogar o acesso a qualquer momento.
O CMK está disponível exclusivamente para implantações Enterprise Dedicated e deve ser configurado durante a configuração inicial da implantação. Para mais informações sobre os modelos de implantação, consulte Enterprise Deployment.
Em uma implantação Enterprise Dedicated, o Devin armazena os dados do cliente em buckets do Amazon S3 dentro do seu tenant dedicado. Quando a CMK está ativada:
Sua chave do AWS KMS é usada para criptografia do lado do servidor de todos os dados gravados nesses buckets do S3.
A infraestrutura da Cognition usa a chave para criptografar os dados no momento da gravação e descriptografá-los no momento da leitura.
Você mantém a propriedade da chave na sua própria conta AWS e pode gerenciar seu ciclo de vida de forma independente.
Se você não fornecer uma chave do KMS, a Cognition criará e gerenciará uma chave de criptografia em seu nome.
Use uma chave simétrica existente do AWS KMS ou crie uma nova na mesma região do seu tenant dedicado da Cognition. A chave deve ser uma chave de criptografia simétrica (o tipo de chave padrão do AWS KMS).
Atualize a política da sua chave do AWS KMS para permitir que as contas da AWS da Cognition usem a chave para criptografia e descriptografia. Adicione a seguinte declaração à política da sua chave:
Selecione sua chave e vá para a aba Política da chave.
Escolha Editar.
Adicione a declaração acima ao array Statement da política da chave existente.
Salve a política.
# Primeiro, recupere a política atual da sua chaveaws kms get-key-policy \ --key-id <your-key-id> \ --policy-name default \ --output text > key-policy.json# Edite key-policy.json para adicionar a declaração acima# e, em seguida, aplique a política atualizadaaws kms put-key-policy \ --key-id <your-key-id> \ --policy-name default \ --policy file://key-policy.json
Assim que a Cognition receber o ARN da sua chave, a equipe configurará seu tenant dedicado para usá-lo na criptografia. Não é necessária nenhuma outra ação da sua parte.
O AWS KMS oferece suporte à rotação automática de chaves para chaves gerenciadas pelo cliente. Quando ativada, a AWS cria automaticamente um novo material criptográfico para sua chave a cada ano, mantendo o material antigo para descriptografar dados criptografados anteriormente. A Cognition recomenda ativar a rotação automática de chaves.
Você pode revogar o acesso da Cognition à sua chave do AWS KMS a qualquer momento removendo a instrução de política adicionada na etapa 2. Observe que revogar esse acesso impedirá a Cognition de ler ou gravar dados criptografados no seu tenant, o que interromperá o funcionamento do Devin até que o acesso seja restaurado.
Desativar ou excluir sua chave do AWS KMS, ou revogar o acesso da Cognition, tornará ilegíveis todos os dados criptografados de clientes no seu tenant. Certifique-se de entender as implicações antes de fazer alterações na sua chave ou na política dela.
Você pode monitorar todo o uso da sua chave do AWS KMS por meio do AWS CloudTrail. O CloudTrail registra cada chamada à API feita para a sua chave, incluindo chamadas das contas da Cognition, fornecendo uma trilha de auditoria completa das operações de criptografia e descriptografia.
Quais dados são criptografados com minha chave do AWS KMS?
Sua chave do AWS KMS é usada para criptografar os dados de clientes armazenados no Amazon S3 dentro do seu tenant dedicado, incluindo dados de sessão e snapshots de VM.
Posso usar uma chave do AWS KMS de outra região da AWS?
Não. Sua chave do AWS KMS deve estar na mesma região da AWS que a implantação do seu Devin. Entre em contato com a equipe da sua conta na Cognition para confirmar a região do seu tenant.
O que acontece se eu não fornecer uma chave do AWS KMS?
A Cognition criará e gerenciará uma chave de criptografia em seu nome. Todos os dados continuam criptografados em repouso — a CMK apenas dá a você controle direto sobre a chave.
A CMK está disponível para implantações Enterprise Cloud?
Não. No momento, a CMK está disponível apenas para implantações Enterprise Dedicated.
Posso alterar minha chave do AWS KMS após a configuração inicial?
Sim. Entre em contato com a equipe da sua conta na Cognition para atualizar o ARN da chave do AWS KMS do seu tenant. Os dados criptografados anteriormente permanecerão criptografados com a chave original, a menos que sejam criptografados novamente.
