Zum Hauptinhalt springen

Documentation Index

Fetch the complete documentation index at: https://docs.devinenterprise.com/llms.txt

Use this file to discover all available pages before exploring further.

Überblick

Standardmäßig verschlüsselt Cognition alle gespeicherten Kundendaten mit von Cognition verwalteten Schlüsseln. Für Organisationen, die direkte Kontrolle über ihre Verschlüsselungsschlüssel benötigen, unterstützt Devin Customer Managed Keys (CMK) über AWS Key Management Service (KMS). Mit CMK stellen Sie Ihren eigenen AWS-KMS-Schlüssel bereit, und Cognition verwendet ihn zur Verschlüsselung der in Ihrem dedizierten Tenant gespeicherten Daten — einschließlich Sitzungsdaten und VM-Snapshots. Dadurch haben Sie die volle Kontrolle über den Lebenszyklus des Schlüssels, einschließlich der Möglichkeit, ihn jederzeit zu rotieren, zu deaktivieren oder den Zugriff darauf zu entziehen.
CMK ist ausschließlich für Enterprise Dedicated-Deployments verfügbar und muss bei der initialen Deployment-Einrichtung konfiguriert werden. Weitere Informationen zu Deployment-Modellen finden Sie unter Enterprise Deployment.

So funktioniert es

In einem Enterprise Dedicated-Deployment speichert Devin Kundendaten in Amazon-S3-Buckets innerhalb Ihres dedizierten Tenants. Wenn CMK aktiviert ist:
  1. Ihr AWS-KMS-Schlüssel wird für die serverseitige Verschlüsselung aller Daten verwendet, die in diese S3-Buckets geschrieben werden.
  2. Die Cognition-Infrastruktur verwendet den Schlüssel, um Daten beim Schreiben zu verschlüsseln und beim Lesen zu entschlüsseln.
  3. Der Schlüssel bleibt in Ihrem Besitz und in Ihrem eigenen AWS-Konto, sodass Sie seinen Lebenszyklus unabhängig verwalten können.
Wenn Sie keinen KMS-Schlüssel bereitstellen, erstellt und verwaltet Cognition in Ihrem Auftrag einen Verschlüsselungsschlüssel.

Voraussetzungen

Bevor Sie CMK einrichten, stellen Sie sicher, dass Sie über Folgendes verfügen:
  • Ein Enterprise Dedicated-Deployment mit Cognition (CMK muss bei der erstmaligen Bereitstellung konfiguriert werden)
  • Einen AWS-KMS-Schlüssel in derselben AWS-Region wie Ihre Devin-Bereitstellung
  • Die erforderlichen Berechtigungen, um Ihre KMS-Schlüsselrichtlinie zu ändern
Wenden Sie sich an Ihr Cognition-Account-Team, um die AWS-Region Ihres dedizierten Tenants zu bestätigen.

Setup

Schritt 1: Einen KMS-Schlüssel erstellen oder auswählen

Verwenden Sie entweder einen vorhandenen symmetrischen AWS-KMS-Schlüssel oder erstellen Sie einen neuen in derselben Region wie Ihr dedizierter Cognition-Tenant. Der Schlüssel muss ein symmetrischer Verschlüsselungsschlüssel sein (der Standard-Schlüsseltyp in AWS KMS).

Schritt 2: Schlüsselrichtlinie konfigurieren

Aktualisieren Sie Ihre KMS-Schlüsselrichtlinie, um den AWS-Konten von Cognition die Verwendung des Schlüssels zur Ver- und Entschlüsselung zu erlauben. Fügen Sie Ihrer Schlüsselrichtlinie die folgende Anweisung hinzu: 
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::272506498303:root",
                    "arn:aws:iam::063509147090:root"
                ]
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        }
    ]
}
  1. Öffnen Sie die AWS KMS-Konsole.
  2. Wählen Sie Ihren Schlüssel aus und wechseln Sie zur Registerkarte Key policy.
  3. Wählen Sie Edit.
  4. Fügen Sie die obige Anweisung dem Statement-Array in Ihrer vorhandenen Schlüsselrichtlinie hinzu.
  5. Speichern Sie die Richtlinie.

Schritt 3: Teilen Sie Cognition die KMS-Schlüssel-ARN mit

Senden Sie die KMS-Schlüssel-ARN Ihres KMS-Schlüssels an Ihr Account-Team bei Cognition. Die ARN hat folgendes Format: 
arn:aws:kms:<region>:<your-account-id>:key/<key-id>
Sobald Cognition die KMS-Schlüssel-ARN Ihres Schlüssels erhalten hat, konfiguriert das Team Ihren dedizierten Tenant so, dass dieser Schlüssel zur Verschlüsselung verwendet wird. Sie müssen nichts weiter tun.

Schlüsselverwaltung

Schlüsselrotation

AWS KMS unterstützt die automatische Schlüsselrotation für vom Kunden verwaltete Schlüssel. Wenn sie aktiviert ist, erstellt AWS jedes Jahr automatisch neues kryptografisches Material für Ihren Schlüssel und behält das alte Material bei, um zuvor verschlüsselte Daten zu entschlüsseln. Cognition empfiehlt, die automatische Schlüsselrotation zu aktivieren.

Zugriff widerrufen

Sie können den Zugriff von Cognition auf Ihren KMS-Schlüssel jederzeit widerrufen, indem Sie die in Schritt 2 hinzugefügte Richtlinienanweisung entfernen. Beachten Sie, dass Cognition nach dem Widerruf des Zugriffs keine verschlüsselten Daten in Ihrem Tenant mehr lesen oder schreiben kann. Dadurch wird die Funktionalität von Devin beeinträchtigt, bis der Zugriff wiederhergestellt ist.
Wenn Sie Ihren KMS-Schlüssel deaktivieren oder löschen oder den Zugriff von Cognition widerrufen, werden alle verschlüsselten Kundendaten in Ihrem Tenant unlesbar. Vergewissern Sie sich, dass Sie die Auswirkungen verstehen, bevor Sie Änderungen an Ihrem Schlüssel oder dessen Richtlinie vornehmen.

Überwachung der Schlüsselnutzung

Sie können die gesamte Nutzung Ihres KMS-Schlüssels über AWS CloudTrail überwachen. CloudTrail protokolliert jeden API-Aufruf für Ihren Schlüssel, einschließlich Aufrufen aus den Konten von Cognition, und bietet damit einen vollständigen Audit-Trail aller Ver- und Entschlüsselungsvorgänge.

FAQs

Ihr KMS-Schlüssel wird verwendet, um Kundendaten zu verschlüsseln, die in Amazon S3 in Ihrem dedizierten Tenant gespeichert sind, einschließlich Sitzungsdaten und VM-Snapshots.
Nein. Ihr KMS-Schlüssel muss sich in derselben AWS-Region wie Ihr Devin-Deployment befinden. Wenden Sie sich an Ihr Cognition-Account-Team, um die Region Ihres Tenants zu bestätigen.
Cognition erstellt und verwaltet in Ihrem Namen einen Verschlüsselungsschlüssel. Alle Daten bleiben im Ruhezustand verschlüsselt — mit CMK haben Sie lediglich direkte Kontrolle über den Schlüssel.
Nein. CMK ist derzeit nur für Enterprise-Dedicated-Deployments verfügbar.
Ja. Wenden Sie sich an Ihr Cognition-Account-Team, um die KMS-Schlüssel-ARN für Ihren Tenant zu aktualisieren. Bereits verschlüsselte Daten bleiben mit dem ursprünglichen Schlüssel verschlüsselt, sofern sie nicht erneut verschlüsselt werden.