Saltar al contenido principal

Documentation Index

Fetch the complete documentation index at: https://docs.devinenterprise.com/llms.txt

Use this file to discover all available pages before exploring further.

Descripción general

De forma predeterminada, Cognition cifra todos los datos de los clientes en reposo mediante claves gestionadas por Cognition. Para las organizaciones que necesitan control directo sobre sus claves de cifrado, Devin es compatible con claves gestionadas por el cliente (CMK) mediante AWS Key Management Service (KMS). Con CMK, proporcionas tu propia clave de AWS KMS y Cognition la utiliza para cifrar los datos almacenados en tu tenant dedicado, incluidos los datos de sesión y las instantáneas de VM. Esto te da control total sobre el ciclo de vida de la clave, incluida la capacidad de rotarla, deshabilitarla o revocar el acceso en cualquier momento.
CMK está disponible exclusivamente para despliegues Enterprise Dedicated y debe configurarse durante la configuración inicial del despliegue. Para obtener más información sobre los modelos de despliegue, consulta Despliegue Enterprise.

Cómo funciona

En un despliegue dedicado Enterprise, Devin almacena los datos del cliente en buckets de Amazon S3 dentro de tu tenant dedicado. Cuando se habilita CMK:
  1. Tu clave de AWS KMS se utiliza para el cifrado del lado del servidor de todos los datos escritos en estos buckets de S3.
  2. La infraestructura de Cognition usa la clave para cifrar los datos al escribirse y descifrarlos al leerse.
  3. Conservas la propiedad de la clave en tu propia cuenta de AWS y puedes gestionar su ciclo de vida de forma independiente.
Si no proporcionas una clave de KMS, Cognition crea y gestiona una clave de cifrado en tu nombre.

Requisitos previos

Antes de configurar CMK, asegúrate de contar con lo siguiente:
  • Un despliegue Enterprise Dedicated con Cognition (CMK debe configurarse durante el despliegue inicial)
  • Una clave de AWS KMS en la misma región de AWS que tu despliegue de Devin
  • Permisos para modificar la política de tu clave de KMS
Ponte en contacto con el equipo de Cognition que gestiona tu cuenta para confirmar la región de AWS de tu tenant dedicado.

Configuración

Paso 1: Crear o seleccionar una clave de KMS

Usa una clave simétrica existente de AWS KMS o crea una nueva en la misma región que tu tenant dedicado de Cognition. La clave debe ser una clave de cifrado simétrica (el tipo de clave predeterminado de AWS KMS).

Paso 2: Configurar la política de la clave

Actualiza la política de tu clave de KMS para permitir que las cuentas de AWS de Cognition usen la clave para cifrar y descifrar. Agrega la siguiente declaración a la política de tu clave: 
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::272506498303:root",
                    "arn:aws:iam::063509147090:root"
                ]
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        }
    ]
}
  1. Abre la consola de AWS KMS.
  2. Selecciona tu clave y ve a la pestaña Key policy.
  3. Elige Edit.
  4. Agrega la declaración anterior al arreglo Statement de la política de tu clave existente.
  5. Guarda la política.

Paso 3: Proporciona el ARN de la clave a Cognition

Envía el ARN de tu clave de KMS al equipo de tu cuenta de Cognition. El ARN tiene el siguiente formato: 
arn:aws:kms:<region>:<your-account-id>:key/<key-id>
Una vez que Cognition reciba el ARN de tu clave, el equipo configurará tu tenant dedicado para usarlo en el cifrado. No se requiere ninguna otra acción por tu parte.

Gestión de claves

Rotación de claves

AWS KMS admite la rotación automática de claves para las claves gestionadas por el cliente. Cuando está habilitada, AWS crea automáticamente nuevo material criptográfico para tu clave cada año, mientras conserva el material anterior para descifrar datos previamente cifrados. Cognition recomienda habilitar la rotación automática de claves.

Revocar el acceso

Puedes revocar el acceso de Cognition a tu clave de KMS en cualquier momento eliminando la declaración de política agregada en el Paso 2. Ten en cuenta que, al revocar el acceso, Cognition no podrá leer ni escribir datos cifrados en tu tenant, lo que afectará al funcionamiento de Devin hasta que se restablezca el acceso.
Deshabilitar o eliminar tu clave de KMS, o revocar el acceso de Cognition, hará que todos los datos cifrados de clientes en tu tenant queden ilegibles. Asegúrate de comprender las implicaciones antes de hacer cambios en tu clave o en su política.

Supervisión del uso de la clave

Puedes supervisar todo el uso de tu clave de KMS a través de AWS CloudTrail. CloudTrail registra cada llamada a la API hecha con tu clave, incluidas las llamadas desde las cuentas de Cognition, lo que proporciona un registro de auditoría completo de las operaciones de cifrado y descifrado.

Preguntas frecuentes

Tu clave de KMS se utiliza para cifrar los datos del cliente almacenados en Amazon S3 dentro de tu tenant dedicado, incluidos los datos de sesión y las instantáneas de VM.
No. Tu clave de KMS debe estar en la misma región de AWS que tu despliegue de Devin. Ponte en contacto con tu equipo de cuenta de Cognition para confirmar la región de tu tenant.
Cognition creará y gestionará una clave de cifrado en tu nombre. Todos los datos seguirán cifrados en reposo; CMK simplemente te da control directo sobre la clave.
No. Actualmente, CMK solo está disponible para despliegues de Enterprise Dedicated.
Sí. Ponte en contacto con tu equipo de cuenta de Cognition para actualizar el ARN de la clave de KMS de tu tenant. Los datos cifrados previamente permanecerán cifrados con la clave original, a menos que se vuelvan a cifrar.