Passer au contenu principal

Documentation Index

Fetch the complete documentation index at: https://docs.devinenterprise.com/llms.txt

Use this file to discover all available pages before exploring further.

Vue d’ensemble

Par défaut, Cognition chiffre toutes les données client au repos à l’aide de clés gérées par Cognition. Pour les organisations qui ont besoin d’un contrôle direct sur leurs clés de chiffrement, Devin prend en charge les clés gérées par le client (CMK) via AWS Key Management Service (KMS). Avec CMK, vous fournissez votre propre clé AWS KMS, que Cognition utilise pour chiffrer les données stockées dans votre tenant dédié, y compris les données de session et les snapshots de VM. Cela vous donne un contrôle total sur le cycle de vie de la clé, notamment la possibilité d’effectuer une rotation, de la désactiver ou de révoquer l’accès à tout moment.
CMK est disponible exclusivement pour les déploiements Enterprise Dedicated et doit être configuré lors du déploiement initial. Pour plus d’informations sur les modèles de déploiement, consultez déploiement Enterprise.

Comment cela fonctionne

Dans un déploiement Enterprise Dedicated, Devin stocke les données des clients dans des buckets Amazon S3 au sein de votre tenant dédié. Lorsque la CMK est activée :
  1. Votre clé AWS KMS est utilisée pour le chiffrement côté serveur de toutes les données écrites dans ces buckets S3.
  2. L’infrastructure de Cognition utilise la clé pour chiffrer les données lors de l’écriture et les déchiffrer lors de la lecture.
  3. Vous restez propriétaire de la clé dans votre propre compte AWS et pouvez gérer son cycle de vie indépendamment.
Si vous ne fournissez pas de clé KMS, Cognition crée et gère une clé de chiffrement en votre nom.

Prérequis

Avant de configurer CMK, assurez-vous de disposer des éléments suivants :
  • Un déploiement Enterprise Dedicated avec Cognition (CMK doit être configuré lors du déploiement initial)
  • Une clé AWS KMS dans la même région AWS que votre déploiement Devin
  • Les autorisations nécessaires pour modifier la politique de votre clé KMS
Contactez votre équipe de compte chez Cognition pour confirmer la région AWS de votre tenant dédié.

Configuration

Étape 1 : Créer ou sélectionner une clé KMS

Utilisez une clé AWS KMS symétrique existante ou créez-en une nouvelle dans la même région que votre tenant Cognition dédié. La clé doit être une clé de chiffrement symétrique (le type de clé par défaut dans AWS KMS).

Étape 2 : Configurer la stratégie de clé

Mettez à jour votre stratégie de clé KMS afin d’autoriser les comptes AWS de Cognition à utiliser la clé pour le chiffrement et le déchiffrement. Ajoutez la déclaration suivante à votre stratégie de clé : 
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::272506498303:root",
                    "arn:aws:iam::063509147090:root"
                ]
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        }
    ]
}
  1. Ouvrez la console AWS KMS.
  2. Sélectionnez votre clé, puis accédez à l’onglet Key policy.
  3. Sélectionnez Edit.
  4. Ajoutez la déclaration ci-dessus au tableau Statement de votre politique de clé existante.
  5. Enregistrez la politique.

Étape 3 : Fournir l’ARN de la clé à Cognition

Envoyez l’ARN de votre clé KMS à votre Team Cognition en charge de votre compte. L’ARN se présente au format suivant : 
arn:aws:kms:<region>:<your-account-id>:key/<key-id>
Une fois que Cognition aura reçu l’ARN de votre clé, la Team configurera votre tenant dédié pour le chiffrement. Aucune autre action n’est requise de votre part.

Gestion des clés

Rotation des clés

AWS KMS prend en charge la rotation automatique des clés pour les clés gérées par le client. Lorsqu’elle est activée, AWS crée automatiquement chaque année un nouveau matériel cryptographique pour votre clé, tout en conservant l’ancien afin de déchiffrer les données chiffrées précédemment. Cognition recommande d’activer la rotation automatique des clés.

Révocation de l’accès

Vous pouvez révoquer à tout moment l’accès de Cognition à votre clé KMS en supprimant la déclaration de stratégie ajoutée à l’Étape 2. Notez que la révocation de cet accès empêchera Cognition de lire ou d’écrire des données chiffrées dans votre tenant, ce qui perturbera le fonctionnement de Devin jusqu’au rétablissement de l’accès.
La désactivation ou la suppression de votre clé KMS, ou la révocation de l’accès de Cognition, rendra illisibles toutes les données client chiffrées de votre tenant. Assurez-vous de bien comprendre les implications avant d’apporter des modifications à votre clé ou à sa stratégie.

Suivi de l’utilisation de la clé

Vous pouvez suivre toute l’utilisation de votre clé KMS via AWS CloudTrail. CloudTrail enregistre chaque appel d’API effectué sur votre clé, y compris les appels provenant des comptes Cognition, ce qui fournit une piste d’audit complète des opérations de chiffrement et de déchiffrement.

FAQ

Votre clé KMS sert à chiffrer les données client stockées dans Amazon S3 dans votre tenant dédié, y compris les données de session et les snapshots de VM.
Non. Votre clé KMS doit se trouver dans la même région AWS que votre déploiement Devin. Contactez l’équipe Cognition en charge de votre compte pour confirmer la région de votre tenant.
Cognition créera et gérera une clé de chiffrement pour votre compte. Toutes les données restent chiffrées au repos — la CMK vous donne simplement un contrôle direct sur la clé.
Non. La CMK est actuellement disponible uniquement pour les déploiements Enterprise Dedicated.
Oui. Contactez l’équipe Cognition en charge de votre compte pour mettre à jour l’ARN de la clé KMS de votre tenant. Les données déjà chiffrées resteront chiffrées avec la clé d’origine, sauf si elles sont rechiffrées.