メインコンテンツへスキップ

Documentation Index

Fetch the complete documentation index at: https://docs.devinenterprise.com/llms.txt

Use this file to discover all available pages before exploring further.

概要

デフォルトでは、Cognitionは保存データであるすべての顧客データを、Cognition管理のキーを使用して暗号化します。暗号化キーを組織側で直接管理する必要がある場合、Devin は AWS Key Management Service (KMS) を使用する**顧客管理キー (CMK) **に対応しています。 CMKを使用すると、お客様自身の AWS KMS キーを指定でき、Cognition はそのキーを使って専用テナントに保存されたデータ (セッションデータや VM スナップショットを含む) を暗号化します。これにより、キーのローテーション、無効化、アクセスの取り消しなど、キーのライフサイクルをいつでも完全に制御できます。
CMKはEnterprise Dedicated Deploymentデプロイでのみ利用でき、初回デプロイの設定時に構成する必要があります。デプロイモデルの詳細については、Enterprise Deploymentを参照してください。

仕組み

Enterprise Dedicated Deployment deployment では、Devin はお客様の専用テナント内の Amazon S3 バケットに顧客データを保存します。CMK を有効にすると:
  1. お客様の AWS KMS キーは、これらの S3 バケットに書き込まれるすべてのデータのサーバー側暗号化に使用されます。
  2. Cognition のインフラストラクチャは、このキーを使用して、データの書き込み時に暗号化し、読み取り時に復号します。
  3. キーの所有権はお客様自身の AWS アカウントにあり、そのライフサイクルもお客様自身で管理できます。
KMS キーを指定しない場合、Cognition がお客様に代わって暗号化キーを作成し、管理します。

前提条件

CMK を設定する前に、以下を満たしていることを確認してください。
  • Cognition の Enterprise Dedicated Deployment デプロイメントを利用していること (CMK は初回デプロイ時に設定する必要があります)
  • Devin のデプロイメントと 同じ AWS リージョンAWS KMS キー があること
  • KMS キーポリシーを変更する権限があること
専用テナントの AWS リージョンを確認するには、Cognition のアカウントチームにお問い合わせください。

構成

ステップ 1: KMS キーを作成または選択

Cognition 専用テナントと同じリージョンにある既存の対称 AWS KMS キーを利用するか、新しいキーを作成します。キーは 対称暗号化キー (AWS KMS のデフォルトのキータイプ) である必要があります。

ステップ 2: キーポリシーを設定する

KMS キーポリシーを更新し、Cognition の AWS アカウントがそのキーを使用して暗号化および復号できるようにします。以下のステートメントをキーポリシーに追加してください。 
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::272506498303:root",
                    "arn:aws:iam::063509147090:root"
                ]
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        }
    ]
}
  1. AWS KMS Console を開きます。
  2. キーを選択し、Key policy タブを開きます。
  3. Edit を選択します。
  4. 既存のキーポリシーの Statement 配列に、上記のステートメントを追加します。
  5. ポリシーを保存します。

ステップ 3: キー ARN を Cognition に共有する

KMS キーの ARN を Cognition のアカウント担当チームに送信してください。ARN の形式は次のとおりです。 
arn:aws:kms:<region>:<your-account-id>:key/<key-id>
Cognitionがお客様のキーARNを受領後、チームがお客様専用のテナントでそのキーを暗号化に利用するよう設定します。お客様側で追加の対応は不要です。

キー管理

キーのローテーション

AWS KMS は、カスタマーマネージドキーの自動キーローテーションをサポートしています。有効にすると、AWS は毎年キーの新しい暗号化マテリアルを自動的に作成し、以前に暗号化されたデータを復号できるよう、古いマテリアルは保持されます。Cognition では、自動キーローテーションを有効にすることを推奨しています。

アクセスの取り消し

ステップ 2 で追加したポリシーステートメントを削除すると、Cognition の KMS キーへのアクセスはいつでも取り消せます。アクセスを取り消すと、Cognition はお客様のテナント内の暗号化データを読み書きできなくなり、アクセスが復旧するまで Devin の機能に支障が生じますので、ご注意ください。
KMS キーを無効化または削除したり、Cognition のアクセスを取り消したりすると、お客様のテナント内の暗号化されたすべての顧客データが読み取れなくなります。キーまたはそのポリシーを変更する前に、影響を十分に理解したうえで実施してください。

KMS キー使用状況の監視

AWS CloudTrail を使用すると、KMS キーのすべての使用状況を監視できます。CloudTrail には、Cognition のアカウントからの呼び出しを含め、そのキーに対して行われたすべてのAPIコールが記録されるため、暗号化および復号の操作について完全な監査証跡を確認できます。

よくある質問

KMS キーは、専用テナント内の Amazon S3 に保存される顧客データ (セッションデータや VM スナップショットを含む) の暗号化に使用されます。
いいえ。KMS キーは、Devin のデプロイメントと同じ AWS リージョンに存在している必要があります。テナントのリージョンについては、Cognition の担当アカウントチームにお問い合わせください。
Cognition がお客様に代わって暗号化キーを作成し、管理します。データはすべて保存時に暗号化されます。CMK を使用すると、キーをお客様が直接管理できます。
いいえ。現在、CMK を利用できるのは Enterprise Dedicated Deployment デプロイメントのみです。
はい。テナントの KMS キー ARN を更新するには、Cognition の担当アカウントチームにお問い合わせください。すでに暗号化されているデータは、再暗号化しない限り、元のキーで暗号化されたままになります。