概要
CMKはEnterprise Dedicated Deploymentデプロイでのみ利用でき、初回デプロイの設定時に構成する必要があります。デプロイモデルの詳細については、Enterprise Deploymentを参照してください。
仕組み
- お客様の AWS KMS キーは、これらの S3 バケットに書き込まれるすべてのデータのサーバー側暗号化に使用されます。
- Cognition のインフラストラクチャは、このキーを使用して、データの書き込み時に暗号化し、読み取り時に復号します。
- キーの所有権はお客様自身の AWS アカウントにあり、そのライフサイクルもお客様自身で管理できます。
前提条件
- Cognition の Enterprise Dedicated Deployment デプロイメントを利用していること (CMK は初回デプロイ時に設定する必要があります)
- Devin のデプロイメントと 同じ AWS リージョン に AWS KMS キー があること
- KMS キーポリシーを変更し、キーエイリアスを作成する権限があること
専用テナントの AWS リージョンを確認するには、Cognition の担当アカウントチームにお問い合わせください。
構成
ステップ 1: KMS キーを作成または選択
ステップ 2: キーエイリアスを追加する
devin-customer-managed-key を追加します。Cognition のインフラストラクチャが暗号化に使用するキーを特定して利用できるようにするため、この正確なエイリアスが必要です。
- AWS コンソール
- AWS CLI
- AWS KMS Console を開きます。
- キーを選択し、Aliases タブを開きます。
- Create alias を選択します。
- エイリアス名として
devin-customer-managed-keyを入力します。 - エイリアスを保存します。
ステップ 3: キーポリシーを設定する
- AWS コンソール
- AWS CLI
- AWS KMS Console を開きます。
- キーを選択し、Key policy タブを開きます。
- Edit を選択します。
- 既存のキーポリシーの
Statement配列に、上記のステートメントを追加します。 - ポリシーを保存します。
ステップ 4: キー ARN を Cognition に共有する
キー管理
キーのローテーション
アクセスの取り消し
KMS キー使用状況の監視
よくある質問
どのデータが KMS キーで暗号化されますか?
どのデータが KMS キーで暗号化されますか?
KMS キーは、専用テナント内の Amazon S3 に保存される顧客データ (セッションデータや VM スナップショットを含む) の暗号化に使用されます。
別の AWS リージョンの KMS キーは利用できますか?
別の AWS リージョンの KMS キーは利用できますか?
いいえ。KMS キーは、Devin のデプロイメントと同じ AWS リージョンに存在している必要があります。テナントのリージョンについては、Cognition の担当アカウントチームにお問い合わせください。
KMS キーを提供しない場合はどうなりますか?
KMS キーを提供しない場合はどうなりますか?
Cognition がお客様に代わって暗号化キーを作成し、管理します。データはすべて保存時に暗号化されます。CMK を使用すると、キーをお客様が直接管理できます。
CMK は Enterprise Cloud デプロイメントで利用できますか?
CMK は Enterprise Cloud デプロイメントで利用できますか?
いいえ。現在、CMK を利用できるのは Enterprise Dedicated Deployment デプロイメントのみです。
初期セットアップ後に KMS キーを変更できますか?
初期セットアップ後に KMS キーを変更できますか?
はい。テナントの KMS キー ARN を更新するには、Cognition の担当アカウントチームにお問い合わせください。すでに暗号化されているデータは、再暗号化しない限り、元のキーで暗号化されたままになります。

