Pular para o conteúdo principal

Documentation Index

Fetch the complete documentation index at: https://docs.devinenterprise.com/llms.txt

Use this file to discover all available pages before exploring further.

Visão geral

Por padrão, a Cognition criptografa todos os dados dos clientes em repouso usando chaves gerenciadas pela própria Cognition. Para organizações que precisam de controle direto sobre suas chaves de criptografia, o Devin oferece suporte a chaves gerenciadas pelo cliente (CMK) com o AWS Key Management Service (KMS). Com o CMK, você fornece sua própria chave do AWS KMS, e a Cognition a utiliza para criptografar os dados armazenados no seu tenant dedicado — incluindo dados de sessão e snapshots de VM. Isso dá a você controle total sobre o ciclo de vida da chave, incluindo a capacidade de rotacioná-la, desativá-la ou revogar o acesso a qualquer momento.
O CMK está disponível exclusivamente para implantações Enterprise Dedicated e deve ser configurado durante a configuração inicial da implantação. Para mais informações sobre os modelos de implantação, consulte Enterprise Deployment.

Como funciona

Em uma implantação Enterprise Dedicated, o Devin armazena os dados do cliente em buckets do Amazon S3 dentro do seu tenant dedicado. Quando a CMK está ativada:
  1. Sua chave do AWS KMS é usada para criptografia do lado do servidor de todos os dados gravados nesses buckets do S3.
  2. A infraestrutura da Cognition usa a chave para criptografar os dados no momento da gravação e descriptografá-los no momento da leitura.
  3. Você mantém a propriedade da chave na sua própria conta AWS e pode gerenciar seu ciclo de vida de forma independente.
Se você não fornecer uma chave do KMS, a Cognition criará e gerenciará uma chave de criptografia em seu nome.

Pré-requisitos

Antes de configurar o CMK, verifique se você tem:
  • Uma implantação Enterprise Dedicated com a Cognition (o CMK deve ser configurado durante a implantação inicial)
  • Uma chave do AWS KMS na mesma região da AWS que a implantação do seu Devin
  • Permissões para modificar a política da sua chave do KMS
Entre em contato com a equipe de conta da Cognition para confirmar a região da AWS do seu tenant dedicado.

Configuração

Etapa 1: Criar ou selecionar uma chave do AWS KMS

Use uma chave simétrica existente do AWS KMS ou crie uma nova na mesma região do seu tenant dedicado da Cognition. A chave deve ser uma chave de criptografia simétrica (o tipo de chave padrão do AWS KMS).

Etapa 2: Configurar a política da chave

Atualize a política da sua chave do AWS KMS para permitir que as contas da AWS da Cognition usem a chave para criptografia e descriptografia. Adicione a seguinte declaração à política da sua chave: 
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::272506498303:root",
                    "arn:aws:iam::063509147090:root"
                ]
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        }
    ]
}
  1. Abra o Console do AWS KMS.
  2. Selecione sua chave e vá para a aba Política da chave.
  3. Escolha Editar.
  4. Adicione a declaração acima ao array Statement da política da chave existente.
  5. Salve a política.

Etapa 3: Forneça o ARN da chave à Cognition

Envie o ARN da sua chave do KMS para a equipe responsável pela sua conta na Cognition. O ARN tem o seguinte formato: 
arn:aws:kms:<region>:<your-account-id>:key/<key-id>
Assim que a Cognition receber o ARN da sua chave, a equipe configurará seu tenant dedicado para usá-lo na criptografia. Não é necessária nenhuma outra ação da sua parte.

Gerenciamento de chaves

Rotação de chaves

O AWS KMS oferece suporte à rotação automática de chaves para chaves gerenciadas pelo cliente. Quando ativada, a AWS cria automaticamente um novo material criptográfico para sua chave a cada ano, mantendo o material antigo para descriptografar dados criptografados anteriormente. A Cognition recomenda ativar a rotação automática de chaves.

Revogando o acesso

Você pode revogar o acesso da Cognition à sua chave do AWS KMS a qualquer momento removendo a instrução de política adicionada na etapa 2. Observe que revogar esse acesso impedirá a Cognition de ler ou gravar dados criptografados no seu tenant, o que interromperá o funcionamento do Devin até que o acesso seja restaurado.
Desativar ou excluir sua chave do AWS KMS, ou revogar o acesso da Cognition, tornará ilegíveis todos os dados criptografados de clientes no seu tenant. Certifique-se de entender as implicações antes de fazer alterações na sua chave ou na política dela.

Monitoramento do uso da chave do AWS KMS

Você pode monitorar todo o uso da sua chave do AWS KMS por meio do AWS CloudTrail. O CloudTrail registra cada chamada à API feita para a sua chave, incluindo chamadas das contas da Cognition, fornecendo uma trilha de auditoria completa das operações de criptografia e descriptografia.

Perguntas frequentes

Sua chave do AWS KMS é usada para criptografar os dados de clientes armazenados no Amazon S3 dentro do seu tenant dedicado, incluindo dados de sessão e snapshots de VM.
Não. Sua chave do AWS KMS deve estar na mesma região da AWS que a implantação do seu Devin. Entre em contato com a equipe da sua conta na Cognition para confirmar a região do seu tenant.
A Cognition criará e gerenciará uma chave de criptografia em seu nome. Todos os dados continuam criptografados em repouso — a CMK apenas dá a você controle direto sobre a chave.
Não. No momento, a CMK está disponível apenas para implantações Enterprise Dedicated.
Sim. Entre em contato com a equipe da sua conta na Cognition para atualizar o ARN da chave do AWS KMS do seu tenant. Os dados criptografados anteriormente permanecerão criptografados com a chave original, a menos que sejam criptografados novamente.