Documentation Index
Fetch the complete documentation index at: https://docs.devinenterprise.com/llms.txt
Use this file to discover all available pages before exploring further.
默认情况下,Cognition 会使用由其管理的密钥,对所有静态存储的客户数据进行加密。对于需要直接掌控加密密钥的组织,Devin 支持通过 AWS Key Management Service (KMS) 使用 客户托管密钥 (CMK)。
使用 CMK 时,你需要提供自己的 AWS KMS 密钥,Cognition 会使用该密钥对存储在你的专用租户中的数据进行加密,其中包括会话数据和 VM 快照。这意味着你可以完全控制密钥的整个生命周期,并可随时轮换、禁用或撤销其访问权限。
CMK 仅适用于 Enterprise Dedicated 部署,且必须在初始部署设置时完成配置。有关部署模型的更多信息,请参阅 企业部署。
- 你的 AWS KMS 密钥将用于对写入这些 S3 存储桶的所有数据进行服务器端加密。
- Cognition 的基础架构会在写入时使用该密钥加密数据,并在读取时使用该密钥解密数据。
- 你仍然拥有自己 AWS 账户中的该密钥,并且可以独立管理其生命周期。
如果你未提供 KMS 密钥,Cognition 会代表你创建并管理一个加密密钥。
在设置 CMK 之前,请确保你已具备:
- 在 Cognition 上使用 Enterprise Dedicated 部署 (CMK 必须在初始部署时完成配置)
- 一个与 Devin 部署位于同一 AWS 区域的 AWS KMS 密钥
- 修改 KMS 密钥策略的权限
请联系你的 Cognition 账户团队,确认你的专用租户所在的 AWS 区域。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::272506498303:root",
"arn:aws:iam::063509147090:root"
]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
}
]
}
- 打开 AWS KMS 控制台。
- 选择你的密钥,然后前往 Key policy 选项卡。
- 选择 Edit。
- 将上述语句添加到现有密钥策略的
Statement 数组中。
- 保存策略。
# 首先,获取当前的密钥策略
aws kms get-key-policy \
--key-id <your-key-id> \
--policy-name default \
--output text > key-policy.json
# 编辑 key-policy.json,添加上述语句,
# 然后应用更新后的策略
aws kms put-key-policy \
--key-id <your-key-id> \
--policy-name default \
--policy file://key-policy.json
步骤 3:向 Cognition 账户团队提供密钥 ARN
arn:aws:kms:<region>:<your-account-id>:key/<key-id>
禁用或删除你的 KMS 密钥,或撤销 Cognition 的访问权限,都将导致你租户中的所有已加密客户数据无法读取。请在更改你的密钥或其策略之前,确保你已了解相关影响。
你的 KMS 密钥用于加密存储在专用租户内 Amazon S3 中的客户数据,包括会话数据和 VM 快照。
不可以。你的 KMS 密钥必须与你的 Devin 部署位于同一 AWS 区域。请联系你的 Cognition 账户团队,确认你的租户所在区域。
Cognition 将代表你创建并管理一个加密密钥。所有数据在静态存储时仍会被加密——CMK 只是让你能够直接控制该密钥。
CMK 是否适用于 Enterprise Cloud 部署?
不适用。CMK 目前仅适用于 Enterprise Dedicated 部署。
可以。请联系你的 Cognition 账户团队,更新你租户的 KMS 密钥 ARN。此前已加密的数据将继续使用原始密钥加密,除非重新加密。
