概述
CMK 仅适用于 Enterprise Dedicated 部署,且必须在初始部署设置时完成配置。有关部署模型的更多信息,请参阅 企业部署。
工作原理
- 你的 AWS KMS 密钥将用于对写入这些 S3 存储桶的所有数据进行服务器端加密。
- Cognition 的基础架构会在写入时使用该密钥加密数据,并在读取时使用该密钥解密数据。
- 你仍然拥有自己 AWS 账户中的该密钥,并且可以独立管理其生命周期。
先决条件
- 在 Cognition 上使用 Enterprise Dedicated 部署 (CMK 必须在初始部署时完成配置)
- 一个与 Devin 部署位于同一 AWS 区域的 AWS KMS 密钥
- 修改 KMS 密钥策略并创建密钥别名的权限
请联系你的 Cognition 账户团队,确认你的专用租户所在的 AWS 区域。
设置
步骤 1:创建或选择 KMS 密钥
步骤 2:添加密钥别名
devin-customer-managed-key 添加到你的 KMS 密钥。Cognition 的基础架构需要使用这个精确的别名来定位该密钥并将其用于加密。
- AWS 控制台
- AWS CLI
- 打开 AWS KMS 控制台。
- 选择你的密钥,然后前往 Aliases 选项卡。
- 选择 Create alias。
- 输入
devin-customer-managed-key作为别名名称。 - 保存别名。
步骤 3:配置密钥策略
- AWS 控制台
- AWS CLI
- 打开 AWS KMS 控制台。
- 选择你的密钥,然后前往 Key policy 选项卡。
- 选择 Edit。
- 将上述语句添加到现有密钥策略的
Statement数组中。 - 保存策略。
步骤 4:向 Cognition 账户团队提供密钥 ARN
密钥管理
密钥轮换
撤销访问权限
监控密钥用量
常见问题
哪些数据会使用我的 KMS 密钥加密?
哪些数据会使用我的 KMS 密钥加密?
你的 KMS 密钥用于加密存储在专用租户内 Amazon S3 中的客户数据,包括会话数据和 VM 快照。
我可以使用其他 AWS 区域的 KMS 密钥吗?
我可以使用其他 AWS 区域的 KMS 密钥吗?
不可以。你的 KMS 密钥必须与你的 Devin 部署位于同一 AWS 区域。请联系你的 Cognition 账户团队,确认你的租户所在区域。
如果我不提供 KMS 密钥,会发生什么?
如果我不提供 KMS 密钥,会发生什么?
Cognition 将代表你创建并管理一个加密密钥。所有数据在静态存储时仍会被加密——CMK 只是让你能够直接控制该密钥。
CMK 是否适用于 Enterprise Cloud 部署?
CMK 是否适用于 Enterprise Cloud 部署?
不适用。CMK 目前仅适用于 Enterprise Dedicated 部署。
完成初始设置后,我可以更换 KMS 密钥吗?
完成初始设置后,我可以更换 KMS 密钥吗?
可以。请联系你的 Cognition 账户团队,更新你租户的 KMS 密钥 ARN。此前已加密的数据将继续使用原始密钥加密,除非重新加密。

