> ## Documentation Index
> Fetch the complete documentation index at: https://docs.devin.ai/llms.txt
> Use this file to discover all available pages before exploring further.

# Kundenseitig verwaltete Schlüssel

> Verwenden Sie Ihren eigenen AWS-KMS-Schlüssel, um Daten im Ruhezustand in Ihrem dedizierten Deployment von Devin Enterprise zu verschlüsseln.

<div id="overview">
  ## Überblick
</div>

Standardmäßig verschlüsselt Cognition alle gespeicherten Kundendaten mit von Cognition verwalteten Schlüsseln. Für Organisationen, die direkte Kontrolle über ihre Verschlüsselungsschlüssel benötigen, unterstützt Devin **Customer Managed Keys (CMK)** über [AWS Key Management Service (KMS)](https://aws.amazon.com/kms/).

Mit CMK stellen Sie Ihren eigenen AWS-KMS-Schlüssel bereit, und Cognition verwendet ihn zur Verschlüsselung der in Ihrem dedizierten Tenant gespeicherten Daten — einschließlich Sitzungsdaten und VM-Snapshots. Dadurch haben Sie die volle Kontrolle über den Lebenszyklus des Schlüssels, einschließlich der Möglichkeit, ihn jederzeit zu rotieren, zu deaktivieren oder den Zugriff darauf zu entziehen.

<Note>
  CMK ist ausschließlich für **Enterprise Dedicated**-Deployments verfügbar und muss bei der initialen Deployment-Einrichtung konfiguriert werden. Weitere Informationen zu Deployment-Modellen finden Sie unter [Enterprise Deployment](/de/enterprise/deployment/overview).
</Note>

<div id="how-it-works">
  ## So funktioniert es
</div>

In einem Enterprise Dedicated-Deployment speichert Devin Kundendaten in Amazon-S3-Buckets innerhalb Ihres dedizierten Tenants. Wenn CMK aktiviert ist:

1. Ihr AWS-KMS-Schlüssel wird für die **serverseitige Verschlüsselung** aller Daten verwendet, die in diese S3-Buckets geschrieben werden.
2. Die Cognition-Infrastruktur verwendet den Schlüssel, um Daten beim Schreiben zu verschlüsseln und beim Lesen zu entschlüsseln.
3. Der Schlüssel bleibt in Ihrem Besitz und in Ihrem eigenen AWS-Konto, sodass Sie seinen Lebenszyklus unabhängig verwalten können.

Wenn Sie keinen KMS-Schlüssel bereitstellen, erstellt und verwaltet Cognition in Ihrem Auftrag einen Verschlüsselungsschlüssel.

<div id="prerequisites">
  ## Voraussetzungen
</div>

Bevor Sie CMK einrichten, stellen Sie sicher, dass Sie über Folgendes verfügen:

* Ein **Enterprise Dedicated-Deployment** mit Cognition (CMK muss bei der erstmaligen Bereitstellung konfiguriert werden)
* Einen **AWS-KMS-Schlüssel** in **derselben AWS-Region** wie Ihre Devin-Bereitstellung
* Die erforderlichen Berechtigungen, um Ihre KMS-Schlüsselrichtlinie zu ändern und Schlüsselaliase zu erstellen

<Info>
  Wenden Sie sich an Ihr Cognition-Account-Team, um die AWS-Region Ihres dedizierten Tenants zu bestätigen.
</Info>

<div id="setup">
  ## Setup
</div>

<div id="step-1-create-or-select-a-kms-key">
  ### Schritt 1: Einen KMS-Schlüssel erstellen oder auswählen
</div>

Verwenden Sie entweder einen vorhandenen symmetrischen AWS-KMS-Schlüssel oder [erstellen Sie einen neuen](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) in derselben Region wie Ihr dedizierter Cognition-Tenant. Der Schlüssel muss ein **symmetrischer Verschlüsselungsschlüssel** sein (der Standard-Schlüsseltyp in AWS KMS).

<div id="step-2-add-a-key-alias">
  ### Schritt 2: Einen Schlüsselalias hinzufügen
</div>

Fügen Sie Ihrem KMS-Schlüssel den Alias **`devin-customer-managed-key`** hinzu. Die Infrastruktur von Cognition benötigt genau diesen Alias, um den Schlüssel für die Verschlüsselung zu finden und zu verwenden.

<Tabs>
  <Tab title="AWS-Konsole">
    1. Öffnen Sie die [AWS KMS-Konsole](https://console.aws.amazon.com/kms).
    2. Wählen Sie Ihren Schlüssel aus und wechseln Sie zur Registerkarte **Aliases**.
    3. Wählen Sie **Create alias**.
    4. Geben Sie `devin-customer-managed-key` als Aliasnamen ein.
    5. Speichern Sie den Alias.
  </Tab>

  <Tab title="AWS CLI">
    ```bash theme={null}
    aws kms create-alias \
        --alias-name alias/devin-customer-managed-key \
        --target-key-id <your-key-id>
    ```
  </Tab>
</Tabs>

<div id="step-3-configure-the-key-policy">
  ### Schritt 3: Schlüsselrichtlinie konfigurieren
</div>

Aktualisieren Sie Ihre KMS-Schlüsselrichtlinie, um den AWS-Konten von Cognition die Verwendung des Schlüssels zur Ver- und Entschlüsselung zu erlauben. Fügen Sie Ihrer Schlüsselrichtlinie die folgende Anweisung hinzu:

```json theme={null}
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::272506498303:root",
                    "arn:aws:iam::063509147090:root"
                ]
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        }
    ]
}
```

<Tabs>
  <Tab title="AWS-Konsole">
    1. Öffnen Sie die [AWS KMS-Konsole](https://console.aws.amazon.com/kms).
    2. Wählen Sie Ihren Schlüssel aus und wechseln Sie zur Registerkarte **Schlüsselrichtlinie**.
    3. Wählen Sie **Edit**.
    4. Fügen Sie die obige Anweisung dem `Statement`-Array in Ihrer vorhandenen Schlüsselrichtlinie hinzu.
    5. Speichern Sie die Richtlinie.
  </Tab>

  <Tab title="AWS CLI">
    ```bash theme={null}
    # Rufen Sie zunächst Ihre aktuelle Schlüsselrichtlinie ab
    aws kms get-key-policy \
        --key-id <your-key-id> \
        --policy-name default \
        --output text > key-policy.json

    # Bearbeiten Sie key-policy.json, um die obige Anweisung hinzuzufügen,
    # und übernehmen Sie anschließend die aktualisierte Richtlinie
    aws kms put-key-policy \
        --key-id <your-key-id> \
        --policy-name default \
        --policy file://key-policy.json
    ```
  </Tab>
</Tabs>

<div id="step-4-provide-the-key-arn-to-cognition">
  ### Schritt 4: Teilen Sie Cognition die KMS-Schlüssel-ARN mit
</div>

Senden Sie die KMS-Schlüssel-ARN Ihres KMS-Schlüssels an Ihr Account-Team bei Cognition. Die ARN hat folgendes Format:

```text theme={null}
arn:aws:kms:<region>:<your-account-id>:key/<key-id>
```

Sobald Cognition die KMS-Schlüssel-ARN Ihres Schlüssels erhalten hat, konfiguriert das Team Ihren dedizierten Tenant so, dass dieser Schlüssel zur Verschlüsselung verwendet wird. Sie müssen nichts weiter tun.

<div id="key-management">
  ## Schlüsselverwaltung
</div>

<div id="key-rotation">
  ### Schlüsselrotation
</div>

AWS KMS unterstützt die [automatische Schlüsselrotation](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html) für vom Kunden verwaltete Schlüssel. Wenn sie aktiviert ist, erstellt AWS jedes Jahr automatisch neues kryptografisches Material für Ihren Schlüssel und behält das alte Material bei, um zuvor verschlüsselte Daten zu entschlüsseln. Cognition empfiehlt, die automatische Schlüsselrotation zu aktivieren.

<div id="revoking-access">
  ### Zugriff widerrufen
</div>

Sie können den Zugriff von Cognition auf Ihren KMS-Schlüssel jederzeit widerrufen, indem Sie die in [Schritt 3](#step-3-configure-the-key-policy) hinzugefügte Richtlinienanweisung entfernen. Beachten Sie, dass Cognition nach dem Widerruf des Zugriffs keine verschlüsselten Daten in Ihrem Tenant mehr lesen oder schreiben kann. Dadurch wird die Funktionalität von Devin beeinträchtigt, bis der Zugriff wiederhergestellt ist.

<Warning>
  Wenn Sie Ihren KMS-Schlüssel deaktivieren oder löschen oder den Zugriff von Cognition widerrufen, werden alle verschlüsselten Kundendaten in Ihrem Tenant unlesbar. Vergewissern Sie sich, dass Sie die Auswirkungen verstehen, bevor Sie Änderungen an Ihrem Schlüssel oder dessen Richtlinie vornehmen.
</Warning>

<div id="monitoring-key-usage">
  ### Überwachung der Schlüsselnutzung
</div>

Sie können die gesamte Nutzung Ihres KMS-Schlüssels über [AWS CloudTrail](https://docs.aws.amazon.com/kms/latest/developerguide/logging-using-cloudtrail.html) überwachen. CloudTrail protokolliert jeden API-Aufruf für Ihren Schlüssel, einschließlich Aufrufen aus den Konten von Cognition, und bietet damit einen vollständigen Audit-Trail aller Ver- und Entschlüsselungsvorgänge.

<div id="faqs">
  ## FAQs
</div>

<AccordionGroup>
  <Accordion title="Welche Daten werden mit meinem KMS-Schlüssel verschlüsselt?">
    Ihr KMS-Schlüssel wird verwendet, um Kundendaten zu verschlüsseln, die in Amazon S3 in Ihrem dedizierten Tenant gespeichert sind, einschließlich Sitzungsdaten und VM-Snapshots.
  </Accordion>

  <Accordion title="Kann ich einen KMS-Schlüssel aus einer anderen AWS-Region verwenden?">
    Nein. Ihr KMS-Schlüssel muss sich in derselben AWS-Region wie Ihr Devin-Deployment befinden. Wenden Sie sich an Ihr Cognition-Account-Team, um die Region Ihres Tenants zu bestätigen.
  </Accordion>

  <Accordion title="Was passiert, wenn ich keinen KMS-Schlüssel angebe?">
    Cognition erstellt und verwaltet in Ihrem Namen einen Verschlüsselungsschlüssel. Alle Daten bleiben im Ruhezustand verschlüsselt — mit CMK haben Sie lediglich direkte Kontrolle über den Schlüssel.
  </Accordion>

  <Accordion title="Ist CMK für Enterprise Cloud-Deployments verfügbar?">
    Nein. CMK ist derzeit nur für Enterprise-Dedicated-Deployments verfügbar.
  </Accordion>

  <Accordion title="Kann ich meinen KMS-Schlüssel nach dem initialen Setup ändern?">
    Ja. Wenden Sie sich an Ihr Cognition-Account-Team, um die KMS-Schlüssel-ARN für Ihren Tenant zu aktualisieren. Bereits verschlüsselte Daten bleiben mit dem ursprünglichen Schlüssel verschlüsselt, sofern sie nicht erneut verschlüsselt werden.
  </Accordion>
</AccordionGroup>
