> ## Documentation Index
> Fetch the complete documentation index at: https://docs.devin.ai/llms.txt
> Use this file to discover all available pages before exploring further.

# Clés gérées par le client

> Utilisez votre propre clé AWS KMS pour chiffrer les données au repos dans votre déploiement Enterprise Dedicated Devin.

<div id="overview">
  ## Vue d’ensemble
</div>

Par défaut, Cognition chiffre toutes les données client au repos à l’aide de clés gérées par Cognition. Pour les organisations qui ont besoin d’un contrôle direct sur leurs clés de chiffrement, Devin prend en charge les **clés gérées par le client (CMK)** via [AWS Key Management Service (KMS)](https://aws.amazon.com/kms/).

Avec CMK, vous fournissez votre propre clé AWS KMS, que Cognition utilise pour chiffrer les données stockées dans votre tenant dédié, y compris les données de session et les snapshots de VM. Cela vous donne un contrôle total sur le cycle de vie de la clé, notamment la possibilité d’effectuer une rotation, de la désactiver ou de révoquer l’accès à tout moment.

<Note>
  CMK est disponible exclusivement pour les déploiements **Enterprise Dedicated** et doit être configuré lors du déploiement initial. Pour plus d’informations sur les modèles de déploiement, consultez [déploiement Enterprise](/fr/enterprise/deployment/overview).
</Note>

<div id="how-it-works">
  ## Comment cela fonctionne
</div>

Dans un déploiement Enterprise Dedicated, Devin stocke les données des clients dans des buckets Amazon S3 au sein de votre tenant dédié. Lorsque la CMK est activée :

1. Votre clé AWS KMS est utilisée pour le **chiffrement côté serveur** de toutes les données écrites dans ces buckets S3.
2. L'infrastructure de Cognition utilise la clé pour chiffrer les données lors de l'écriture et les déchiffrer lors de la lecture.
3. Vous restez propriétaire de la clé dans votre propre compte AWS et pouvez gérer son cycle de vie indépendamment.

Si vous ne fournissez pas de clé KMS, Cognition crée et gère une clé de chiffrement en votre nom.

<div id="prerequisites">
  ## Prérequis
</div>

Avant de configurer CMK, assurez-vous de disposer des éléments suivants :

* Un déploiement **Enterprise Dedicated** avec Cognition (CMK doit être configuré lors du déploiement initial)
* Une **clé AWS KMS** dans la **même région AWS** que votre déploiement Devin
* Les autorisations nécessaires pour modifier la politique de votre clé KMS et créer des alias de clé

<Info>
  Contactez votre équipe en charge de votre compte Cognition pour confirmer la région AWS de votre tenant dédié.
</Info>

<div id="setup">
  ## Configuration
</div>

<div id="step-1-create-or-select-a-kms-key">
  ### Étape 1 : Créer ou sélectionner une clé KMS
</div>

Utilisez une clé AWS KMS symétrique existante ou [créez-en une nouvelle](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) dans la même région que votre tenant Cognition dédié. La clé doit être une **clé de chiffrement symétrique** (le type de clé par défaut dans AWS KMS).

<div id="step-2-add-a-key-alias">
  ### Étape 2 : Ajouter un alias de clé
</div>

Ajoutez l’alias **`devin-customer-managed-key`** à votre clé KMS. L’infrastructure de Cognition requiert exactement cet alias pour localiser et utiliser la clé pour le chiffrement.

<Tabs>
  <Tab title="Console AWS">
    1. Ouvrez la [console AWS KMS](https://console.aws.amazon.com/kms).
    2. Sélectionnez votre clé, puis accédez à l’onglet **Aliases**.
    3. Sélectionnez **Create alias**.
    4. Saisissez `devin-customer-managed-key` comme nom d’alias.
    5. Enregistrez l’alias.
  </Tab>

  <Tab title="AWS CLI">
    ```bash theme={null}
    aws kms create-alias \
        --alias-name alias/devin-customer-managed-key \
        --target-key-id <your-key-id>
    ```
  </Tab>
</Tabs>

<div id="step-3-configure-the-key-policy">
  ### Étape 3 : Configurer la stratégie de clé
</div>

Mettez à jour votre stratégie de clé KMS afin d’autoriser les comptes AWS de Cognition à utiliser la clé pour le chiffrement et le déchiffrement. Ajoutez la déclaration suivante à votre stratégie de clé :

```json theme={null}
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::272506498303:root",
                    "arn:aws:iam::063509147090:root"
                ]
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        }
    ]
}
```

<Tabs>
  <Tab title="Console AWS">
    1. Ouvrez la [console AWS KMS](https://console.aws.amazon.com/kms).
    2. Sélectionnez votre clé, puis accédez à l’onglet **Key policy**.
    3. Sélectionnez **Edit**.
    4. Ajoutez la déclaration ci-dessus au tableau `Statement` de votre politique de clé existante.
    5. Enregistrez la politique.
  </Tab>

  <Tab title="AWS CLI">
    ```bash theme={null}
    # Commencez par récupérer votre politique de clé actuelle
    aws kms get-key-policy \
        --key-id <your-key-id> \
        --policy-name default \
        --output text > key-policy.json

    # Modifiez key-policy.json pour ajouter la déclaration ci-dessus,
    # puis appliquez la politique mise à jour
    aws kms put-key-policy \
        --key-id <your-key-id> \
        --policy-name default \
        --policy file://key-policy.json
    ```
  </Tab>
</Tabs>

<div id="step-4-provide-the-key-arn-to-cognition">
  ### Étape 4 : Fournir l’ARN de la clé à Cognition
</div>

Envoyez l’ARN de votre clé KMS à votre équipe en charge de votre compte Cognition. L’ARN se présente au format suivant :

```text theme={null}
arn:aws:kms:<region>:<your-account-id>:key/<key-id>
```

Une fois que Cognition aura reçu l’ARN de votre clé, la Team configurera votre tenant dédié pour le chiffrement. Aucune autre action n’est requise de votre part.

<div id="key-management">
  ## Gestion des clés
</div>

<div id="key-rotation">
  ### Rotation des clés
</div>

AWS KMS prend en charge la [rotation automatique des clés](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html) pour les clés gérées par le client. Lorsqu’elle est activée, AWS crée automatiquement chaque année un nouveau matériel cryptographique pour votre clé, tout en conservant l’ancien afin de déchiffrer les données chiffrées précédemment. Cognition recommande d’activer la rotation automatique des clés.

<div id="revoking-access">
  ### Révocation de l'accès
</div>

Vous pouvez révoquer à tout moment l'accès de Cognition à votre clé KMS en supprimant la déclaration de stratégie ajoutée à l'[Étape 3](#step-3-configure-the-key-policy). Notez que la révocation de cet accès empêchera Cognition de lire ou d'écrire des données chiffrées dans votre tenant, ce qui perturbera le fonctionnement de Devin jusqu'au rétablissement de l'accès.

<Warning>
  La désactivation ou la suppression de votre clé KMS, ou la révocation de l'accès de Cognition, rendra illisibles toutes les données client chiffrées de votre tenant. Assurez-vous de bien comprendre les implications avant d'apporter des modifications à votre clé ou à sa stratégie.
</Warning>

<div id="monitoring-key-usage">
  ### Suivi de l’utilisation de la clé
</div>

Vous pouvez suivre toute l’utilisation de votre clé KMS via [AWS CloudTrail](https://docs.aws.amazon.com/kms/latest/developerguide/logging-using-cloudtrail.html). CloudTrail enregistre chaque appel d’API effectué sur votre clé, y compris les appels provenant des comptes Cognition, ce qui fournit une piste d’audit complète des opérations de chiffrement et de déchiffrement.

<div id="faqs">
  ## FAQ
</div>

<AccordionGroup>
  <Accordion title="Quelles données sont chiffrées avec ma clé KMS ?">
    Votre clé KMS sert à chiffrer les données client stockées dans Amazon S3 dans votre tenant dédié, y compris les données de session et les snapshots de VM.
  </Accordion>

  <Accordion title="Puis-je utiliser une clé KMS d'une autre région AWS ?">
    Non. Votre clé KMS doit se trouver dans la même région AWS que votre déploiement Devin. Contactez l'équipe Cognition en charge de votre compte pour confirmer la région de votre tenant.
  </Accordion>

  <Accordion title="Que se passe-t-il si je ne fournis pas de clé KMS ?">
    Cognition créera et gérera une clé de chiffrement pour votre compte. Toutes les données restent chiffrées au repos — la CMK vous donne simplement un contrôle direct sur la clé.
  </Accordion>

  <Accordion title="La CMK est-elle disponible pour les déploiements Enterprise Cloud ?">
    Non. La CMK est actuellement disponible uniquement pour les déploiements Enterprise Dedicated.
  </Accordion>

  <Accordion title="Puis-je changer ma clé KMS après la configuration initiale ?">
    Oui. Contactez l'équipe Cognition en charge de votre compte pour mettre à jour l'ARN de la clé KMS de votre tenant. Les données déjà chiffrées resteront chiffrées avec la clé d'origine, sauf si elles sont rechiffrées.
  </Accordion>
</AccordionGroup>
