Per impostazione predefinita, Cognition crittografa tutti i dati dei clienti archiviati utilizzando chiavi gestite da Cognition. Per le organizzazioni che necessitano di un controllo diretto sulle proprie chiavi di crittografia, Devin supporta le chiavi gestite dal cliente (CMK) tramite AWS Key Management Service (KMS).Con le chiavi gestite dal cliente, fornisci la tua chiave AWS KMS e Cognition la utilizza per crittografare i dati archiviati nel tuo tenant dedicato, inclusi i dati di sessione e gli snapshot delle VM. In questo modo hai il pieno controllo del ciclo di vita della chiave, compresa la possibilità di ruotarla, disabilitarla o revocarne l’accesso in qualsiasi momento.
Le chiavi gestite dal cliente sono disponibili esclusivamente per le distribuzioni Enterprise Dedicated e devono essere configurate durante la configurazione iniziale della distribuzione. Per ulteriori informazioni sui modelli di distribuzione, vedi Distribuzione Enterprise.
In una distribuzione Enterprise Dedicated, Devin archivia i dati dei clienti in bucket Amazon S3 all’interno del tenant dedicato. Quando la CMK è abilitata:
La tua chiave AWS KMS viene utilizzata per la crittografia lato server di tutti i dati scritti in questi bucket S3.
L’infrastruttura di Cognition usa la chiave per crittografare i dati in fase di scrittura e decrittografarli in fase di lettura.
Mantieni la proprietà della chiave nel tuo account AWS e puoi gestirne il ciclo di vita in modo indipendente.
Se non fornisci una chiave KMS, Cognition crea e gestisce una chiave di crittografia per tuo conto.
Utilizza una chiave AWS KMS simmetrica esistente oppure creane una nuova nella stessa regione del tuo tenant dedicato di Cognition. La chiave deve essere una chiave di crittografia simmetrica (il tipo di chiave predefinito in AWS KMS).
Aggiorna la policy della chiave KMS per consentire agli account AWS di Cognition di utilizzare la chiave per la crittografia e la decrittografia. Aggiungi la seguente istruzione alla policy della chiave:
Una volta che Cognition avrà ricevuto l’ARN della tua chiave, il team configurerà il tuo tenant dedicato per utilizzarla per la crittografia. Non è richiesta alcuna ulteriore azione da parte tua.
AWS KMS supporta la rotazione automatica delle chiavi per le chiavi gestite dal cliente. Quando è abilitata, AWS genera automaticamente nuovo materiale crittografico per la chiave ogni anno, mantenendo quello precedente per decrittografare i dati cifrati in precedenza. Cognition consiglia di abilitare la rotazione automatica delle chiavi.
Puoi revocare in qualsiasi momento l’accesso di Cognition alla tua chiave KMS rimuovendo lo statement della policy aggiunto nel Passaggio 2. Tieni presente che la revoca dell’accesso impedirà a Cognition di leggere o scrivere dati crittografati nel tuo tenant, compromettendo il funzionamento di Devin finché l’accesso non verrà ripristinato.
Disabilitare o eliminare la tua chiave KMS, oppure revocare l’accesso di Cognition, renderà illeggibili tutti i dati dei clienti crittografati nel tuo tenant. Assicurati di comprendere le implicazioni prima di apportare modifiche alla tua chiave o alla relativa policy.
Puoi monitorare ogni utilizzo della tua chiave KMS tramite AWS CloudTrail. CloudTrail registra ogni chiamata API effettuata alla tua chiave, incluse quelle provenienti dagli account di Cognition, fornendo una traccia di audit completa delle operazioni di crittografia e decrittografia.
Quali dati vengono crittografati con la mia chiave KMS?
La tua chiave KMS viene utilizzata per crittografare i dati dei clienti archiviati in Amazon S3 all’interno del tuo tenant dedicato, inclusi i dati di sessione e gli snapshot delle VM.
Posco utilizzare una chiave KMS di un'altra regione AWS?
No. La tua chiave KMS deve trovarsi nella stessa regione AWS della tua distribuzione di Devin. Contatta il team Cognition che segue il tuo account per confermare la regione del tuo tenant.
Che cosa succede se non fornisco una chiave KMS?
Cognition creerà e gestirà una chiave di crittografia per tuo conto. Tutti i dati saranno comunque crittografati a riposo: la CMK ti offre semplicemente il controllo diretto della chiave.
CMK è disponibile per le distribuzioni Enterprise Cloud?
No. Al momento, la CMK è disponibile solo per le distribuzioni Enterprise Dedicated.
Posso cambiare la mia chiave KMS dopo la configurazione iniziale?
Sì. Contatta il team Cognition che segue il tuo account per aggiornare l’ARN della chiave KMS per il tuo tenant. I dati già crittografati rimarranno crittografati con la chiave originale, a meno che non vengano crittografati nuovamente.
