> ## Documentation Index
> Fetch the complete documentation index at: https://docs.devin.ai/llms.txt
> Use this file to discover all available pages before exploring further.

# Chiavi gestite dal cliente

> Utilizza la tua chiave AWS KMS per crittografare i dati a riposo nella tua distribuzione Enterprise Dedicated di Devin.

<div id="overview">
  ## Panoramica
</div>

Per impostazione predefinita, Cognition crittografa tutti i dati dei clienti archiviati utilizzando chiavi gestite da Cognition. Per le organizzazioni che necessitano di un controllo diretto sulle proprie chiavi di crittografia, Devin supporta le **chiavi gestite dal cliente (CMK)** tramite [AWS Key Management Service (KMS)](https://aws.amazon.com/kms/).

Con le chiavi gestite dal cliente, fornisci la tua chiave AWS KMS e Cognition la utilizza per crittografare i dati archiviati nel tuo tenant dedicato, inclusi i dati di sessione e gli snapshot delle VM. In questo modo hai il pieno controllo del ciclo di vita della chiave, compresa la possibilità di ruotarla, disabilitarla o revocarne l'accesso in qualsiasi momento.

<Note>
  Le chiavi gestite dal cliente sono disponibili esclusivamente per le distribuzioni **Enterprise Dedicated** e devono essere configurate durante la configurazione iniziale della distribuzione. Per ulteriori informazioni sui modelli di distribuzione, vedi [Distribuzione Enterprise](/it/enterprise/deployment/overview).
</Note>

<div id="how-it-works">
  ## Come funziona
</div>

In una distribuzione Enterprise Dedicated, Devin archivia i dati dei clienti in bucket Amazon S3 all'interno del tenant dedicato. Quando la CMK è abilitata:

1. La tua chiave AWS KMS viene utilizzata per la **crittografia lato server** di tutti i dati scritti in questi bucket S3.
2. L'infrastruttura di Cognition usa la chiave per crittografare i dati in fase di scrittura e decrittografarli in fase di lettura.
3. Mantieni la proprietà della chiave nel tuo account AWS e puoi gestirne il ciclo di vita in modo indipendente.

Se non fornisci una chiave KMS, Cognition crea e gestisce una chiave di crittografia per tuo conto.

<div id="prerequisites">
  ## Prerequisiti
</div>

Prima di configurare CMK, assicurati di disporre di:

* Una distribuzione **Enterprise Dedicated** con Cognition (CMK deve essere configurato durante la distribuzione iniziale)
* Una **chiave AWS KMS** nella **stessa regione AWS** della distribuzione di Devin
* Le autorizzazioni necessarie per modificare la policy della tua chiave KMS e creare alias di chiavi

<Info>
  Contatta il team Cognition che gestisce il tuo account per confermare la regione AWS del tuo tenant dedicato.
</Info>

<div id="setup">
  ## Configurazione
</div>

<div id="step-1-create-or-select-a-kms-key">
  ### Passaggio 1: Crea o seleziona una chiave KMS
</div>

Utilizza una chiave AWS KMS simmetrica esistente oppure [creane una nuova](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) nella stessa regione del tuo tenant dedicato di Cognition. La chiave deve essere una **chiave di crittografia simmetrica** (il tipo di chiave predefinito in AWS KMS).

<div id="step-2-add-a-key-alias">
  ### Passaggio 2: Aggiungere un alias della chiave
</div>

Aggiungi l'alias **`devin-customer-managed-key`** alla tua chiave KMS. L'infrastruttura di Cognition richiede questo alias esatto per individuare e utilizzare la chiave per la crittografia.

<Tabs>
  <Tab title="Console AWS">
    1. Apri la [console AWS KMS](https://console.aws.amazon.com/kms).
    2. Seleziona la tua chiave e vai alla scheda **Aliases**.
    3. Seleziona **Create alias**.
    4. Inserisci `devin-customer-managed-key` come nome dell'alias.
    5. Salva l'alias.
  </Tab>

  <Tab title="AWS CLI">
    ```bash theme={null}
    aws kms create-alias \
        --alias-name alias/devin-customer-managed-key \
        --target-key-id <your-key-id>
    ```
  </Tab>
</Tabs>

<div id="step-3-configure-the-key-policy">
  ### Passaggio 3: Configurare la policy della chiave
</div>

Aggiorna la policy della chiave KMS per consentire agli account AWS di Cognition di utilizzare la chiave per la crittografia e la decrittografia. Aggiungi la seguente istruzione alla policy della chiave:

```json theme={null}
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::272506498303:root",
                    "arn:aws:iam::063509147090:root"
                ]
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        }
    ]
}
```

<Tabs>
  <Tab title="Console AWS">
    1. Apri la [console AWS KMS](https://console.aws.amazon.com/kms).
    2. Seleziona la tua chiave e vai alla scheda **Key policy**.
    3. Seleziona **Edit**.
    4. Aggiungi l'istruzione sopra all'array `Statement` nella policy della chiave esistente.
    5. Salva la policy.
  </Tab>

  <Tab title="AWS CLI">
    ```bash theme={null}
    # Per prima cosa, recupera la policy corrente della chiave
    aws kms get-key-policy \
        --key-id <your-key-id> \
        --policy-name default \
        --output text > key-policy.json

    # Modifica key-policy.json per aggiungere l'istruzione sopra,
    # quindi applica la policy aggiornata
    aws kms put-key-policy \
        --key-id <your-key-id> \
        --policy-name default \
        --policy file://key-policy.json
    ```
  </Tab>
</Tabs>

<div id="step-4-provide-the-key-arn-to-cognition">
  ### Passaggio 4: Fornisci l'ARN della chiave a Cognition
</div>

Invia l'ARN della tua chiave KMS al team Cognition che segue il tuo account. L'ARN ha il seguente formato:

```text theme={null}
arn:aws:kms:<region>:<your-account-id>:key/<key-id>
```

Una volta che Cognition avrà ricevuto l'ARN della tua chiave, il team configurerà il tuo tenant dedicato per utilizzarla per la crittografia. Non è richiesta alcuna ulteriore azione da parte tua.

<div id="key-management">
  ## Gestione delle chiavi
</div>

<div id="key-rotation">
  ### Rotazione delle chiavi
</div>

AWS KMS supporta la [rotazione automatica delle chiavi](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html) per le chiavi gestite dal cliente. Quando è abilitata, AWS genera automaticamente nuovo materiale crittografico per la chiave ogni anno, mantenendo quello precedente per decrittografare i dati cifrati in precedenza. Cognition consiglia di abilitare la rotazione automatica delle chiavi.

<div id="revoking-access">
  ### Revoca dell'accesso
</div>

Puoi revocare in qualsiasi momento l'accesso di Cognition alla tua chiave KMS rimuovendo l'istruzione della policy aggiunto nel [Passaggio 3](#step-3-configure-the-key-policy). Tieni presente che la revoca dell'accesso impedirà a Cognition di leggere o scrivere dati crittografati nel tuo tenant, compromettendo il funzionamento di Devin finché l'accesso non verrà ripristinato.

<Warning>
  Disabilitare o eliminare la tua chiave KMS, oppure revocare l'accesso di Cognition, renderà illeggibili tutti i dati dei clienti crittografati nel tuo tenant. Assicurati di comprendere le implicazioni prima di apportare modifiche alla tua chiave o alla relativa policy.
</Warning>

<div id="monitoring-key-usage">
  ### Monitoraggio dell'utilizzo della chiave
</div>

Puoi monitorare ogni utilizzo della tua chiave KMS tramite [AWS CloudTrail](https://docs.aws.amazon.com/kms/latest/developerguide/logging-using-cloudtrail.html). CloudTrail registra ogni chiamata API effettuata alla tua chiave, incluse quelle provenienti dagli account di Cognition, fornendo una traccia di audit completa delle operazioni di crittografia e decrittografia.

<div id="faqs">
  ## Domande frequenti
</div>

<AccordionGroup>
  <Accordion title="Quali dati vengono crittografati con la mia chiave KMS?">
    La tua chiave KMS viene utilizzata per crittografare i dati dei clienti archiviati in Amazon S3 all'interno del tuo tenant dedicato, inclusi i dati di sessione e gli snapshot delle VM.
  </Accordion>

  <Accordion title="Posco utilizzare una chiave KMS di un'altra regione AWS?">
    No. La tua chiave KMS deve trovarsi nella stessa regione AWS della tua distribuzione di Devin. Contatta il team Cognition che segue il tuo account per confermare la regione del tuo tenant.
  </Accordion>

  <Accordion title="Che cosa succede se non fornisco una chiave KMS?">
    Cognition creerà e gestirà una chiave di crittografia per tuo conto. Tutti i dati saranno comunque crittografati a riposo: la CMK ti offre semplicemente il controllo diretto della chiave.
  </Accordion>

  <Accordion title="CMK è disponibile per le distribuzioni Enterprise Cloud?">
    No. Al momento, la CMK è disponibile solo per le distribuzioni Enterprise Dedicated.
  </Accordion>

  <Accordion title="Posso cambiare la mia chiave KMS dopo la configurazione iniziale?">
    Sì. Contatta il team Cognition che segue il tuo account per aggiornare l'ARN della chiave KMS per il tuo tenant. I dati già crittografati rimarranno crittografati con la chiave originale, a meno che non vengano crittografati nuovamente.
  </Accordion>
</AccordionGroup>
