> ## Documentation Index
> Fetch the complete documentation index at: https://docs.devin.ai/llms.txt
> Use this file to discover all available pages before exploring further.

# Chaves gerenciadas pelo cliente

> Use sua própria chave do AWS KMS para criptografar dados em repouso no ambiente Dedicated Deployment do Devin Enterprise.

<div id="overview">
  ## Visão geral
</div>

Por padrão, a Cognition criptografa todos os dados dos clientes em repouso usando chaves gerenciadas pela própria Cognition. Para organizações que precisam de controle direto sobre suas chaves de criptografia, o Devin oferece suporte a **chaves gerenciadas pelo cliente (CMK)** com o [AWS Key Management Service (KMS)](https://aws.amazon.com/kms/).

Com o CMK, você fornece sua própria chave do AWS KMS, e a Cognition a utiliza para criptografar os dados armazenados no seu tenant dedicado — incluindo dados de sessão e snapshots de VM. Isso dá a você controle total sobre o ciclo de vida da chave, incluindo a capacidade de rotacioná-la, desativá-la ou revogar o acesso a qualquer momento.

<Note>
  O CMK está disponível exclusivamente para implantações **Enterprise Dedicated** e deve ser configurado durante a configuração inicial da implantação. Para mais informações sobre os modelos de implantação, consulte [Enterprise Deployment](/pt-BR/enterprise/deployment/overview).
</Note>

<div id="how-it-works">
  ## Como funciona
</div>

Em uma implantação Enterprise Dedicated, o Devin armazena os dados do cliente em buckets do Amazon S3 dentro do seu tenant dedicado. Quando a CMK está ativada:

1. Sua chave do AWS KMS é usada para **criptografia do lado do servidor** de todos os dados gravados nesses buckets do S3.
2. A infraestrutura da Cognition usa a chave para criptografar os dados no momento da gravação e descriptografá-los no momento da leitura.
3. Você mantém a propriedade da chave na sua própria conta AWS e pode gerenciar seu ciclo de vida de forma independente.

Se você não fornecer uma chave do KMS, a Cognition criará e gerenciará uma chave de criptografia em seu nome.

<div id="prerequisites">
  ## Pré-requisitos
</div>

Antes de configurar o CMK, verifique se você tem:

* Uma implantação **Enterprise Dedicated** com a Cognition (o CMK deve ser configurado durante a implantação inicial)
* Uma **chave do AWS KMS** na **mesma região da AWS** que a implantação do seu Devin
* Permissões para modificar a política da sua chave e criar aliases de chave

<Info>
  Entre em contato com a equipe de conta da Cognition para confirmar a região da AWS do seu tenant dedicado.
</Info>

<div id="setup">
  ## Configuração
</div>

<div id="step-1-create-or-select-a-kms-key">
  ### Etapa 1: Criar ou selecionar uma chave do AWS KMS
</div>

Use uma chave simétrica existente do AWS KMS ou [crie uma nova](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) na mesma região do seu tenant dedicado da Cognition. A chave deve ser uma **chave de criptografia simétrica** (o tipo de chave padrão do AWS KMS).

<div id="step-2-add-a-key-alias">
  ### Etapa 2: Adicionar um alias à chave
</div>

Adicione o alias **`devin-customer-managed-key`** à sua chave do AWS KMS. A infraestrutura da Cognition exige exatamente esse alias para localizar e usar a chave para criptografia.

<Tabs>
  <Tab title="Console da AWS">
    1. Abra o [Console do AWS KMS](https://console.aws.amazon.com/kms).
    2. Selecione sua chave e vá para a aba **Aliases**.
    3. Escolha **Criar alias**.
    4. Insira `devin-customer-managed-key` como nome do alias.
    5. Salve o alias.
  </Tab>

  <Tab title="AWS CLI">
    ```bash theme={null}
    aws kms create-alias \
        --alias-name alias/devin-customer-managed-key \
        --target-key-id <your-key-id>
    ```
  </Tab>
</Tabs>

<div id="step-3-configure-the-key-policy">
  ### Etapa 3: Configurar a política da chave
</div>

Atualize a política da sua chave do AWS KMS para permitir que as contas da AWS da Cognition usem a chave para criptografia e descriptografia. Adicione a seguinte declaração à política da sua chave:

```json theme={null}
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::272506498303:root",
                    "arn:aws:iam::063509147090:root"
                ]
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        }
    ]
}
```

<Tabs>
  <Tab title="Console da AWS">
    1. Abra o [Console do AWS KMS](https://console.aws.amazon.com/kms).
    2. Selecione sua chave e vá para a aba **Política da chave**.
    3. Escolha **Editar**.
    4. Adicione a declaração acima ao array `Statement` da política da chave existente.
    5. Salve a política.
  </Tab>

  <Tab title="AWS CLI">
    ```bash theme={null}
    # Primeiro, recupere a política atual da sua chave
    aws kms get-key-policy \
        --key-id <your-key-id> \
        --policy-name default \
        --output text > key-policy.json

    # Edite key-policy.json para adicionar a declaração acima
    # e, em seguida, aplique a política atualizada
    aws kms put-key-policy \
        --key-id <your-key-id> \
        --policy-name default \
        --policy file://key-policy.json
    ```
  </Tab>
</Tabs>

<div id="step-4-provide-the-key-arn-to-cognition">
  ### Etapa 4: Forneça o ARN da chave à Cognition
</div>

Envie o ARN da sua chave do AWS KMS para a equipe de conta da Cognition. O ARN tem o seguinte formato:

```text theme={null}
arn:aws:kms:<region>:<your-account-id>:key/<key-id>
```

Assim que a Cognition receber o ARN da sua chave, a equipe configurará seu tenant dedicado para usá-lo na criptografia. Não é necessária nenhuma outra ação da sua parte.

<div id="key-management">
  ## Gerenciamento de chaves
</div>

<div id="key-rotation">
  ### Rotação de chaves
</div>

O AWS KMS oferece suporte à [rotação automática de chaves](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html) para chaves gerenciadas pelo cliente. Quando ativada, a AWS cria automaticamente um novo material criptográfico para sua chave a cada ano, mantendo o material antigo para descriptografar dados criptografados anteriormente. A Cognition recomenda ativar a rotação automática de chaves.

<div id="revoking-access">
  ### Revogando o acesso
</div>

Você pode revogar o acesso da Cognition à sua chave do AWS KMS a qualquer momento removendo a instrução de política adicionada na [etapa 3](#step-3-configure-the-key-policy). Observe que revogar esse acesso impedirá a Cognition de ler ou gravar dados criptografados no seu tenant, o que interromperá o funcionamento do Devin até que o acesso seja restaurado.

<Warning>
  Desativar ou excluir sua chave do AWS KMS, ou revogar o acesso da Cognition, tornará ilegíveis todos os dados criptografados de clientes no seu tenant. Certifique-se de entender as implicações antes de fazer alterações na sua chave ou na política dela.
</Warning>

<div id="monitoring-key-usage">
  ### Monitoramento do uso da chave do AWS KMS
</div>

Você pode monitorar todo o uso da sua chave do AWS KMS por meio do [AWS CloudTrail](https://docs.aws.amazon.com/kms/latest/developerguide/logging-using-cloudtrail.html). O CloudTrail registra cada chamada à API feita para a sua chave, incluindo chamadas das contas da Cognition, fornecendo uma trilha de auditoria completa das operações de criptografia e descriptografia.

<div id="faqs">
  ## Perguntas frequentes
</div>

<AccordionGroup>
  <Accordion title="Quais dados são criptografados com minha chave do AWS KMS?">
    Sua chave do AWS KMS é usada para criptografar os dados de clientes armazenados no Amazon S3 dentro do seu tenant dedicado, incluindo dados de sessão e snapshots de VM.
  </Accordion>

  <Accordion title="Posso usar uma chave do AWS KMS de outra região da AWS?">
    Não. Sua chave do AWS KMS deve estar na mesma região da AWS que a implantação do seu Devin. Entre em contato com a equipe da sua conta na Cognition para confirmar a região do seu tenant.
  </Accordion>

  <Accordion title="O que acontece se eu não fornecer uma chave do AWS KMS?">
    A Cognition criará e gerenciará uma chave de criptografia em seu nome. Todos os dados continuam criptografados em repouso — a CMK apenas dá a você controle direto sobre a chave.
  </Accordion>

  <Accordion title="A CMK está disponível para implantações Enterprise Cloud?">
    Não. No momento, a CMK está disponível apenas para implantações Enterprise Dedicated.
  </Accordion>

  <Accordion title="Posso alterar minha chave do AWS KMS após a configuração inicial?">
    Sim. Entre em contato com a equipe da sua conta na Cognition para atualizar o ARN da chave do AWS KMS do seu tenant. Os dados criptografados anteriormente permanecerão criptografados com a chave original, a menos que sejam criptografados novamente.
  </Accordion>
</AccordionGroup>
