本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

Amazon Q 开发者版中的数据加密

本主题提供特定于 Amazon Q 开发者版的有关传输中加密和静态加密的信息。

传输中加密

客户和 Amazon Q 之间以及 Amazon Q 与其下游依赖项之间的所有通信均使用 TLS 1.2 或更高版本的连接进行保护。

静态加密

Amazon Q 使用 Amazon DynamoDB 和 Amazon Simple Storage Service（Amazon S3）存储静态数据。默认情况下，静态数据使用 AWS 加密解决方案进行加密。Amazon Q 使用来自 AWS Key Management Service (AWS KMS) 的 AWS 自有加密密钥对您的数据进行加密。您无需采取任何措施来保护加密数据的 AWS 托管密钥。有关更多信息，请参阅 AWS Key Management Service 开发人员指南中的 AWS 自有密钥。

对于订阅 Amazon Q Developer Pro 的 IAM Identity Center 员工用户，管理员可以使用客户托管的 KMS 密钥为静态数据设置加密，以实现以下功能：

您只能使用 AWS 控制台和 IDE 中列出的 Amazon Q 功能的客户托管密钥对数据进行加密。您在 AWS 网站、 AWS Documentation 页面和聊天应用程序中与 Amazon Q 的对话仅使用 AWS自有密钥进行加密。

客户托管密钥是您在 AWS 账户中创建、拥有和管理的 KMS 密钥，通过控制 KMS 密钥的访问权限来直接控制对数据的访问。仅支持对称密钥。有关创建自己的 KMS 密钥的信息，请参阅 AWS Key Management Service 开发人员指南中的创建密钥。

当您使用客户托管密钥时，Amazon Q 开发者版会使用 KMS 授权，允许授权用户、角色或应用程序使用 KMS 密钥。当 Amazon Q 开发者版管理员在配置期间选择使用客户托管密钥进行加密时，系统将为他们创建授权。该授权允许最终用户使用加密密钥进行静态数据加密。有关拨款的更多信息，请参阅中的授权 AWS KMS。

如果您在 AWS 控制台中更改用于加密与 Amazon Q 的聊天的 KMS 密钥，则必须开始新的对话才能开始使用新密钥加密您的数据。任何使用先前密钥加密的对话都不会保留，只有未来的对话才会使用更新的密钥进行加密。如果您想保留以前的加密方法中的对话，则可以恢复到您在这些对话中使用的密钥。如果您更改了用于加密诊断控制台错误会话的 KMS 密钥，则必须启动新的诊断会话，使其使用新密钥加密数据。

使用客户托管的 KMS 密钥

创建客户托管的 KMS 密钥后，Amazon Q 开发者管理员必须在 Amazon Q 开发者控制台中提供该密钥才能使用它来加密数据。有关在 Amazon Q 开发者控制台中添加密钥的信息，请参阅在 Amazon Q 开发者中管理加密方法。

要设置客户托管密钥来加密 Amazon Q Developer 中的数据，管理员需要使用权限 AWS KMS。所需的 KMS 权限包含在示例 IAM 策略中允许管理员使用 Amazon Q 开发者控制台。

要使用使用客户托管密钥加密的功能，用户需要权限才能允许 Amazon Q 访问客户托管密钥。有关授予所需权限的策略，请参阅允许 Amazon Q 访问客户托管的密钥。

如果您在使用 Amazon Q Developer 时看到与 KMS 授权相关的错误，则可能需要更新权限以允许 Amazon Q 创建授权。要自动配置所需的权限，请前往 Amazon Q 开发者控制台，然后在页面顶部的横幅中选择 “更新权限”。