Amazon Q 开发者版中的数据加密 - Amazon Q 开发者版

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Q 开发者版中的数据加密

本主题提供特定于 Amazon Q 开发者版的有关传输中加密和静态加密的信息。

传输中加密

客户和 Amazon Q 之间以及 Amazon Q 与其下游依赖项之间的所有通信均使用 TLS 1.2 或更高版本的连接进行保护。

静态加密

Amazon Q 使用 Amazon DynamoDB 和 Amazon Simple Storage Service(Amazon S3)存储静态数据。默认情况下,静态数据使用 AWS 加密解决方案进行加密。Amazon Q 使用来自 AWS Key Management Service (AWS KMS) 的 AWS 自有加密密钥对您的数据进行加密。您无需采取任何措施来保护加密数据的 AWS 托管密钥。有关更多信息,请参阅 AWS Key Management Service 开发人员指南中的 AWS 自有密钥

对于订阅 Amazon Q Developer Pro 的 IAM Identity Center 员工用户,管理员可以使用客户托管的 KMS 密钥为静态数据设置加密,以实现以下功能:

  • 在 AWS 控制台中聊天

  • 诊断 AWS 控制台错误

  • 自定义项

  • IDE 中的代理

您只能使用 AWS 控制台和 IDE 中列出的 Amazon Q 功能的客户托管密钥对数据进行加密。您在 AWS 网站、 AWS Documentation 页面和聊天应用程序中与 Amazon Q 的对话仅使用 AWS自有密钥进行加密。

客户托管密钥是您在 AWS 账户中创建、拥有和管理的 KMS 密钥,通过控制 KMS 密钥的访问权限来直接控制对数据的访问。仅支持对称密钥。有关创建自己的 KMS 密钥的信息,请参阅 AWS Key Management Service 开发人员指南中的创建密

当您使用客户托管密钥时,Amazon Q 开发者版会使用 KMS 授权,允许授权用户、角色或应用程序使用 KMS 密钥。当 Amazon Q 开发者版管理员在配置期间选择使用客户托管密钥进行加密时,系统将为他们创建授权。该授权允许最终用户使用加密密钥进行静态数据加密。有关拨款的更多信息,请参阅中的授权 AWS KMS

如果您在 AWS 控制台中更改用于加密与 Amazon Q 的聊天的 KMS 密钥,则必须开始新的对话才能开始使用新密钥加密您的数据。任何使用先前密钥加密的对话都不会保留,只有未来的对话才会使用更新的密钥进行加密。如果您想保留以前的加密方法中的对话,则可以恢复到您在这些对话中使用的密钥。如果您更改了用于加密诊断控制台错误会话的 KMS 密钥,则必须启动新的诊断会话,使其使用新密钥加密数据。

使用客户托管的 KMS 密钥

创建客户托管的 KMS 密钥后,Amazon Q 开发者管理员必须在 Amazon Q 开发者控制台中提供该密钥才能使用它来加密数据。有关在 Amazon Q 开发者控制台中添加密钥的信息,请参阅在 Amazon Q 开发者中管理加密方法

要设置客户托管密钥来加密 Amazon Q Developer 中的数据,管理员需要使用权限 AWS KMS。所需的 KMS 权限包含在示例 IAM 策略中允许管理员使用 Amazon Q 开发者控制台

要使用使用客户托管密钥加密的功能,用户需要权限才能允许 Amazon Q 访问客户托管密钥。有关授予所需权限的策略,请参阅允许 Amazon Q 访问客户托管的密钥

如果您在使用 Amazon Q Developer 时看到与 KMS 授权相关的错误,则可能需要更新权限以允许 Amazon Q 创建授权。要自动配置所需的权限,请前往 Amazon Q 开发者控制台,然后在页面顶部的横幅中选择 “更新权限”。