本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

Amazon Q Developer 中的資料加密

本主題提供 Amazon Q Developer 特定的傳輸中加密和靜態加密資訊。

傳輸中加密

客戶與 Amazon Q 之間以及 Amazon Q 與其下游相依性之間的所有通訊，都是使用 TLS 1.2 或更高版本的連線加以保護。

靜態加密

Amazon Q 使用 Amazon DynamoDB 和 Amazon Simple Storage Service (Amazon S3) 來儲存靜態資料。根據預設，靜態資料會使用加密解決方案進行 AWS 加密。Amazon Q 會使用來自 AWS Key Management Service (AWS KMS) 的 AWS 擁有加密金鑰來加密您的資料。您不需要採取任何動作來保護加密資料的 AWS 受管金鑰。如需詳細資訊，請參閱《AWS Key Management Service 開發人員指南》中的 AWS 擁有的金鑰。

對於已訂閱 Amazon Q Developer 專業方案的 IAM Identity Center 員工使用者，管理員可以使用客戶自管 KMS 金鑰來加密下列功能的靜態資料：

您只能使用客戶受管金鑰加密 AWS 主控台和 IDE 中列出的 Amazon Q 功能的資料。您在網站、 AWS Documentation 頁面和聊天應用程式中與 Amazon Q AWS 的對話只會使用擁有 AWS的金鑰加密。

客戶受管金鑰是您帳戶中建立、擁有和管理 AWS 的 KMS 金鑰，可透過控制對 KMS 金鑰的存取，直接控制對資料的存取。僅支援對稱金鑰。如需建立自己的 KMS 金鑰的相關資訊，請參閱《AWS Key Management Service 開發人員指南》中的建立金鑰。

當您使用客戶自管金鑰時，Amazon Q Developer 會使用 KMS 授權，以允許經授權的使用者、角色或應用程式使用 KMS 金鑰。當 Amazon Q Developer 管理員選擇使用客戶自管金鑰在組態期間進行加密實，系統會為其建立授權。此授權可讓最終使用者使用加密金鑰進行靜態資料加密。如需授權的詳細資訊，請參閱 AWS KMS中的授權。

如果您在 AWS 主控台中變更用來加密與 Amazon Q 聊天的 KMS 金鑰，您必須開始新的對話，才能開始使用新的金鑰來加密您的資料。任何使用先前的金鑰加密的對話都不會保留，而且只有後續的對話會使用更新後的金鑰加密。如果您想要保留先前加密方法的對話，您可以回復為這些對話期間使用的金鑰。如果您變更用於加密診斷主控台錯誤工作階段的 KMS 金鑰，您必須啟動新的診斷工作階段，才能使用新的金鑰來加密您的資料。

使用客戶自管 KMS 金鑰

建立客戶自管 KMS 金鑰後，Amazon Q Developer 管理員必須在 Amazon Q Developer 主控台中提供該金鑰，才能用它來加密資料。如需在 Amazon Q Developer 主控台中新增金鑰的相關資訊，請參閱 管理 Amazon Q Developer 中的加密方法。

若要設定客戶受管金鑰來加密 Amazon Q Developer 中的資料，管理員需要使用 許可 AWS KMS。所需的 KMS 許可包含在範例 IAM 政策 允許管理員使用 Amazon Q Developer 主控台 中。

若要使用以客戶自管金鑰加密的功能，使用者須具備允許 Amazon Q 存取客戶自管金鑰的許可。如需授與所需許可的政策，請參閱 允許 Amazon Q 存取客戶自管金鑰。

如果您在使用 Amazon Q Developer 時看到與 KMS 授權相關的錯誤，您可能需要更新許可才能允許 Amazon Q 建立授權。若要自動設定所需的許可，請前往 Amazon Q Developer 主控台，然後在頁面頂端的橫幅中選擇更新許可。