Amazon Q 开发者中的数据加密

本主题提供特定于 Amazon Q Developer 的有关传输中加密和静态加密的信息。

传输中加密

客户与 Amazon Q 之间以及 Amazon Q 与其下游依赖项之间的所有通信均使用 TLS 1.2 或更高版本的连接进行保护。

静态加密

Amazon Q 使用亚马逊 DynamoDB 和亚马逊简单存储服务 (Amazon S3) Simple S3 存储静态数据。默认情况下，静态数据使用 AWS 加密解决方案进行加密。Amazon Q 使用来自 AWS Key Management Service (AWS KMS) 的 AWS 自有加密密钥对您的数据进行加密。您无需采取任何措施来保护加密数据的 AWS 托管密钥。有关更多信息，请参阅 AWS Key Management Service 开发人员指南中的 AWS 自有密钥。

对于 Amazon Q 在集成开发环境中存储的某些数据 (IDEs)，您可以创建自己的客户 AWS KMS key 来管理您的静态数据。有关更多信息，请参阅 为 Amazon Q 开发者加密 IDE。

为 Amazon Q 开发者加密 IDE

本节中的信息适用于 Amazon Q Developer 中的以下功能IDE：

• 这些区域有：Amazon Q Developer Agent for code transformation

• 这些区域有：Amazon Q Developer Agent for software development

• Amazon Q 开发者安全扫描

在中使用 Amazon Q Developer 的这些功能时IDE，您的代码和任何相关的聊天都将通过加密TLS连接发送到服务拥有的 Amazon S3 存储桶。在处理过程中，您的数据会被静态加密，并在安全的构建环境中存储在内存中。操作完成后，将删除构建环境并从内存中刷新所有工件。您的数据在服务自有的 Amazon S3 存储桶中最多保留 24 小时，然后会被永久删除。

尽管加密方法各不相同，但您的代码和所有关联的聊天都是静态加密的。数据将使用以下任一方式进行加密：

• 由管理员账户创建的客户托管密钥

• 如果未 AWS指定客户管理的密钥，则为自有密钥

客户管理的密KMS钥是您在 AWS 账户中创建、拥有和管理的密钥，通过控制对KMS密钥的访问来直接控制对数据的访问。仅支持对称密钥。要详细了解如何创建自己的KMS密钥，请参阅AWS Key Management Service 开发者指南中的创建密钥。

当您使用客户托管密钥时，Amazon Q Developer 会使用KMS授权，允许授权用户、角色或应用程序使用KMS密钥。当 Amazon Q Developer 管理员在配置期间选择使用客户托管密钥进行加密时，将为他们创建授权。该授权允许的最终用户使用加密密钥进行静态数据加密。IDE如果管理员不选择使用客户管理的KMS密钥，则默认使用客户 AWS拥有的密钥。有关拨款的更多信息，请参阅中的授权AWSKMS。

用于自定义的加密

当您创建自定义项时，Amazon Q 会将您的文件上传到服务拥有的 Amazon S3 存储桶。您的文件在传输过程中会使用HTTPS和进行加密TLS。如果您提供客户管理的密钥，则使用客户管理的密钥对它们进行静态加密，否则使用 AWS自有的密钥。创建自定义项后，将您的数据从存储桶中 AWS 永久删除，并从内存中清除。

您的自定义设置在您的账户中完全隔离。它们还与其他客户的数据隔离开来。只有 Amazon Q 开发者管理员指定的用户才能访问任何特定的自定义内容。在 Amazon Q 管理员指定哪些用户可以访问哪些自定义项之前，您必须向该管理员授予权限。有关更多信息，请参阅 Amazon Q 定制的先决条件。

加密以进行提示记录

启用提示记录后，Amazon Q 会使用临时数据存储将您的提示传送到您的 Amazon S3 存储桶目标。您的提示将在传输过程中使用HTTPS和进行加密TLS。它们使用 AWS自有密钥进行静态加密。它们将在临时数据存储器中最多保留 24 小时。