本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Amazon Q 开发者版中的数据加密
<a name="data-encryption"></a>

本主题提供特定于 Amazon Q 开发者版的有关传输中加密和静态加密的信息。

## 传输中加密
<a name="encryption-transit"></a>

客户和 Amazon Q 之间以及 Amazon Q 与其下游依赖项之间的所有通信均使用 TLS 1.2 或更高版本的连接进行保护。

## 静态加密
<a name="encryption-rest"></a>

Amazon Q 使用 Amazon DynamoDB 和 Amazon Simple Storage Service（Amazon S3）存储静态数据。默认情况下，静态数据使用 AWS 加密解决方案进行加密。Amazon Q 使用来自 AWS Key Management Service (AWS KMS) 的 AWS 自有加密密钥对您的数据进行加密。您无需采取任何措施来保护加密数据的 AWS 托管密钥。有关更多信息，请参阅《*AWS Key Management Service 开发人员指南*》中的 [AWS 拥有密钥](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk)。

对于订阅了 Amazon Q 开发者版专业套餐的 IAM Identity Center 员工用户，管理员可以针对以下功能使用客户自主管理型 KMS 密钥为静态数据设置加密：
+ 在 AWS 控制台中聊天
+ 诊断 AWS 控制台错误
+ 自定义内容
+ IDE 中的代理

您只能使用 AWS 控制台和 IDE 中列出的 Amazon Q 功能的客户托管密钥对数据进行加密。您在 AWS 网站、 AWS Documentation 页面和聊天应用程序中与 Amazon Q 的对话仅使用 AWS自有密钥进行加密。

客户托管密钥是您在 AWS 账户中创建、拥有和管理的 KMS 密钥，通过控制 KMS 密钥的访问权限来直接控制对数据的访问。仅支持对称密钥。有关创建自己的 KMS 密钥的信息，请参阅《AWS Key Management Service Developer Guide》**中的 [Creating keys](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html)。

当您使用客户托管密钥时，Amazon Q 开发者版会使用 KMS 授权，允许授权用户、角色或应用程序使用 KMS 密钥。当 Amazon Q 开发者版管理员在配置期间选择使用客户托管密钥进行加密时，系统将为他们创建授权。此项授权可让最终用户使用加密密钥进行静态数据加密。有关授权的更多信息，请参阅 [Grants in AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)。

如果您在 AWS 控制台中更改用于加密与 Amazon Q 的聊天的 KMS 密钥，则必须开始新的对话才能开始使用新密钥加密您的数据。任何使用先前密钥加密的对话都不会保留，并且只有将来的对话才会使用更新后的密钥进行加密。如果您想保留先前加密方法中的对话，则可以恢复为您在这些对话期间使用的密钥。如果您更改用于加密诊断控制台错误会话的 KMS 密钥，则必须启动新的诊断会话，使其使用新密钥来加密数据。

## 使用客户自主管理型 KMS 密钥
<a name="kms-keys"></a>

创建客户自主管理型 KMS 密钥后，Amazon Q 开发者版管理员必须在 Amazon Q 开发者版控制台中提供该密钥，才能使用它来加密数据。有关在 Amazon Q 开发者版控制台中添加密钥的信息，请参阅[在 Amazon Q 开发者版中管理加密方式](manage-encryption.md)。

要设置客户托管密钥来加密 Amazon Q Developer 中的数据，管理员需要使用权限 AWS KMS。所需的 KMS 权限包含在示例 IAM 策略[支持管理员使用 Amazon Q 开发者版控制台](id-based-policy-examples-admins.md#q-admin-setup-admin-users)中。

要使用通过客户自主管理型密钥加密的功能，用户需要具有支持 Amazon Q 访问客户自主管理型密钥的权限。有关授予所需权限的策略，请参阅[支持 Amazon Q 访问客户自主管理型密钥](id-based-policy-examples-users.md#id-based-policy-examples-allow-q-access-encryption)。

如果您在使用 Amazon Q 开发者版时看到与 KMS 授权相关的错误，则您可能需要更新权限以支持 Amazon Q 创建授权。要自动配置所需的权限，请前往 Amazon Q 开发者版控制台，然后在页面顶部的横幅中选择**更新权限**。