本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

Amazon Q Developer 中的資料加密

本主題提供 Amazon Q Developer 有關傳輸中加密和靜態加密的特定資訊。

傳輸中加密

客戶與 Amazon Q 之間的所有通訊，以及 Amazon Q 與其下游相依性之間的通訊，都會使用 TLS 1.2 或更新版本的連線進行保護。

靜態加密

Amazon Q 使用 Amazon DynamoDB 和 Amazon Simple Storage Service (Amazon S3) 存放靜態資料。根據預設，靜態資料會使用加密解決方案進行 AWS 加密。Amazon Q 使用來自 AWS Key Management Service () 的 AWS 擁有加密金鑰來加密您的資料AWS KMS。您不需要採取任何動作來保護加密資料的 AWS 受管金鑰。如需詳細資訊，請參閱《AWS Key Management Service 開發人員指南》中的 AWS 擁有的金鑰。

對於 Amazon Q Developer Pro 的訂閱者，管理員可以使用客戶受管KMS金鑰為靜態資料設定加密，以取得下列功能：

您只能使用客戶受管金鑰加密 AWS 主控台和 中所列 Amazon Q 功能的資料IDE。您在與 整合之 AWS 網站、 AWS Documentation 頁面和聊天頻道上與 Amazon Q 的對話 AWS Chatbot ，只會使用擁有 AWS的金鑰加密。

客戶受管金鑰是您帳戶中建立、擁有和管理 AWS 的KMS金鑰，可透過控制KMS對金鑰的存取，直接控制對資料的存取。僅支援對稱金鑰。如需建立您自己的KMS金鑰的資訊，請參閱 金鑰管理服務開發人員指南中的建立金鑰。 AWS

當您使用客戶受管金鑰時，Amazon Q Developer 會使用KMS授予，允許授權的使用者、角色或應用程式使用KMS金鑰。當 Amazon Q Developer 管理員選擇在組態期間使用客戶受管金鑰進行加密時，會為其建立授予。此授與可讓最終使用者使用加密金鑰進行靜態資料加密。如需授予的詳細資訊，請參閱 中的授予 AWS KMS。

如果您在 AWS 主控台中變更用於加密與 Amazon Q 聊天的KMS金鑰，您必須開始新的對話，以開始使用新的金鑰來加密您的資料。使用上一個金鑰加密的對話歷史記錄不會保留在未來的聊天中，而且只會使用更新後的金鑰加密未來的聊天。如果您想要維護先前加密方法的對話歷史記錄，您可以還原到您在對話期間使用的金鑰。如果您變更用於加密診斷主控台錯誤工作階段的KMS金鑰，您必須啟動新的診斷工作階段，以使用新的金鑰來加密您的資料。

使用客戶受管KMS金鑰

建立客戶受管KMS金鑰之後，Amazon Q 開發人員管理員必須在 Amazon Q 開發人員主控台中提供金鑰，以使用它來加密資料。如需在 Amazon Q Developer 主控台中新增金鑰的資訊，請參閱 在 Amazon Q Developer 中管理加密方法。

若要設定客戶受管金鑰來加密 Amazon Q Developer 中的資料，管理員需要許可才能使用 AWS KMS。範例IAM政策 包含必要的KMS許可允許管理員使用 Amazon Q Developer 主控台。

若要使用以客戶受管金鑰加密的功能，使用者需要許可，才能允許 Amazon Q 存取客戶受管金鑰。如需授予所需許可的政策，請參閱 允許 Amazon Q 存取客戶受管金鑰。

如果您在使用 Amazon Q Developer 時看到與KMS授予相關的錯誤，您可能需要更新許可，以允許 Amazon Q 建立授予。若要自動設定所需的許可，請前往 Amazon Q Developer 主控台，然後在頁面頂端的橫幅中選擇更新許可。