本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Amazon Q Developer 中的資料加密
<a name="data-encryption"></a>

本主題提供 Amazon Q Developer 特定的傳輸中加密和靜態加密資訊。

## 傳輸中加密
<a name="encryption-transit"></a>

客戶與 Amazon Q 之間以及 Amazon Q 與其下游相依性之間的所有通訊，都是使用 TLS 1.2 或更高版本的連線加以保護。

## 靜態加密
<a name="encryption-rest"></a>

Amazon Q 使用 Amazon DynamoDB 和 Amazon Simple Storage Service (Amazon S3) 來儲存靜態資料。根據預設，靜態資料會使用加密解決方案進行 AWS 加密。Amazon Q 使用來自 AWS Key Management Service (AWS KMS) 的 AWS 擁有加密金鑰來加密您的資料。您不需要採取任何動作來保護加密資料的 AWS 受管金鑰。如需詳細資訊，請參閱《AWS Key Management Service 開發人員指南》**中的 [AWS 擁有的金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk)。

對於已訂閱 Amazon Q Developer 專業方案的 IAM Identity Center 員工使用者，管理員可以使用客戶自管 KMS 金鑰來加密下列功能的靜態資料：
+  AWS 主控台中的聊天
+ 診斷 AWS 主控台錯誤
+ 自訂
+ IDE 中的代理程式

您只能使用客戶受管金鑰加密 AWS 主控台和 IDE 中列出的 Amazon Q 功能的資料。您在網站、 AWS Documentation 頁面和聊天應用程式中與 Amazon Q 的 AWS 對話只會使用 AWS擁有的金鑰加密。

客戶受管金鑰是您帳戶中建立、擁有和管理 AWS 的 KMS 金鑰，可透過控制對 KMS 金鑰的存取，直接控制對資料的存取。僅支援對稱金鑰。如需建立自己的 KMS 金鑰的相關資訊，請參閱《AWS Key Management Service 開發人員指南》**中的[建立金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html)。

當您使用客戶自管金鑰時，Amazon Q Developer 會使用 KMS 授權，以允許經授權的使用者、角色或應用程式使用 KMS 金鑰。當 Amazon Q Developer 管理員選擇使用客戶自管金鑰在組態期間進行加密實，系統會為其建立授權。此授權可讓最終使用者使用加密金鑰進行靜態資料加密。如需授權的詳細資訊，請參閱 [AWS KMS中的授權](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)。

如果您在 AWS 主控台中變更用來加密與 Amazon Q 聊天的 KMS 金鑰，您必須開始新的對話，才能開始使用新的金鑰來加密您的資料。任何使用先前的金鑰加密的對話都不會保留，而且只有後續的對話會使用更新後的金鑰加密。如果您想要保留先前加密方法的對話，您可以回復為這些對話期間使用的金鑰。如果您變更用於加密診斷主控台錯誤工作階段的 KMS 金鑰，您必須啟動新的診斷工作階段，才能使用新的金鑰來加密您的資料。

## 使用客戶自管 KMS 金鑰
<a name="kms-keys"></a>

建立客戶自管 KMS 金鑰後，Amazon Q Developer 管理員必須在 Amazon Q Developer 主控台中提供該金鑰，才能用它來加密資料。如需在 Amazon Q Developer 主控台中新增金鑰的相關資訊，請參閱 [管理 Amazon Q Developer 中的加密方法](manage-encryption.md)。

若要設定客戶受管金鑰來加密 Amazon Q Developer 中的資料，管理員需要使用 許可 AWS KMS。所需的 KMS 許可包含在範例 IAM 政策 [允許管理員使用 Amazon Q Developer 主控台](id-based-policy-examples-admins.md#q-admin-setup-admin-users) 中。

若要使用以客戶自管金鑰加密的功能，使用者須具備允許 Amazon Q 存取客戶自管金鑰的許可。如需授與所需許可的政策，請參閱 [允許 Amazon Q 存取客戶自管金鑰](id-based-policy-examples-users.md#id-based-policy-examples-allow-q-access-encryption)。

如果您在使用 Amazon Q Developer 時看到與 KMS 授權相關的錯誤，您可能需要更新許可才能允許 Amazon Q 建立授權。若要自動設定所需的許可，請前往 Amazon Q Developer 主控台，然後在頁面頂端的橫幅中選擇**更新許可**。