隐私和安全

安全责任共享模型

Kiro 采用共享责任模型来确保平台和用户数据的安全:

AWS 和 Kiro 的责任

  • AWS 负责:保护运行 AWS 服务的基础设施
  • Kiro 负责:应用层安全、数据加密、访问控制
  • 用户负责:数据敏感性评估、公司合规要求、适用法律法规的遵守

责任分工

AWS 基础设施责任:
  - 物理安全和环境控制
  - 网络基础设施保护
  - 主机操作系统和虚拟化层
  - 服务可用性和冗余

Kiro 平台责任:
  - 应用程序安全
  - 数据传输加密
  - 身份验证和授权
  - 安全更新和补丁

用户责任:
  - 数据分类和标记
  - 访问权限管理
  - 合规性要求遵守
  - 安全最佳实践实施

数据保护和存储

数据存储位置

主要存储区域

  • 默认区域:美国东部(弗吉尼亚北部)
  • 跨区域推理:为提高性能,可能使用跨区域推理服务
  • 数据本地化:支持特定区域的数据存储需求

数据类型和处理

用户数据分类:
  代码文件:
    存储位置: 用户指定区域
    加密方式: 静态加密 + 传输加密
    访问控制: 基于用户权限
  
  项目配置:
    存储位置: 用户工作区
    备份策略: 自动备份
    版本控制: Git 集成
  
  聊天记录:
    存储位置: 加密存储
    保留期限: 可配置
    用户控制: 可删除和导出
  
  使用遥测:
    数据类型: 匿名化指标
    用途: 性能优化
    隐私: 不包含用户代码

加密保护措施

传输中加密

  • TLS 保护:所有通信使用 TLS 1.2 或更高版本连接保护
  • 端到端加密:敏感数据传输全程加密
  • 证书管理:自动证书更新和管理

静态加密

  • 加密密钥:使用 AWS 自有加密密钥加密数据
  • 密钥管理:AWS Key Management Service (KMS) 管理
  • 加密算法:AES-256 标准加密
加密实施细节:
  传输加密:
    协议: TLS 1.2+
    密码套件: 现代加密套件
    证书: 自动更新的 SSL/TLS 证书
  
  静态加密:
    算法: AES-256
    密钥管理: AWS KMS
    访问控制: 基于 IAM 角色
  
  应用层加密:
    敏感字段: 额外加密层
    密钥轮转: 定期自动轮转
    访问日志: 完整审计跟踪

服务改进和数据使用

数据使用政策

允许的使用场景

Kiro 可能使用用户内容来:

  1. 改善响应质量:为常见问题提供更好的回答
  2. 修复运营问题:识别和解决系统问题
  3. 调试和故障排除:改进系统稳定性
  4. 模型训练:在用户同意的情况下改进 AI 模型

用户控制选项

数据控制选项:
  选择退出:
    位置: IDE 设置中
    效果: 停止数据共享用于改进
    范围: 适用于所有用户内容
  
  Amazon Q Developer Pro:
    特权: 内容豁免使用
    保护: 更高级别的隐私保护
    合规: 企业级数据处理
  
  透明度控制:
    数据查看: 用户可查看存储的数据
    数据删除: 用户可请求删除数据
    数据导出: 支持数据可移植性

数据最小化原则

收集限制

  • 必要性原则:仅收集提供服务必需的数据
  • 目的限制:数据使用仅限于声明的目的
  • 保留期限:设定合理的数据保留期限

匿名化处理

数据匿名化:
  个人标识符:
    处理方式: 移除或哈希化
    保护级别: 不可逆匿名化
    使用范围: 统计分析和改进
  
  代码内容:
    敏感信息: 自动检测和过滤
    个人数据: 不用于训练
    商业机密: 额外保护措施

安全模式和控制

操作安全模式

自动驾驶模式

  • 特点:AI 代理自主工作
  • 安全措施:预定义操作边界
  • 监控:实时活动监控
  • 回滚:支持操作回滚

监督模式

  • 特点:需要用户批准每个操作
  • 控制:用户完全控制执行
  • 透明度:显示所有建议的更改
  • 安全性:最高级别的用户控制
安全模式对比:
  自动驾驶模式:
    用户控制: 中等
    执行速度: 
    适用场景: 信任的环境和任务
    安全措施: 自动边界检查
  
  监督模式:
    用户控制: 完全控制
    执行速度: 取决于用户响应
    适用场景: 敏感或关键操作
    安全措施: 人工审核每个步骤

可信命令系统

默认可信命令

仅限于只读命令的有限集合,包括:

# 文件系统只读命令
ls, ll, pwd, tree
cat, head, tail, less, more

# Git 查询命令
git status, git log, git diff
git branch, git remote -v

# 系统信息命令
ps, top, htop, df, du
whoami, uname, date

# 包管理查询
npm list, pip list
composer show, cargo tree

自定义可信命令

可信命令配置:
  自定义模式:
    - 用户可添加自定义可信命令
    - 支持通配符模式匹配
    - 团队级别的命令策略
  
  示例配置:
    开发命令:
      - "npm run test"
      - "yarn build"
      - "make clean"
    
    部署命令:
      - "kubectl get pods"
      - "docker ps"
      - "terraform plan"
  
  安全检查:
    - 命令白名单验证
    - 参数安全性检查
    - 执行权限验证

安全最佳实践建议

工作区隔离

环境分离

隔离策略:
  开发环境:
    用途: 日常开发和实验
    数据: 非生产数据
    权限: 标准开发权限
  
  测试环境:
    用途: 功能测试和验证
    数据: 测试数据集
    权限: 受限的测试权限
  
  生产环境:
    用途: 生产系统维护
    数据: 真实生产数据
    权限: 最小必要权限

清洁环境使用

  • 专用工作区:为 Kiro 创建专用的开发环境
  • 数据分离:避免在 Kiro 工作区中存储敏感生产数据
  • 权限最小化:仅授予必要的系统和数据访问权限

AWS 凭据管理

安全凭据实践

凭据管理最佳实践:
  凭据存储:
    - 使用 AWS IAM 角色而非长期密钥
    - 启用 MFA(多因素认证)
    - 定期轮换访问密钥
  
  权限控制:
    - 遵循最小权限原则
    - 使用 IAM 策略精确控制权限
    - 定期审查和清理权限
  
  监控和审计:
    - 启用 CloudTrail 日志记录
    - 监控异常访问模式
    - 设置权限变更告警

IAM 策略示例

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:PutObject"
      ],
      "Resource": "arn:aws:s3:::my-kiro-bucket/*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents"
      ],
      "Resource": "*"
    }
  ]
}

仓库访问控制

代码仓库安全

仓库安全配置:
  访问控制:
    - 使用 SSH 密钥而非密码
    - 启用分支保护规则
    - 要求代码审查
  
  敏感数据保护:
    - 使用 .gitignore 排除敏感文件
    - 扫描历史提交中的密钥
    - 实施预提交钩子检查
  
  审计和监控:
    - 记录所有访问活动
    - 监控异常推送行为
    - 定期审查协作者权限

合规性和认证

行业标准合规

安全认证

合规认证:
  SOC 2 Type II:
    覆盖范围: 安全、可用性、机密性
    审计频率: 年度审计
    报告获取: 可向企业客户提供
  
  GDPR 合规:
    适用范围: 欧盟用户数据
    权利保护: 访问、更正、删除权
    数据保护: 数据最小化和目的限制
  
  HIPAA 合规:
    适用场景: 企业版健康数据
    保护措施: 额外的技术和管理控制
    协议要求: 业务关联协议 (BAA)
  
  ISO 27001:
    管理体系: 信息安全管理
    控制措施: 全面的安全控制
    持续改进: 定期审查和更新

数据主权和本地化

区域数据处理

数据本地化选项:
  欧盟数据:
    存储位置: 欧盟境内数据中心
    处理限制: 遵守 GDPR 要求
    传输控制: 标准合同条款
  
  中国数据:
    存储位置: 中国境内(如适用)
    合规要求: 遵守网络安全法
    监管要求: 满足数据本地化要求
  
  其他地区:
    灵活配置: 根据法律要求配置
    合规支持: 提供合规性文档
    技术措施: 实施必要的技术控制

用户隐私控制

数据管理权利

用户权利

数据权利:
  查看权:
    范围: 所有个人数据
    方式: 自助服务门户
    格式: 结构化可读格式
  
  更正权:
    范围: 不准确或过时的数据
    流程: 在线更新或支持请求
    时效: 及时处理更正请求
  
  删除权:
    范围: 个人数据和账户
    保留: 法律要求的数据
    确认: 删除确认通知
  
  可移植权:
    范围: 用户生成的数据
    格式: 常见可移植格式
    传输: 直接传输到其他服务

隐私设置控制

可配置隐私选项

隐私控制选项:
  数据收集:
    遥测数据: 可选择退出
    使用分析: 可自定义级别
    错误报告: 可控制详细程度
  
  数据共享:
    改进目的: 可选择退出
    研究目的: 需要明确同意
    第三方: 严格控制和透明
  
  通信偏好:
    产品更新: 可订阅/取消订阅
    安全通知: 重要通知无法取消
    营销信息: 完全可控制

安全事件响应

事件响应流程

安全事件分类

事件分类:
  高级别事件:
    - 数据泄露
    - 未授权访问
    - 系统入侵
    响应时间: 1小时内
  
  中级别事件:
    - 配置错误
    - 权限异常
    - 可疑活动
    响应时间: 4小时内
  
  低级别事件:
    - 登录异常
    - 性能问题
    - 配置变更
    响应时间: 24小时内

响应程序

响应步骤:
  1. 检测和识别:
     - 自动监控告警
     - 用户报告
     - 第三方通知
  
  2. 遏制和隔离:
     - 隔离受影响系统
     - 停止进一步损害
     - 保护证据
  
  3. 调查和分析:
     - 确定影响范围
     - 分析根本原因
     - 评估数据影响
  
  4. 恢复和修复:
     - 修复漏洞
     - 恢复服务
     - 加强安全措施
  
  5. 沟通和报告:
     - 通知受影响用户
     - 监管机构报告
     - 公开透明沟通

联系和支持

安全问题报告

如果您发现安全问题或有隐私相关的疑问,请通过以下渠道联系我们:

  • 安全邮箱security@kiro.dev
  • 隐私邮箱privacy@kiro.dev
  • 支持中心:通过 Kiro 应用内的支持系统
  • 企业客户:通过专门的企业支持渠道

漏洞披露政策

我们鼓励负责任的安全研究,并承诺:

  1. 响应时间:24小时内确认收到报告
  2. 调查期间:不对善意的安全研究采取法律行动
  3. 修复时间:根据严重程度,30-90天内修复
  4. 认可:在修复后公开感谢研究者(如愿意)

页面最后更新:2025年7月21日