Appearance
Kiro 遵循 AWS 共享责任模型处理数据安全。免费版和个人订阅用户的数据存储在 US East(弗吉尼亚北部)区域,企业用户数据不被存储。Kiro 底层基于 Amazon Bedrock,使用跨区域推理提升大模型性能,数据静态加密默认使用 AWS 托管 KMS 密钥,企业管理员可配置客户自管密钥(CMK)。用户可在 IDE 或 CLI 的设置中随时退出遥测和内容采集。
Kiro CLI 数据保护:存储、加密与服务改进控制
AWS 共享责任模型同样适用于 Kiro 的数据保护。AWS 负责保护运行所有 AWS Cloud 的全球基础设施,你负责管理托管在该基础设施上的内容,以及所使用 AWS 服务的安全配置。更多信息请参阅 Data Privacy FAQ。
数据存储
Kiro 会存储你的问题、其回复,以及用于生成后续回复的上下文信息(例如代码)。
内容存储和处理的 AWS 区域
- Kiro 免费版用户或个人订阅用户:你的内容(如提示和回复)存储在 US East(弗吉尼亚北部)区域。
- Kiro 企业用户:数据不被存储。
启用跨区域推理后,你的内容可能在同一地理区域内的不同 AWS 区域进行处理,但不影响存储位置。
跨区域处理
跨区域推理(Cross-region inference)
Kiro 底层由 Amazon Bedrock 驱动,使用跨区域推理在不同 AWS 区域之间分配流量,以提升大语言模型(LLM)推理性能和可靠性。这意味着在高需求时段你可以获得更高的吞吐量和更好的弹性,但不会改变数据的存储位置。
支持的跨区域推理地理
| Kiro 地理 | 推理区域 |
|---|---|
| 美国 | US East (N. Virginia) us-east-1 / US West (Oregon) us-west-2 / US East (Ohio) us-east-2 / AWS GovCloud (US-East) / AWS GovCloud (US-West) |
| 欧洲 | Europe (Frankfurt) eu-central-1 / Europe (Ireland) eu-west-1 / Europe (Paris) eu-west-3 / Europe (Stockholm) eu-north-1 / Europe (Milan) eu-south-1 / Europe (Spain) eu-south-2 |
实验性功能的全球跨区域推理
标记为 experimental 的模型和功能可能使用全球跨区域推理,推理请求可能在全球各商业 AWS 区域处理,但数据存储位置不受影响。仅明确标注为 experimental 的功能适用此策略。
数据加密
传输加密(Encryption in transit)
客户与 Kiro 之间,以及 Kiro 与其下游依赖之间的所有通信,均使用 TLS 1.2 或更高版本进行保护。
静态加密(Encryption at rest)
Kiro 默认使用来自 AWS Key Management Service(AWS KMS)的 AWS 托管加密密钥对数据进行加密,无需任何额外操作。
企业客户可选:客户自管密钥(CMK)
Kiro 企业订阅下,管理员可以创建客户自管 KMS 密钥(Customer Managed Key)来加密数据,从而对数据访问保持直接控制权。注意:仅支持对称密钥。
配置步骤:
服务改进说明
为了让 Kiro 提供更准确的信息,AWS 可能将部分内容(如你的问题、输入内容,以及 Kiro 生成的回复和代码)用于服务改进,包括改善常见问题的回复质量、修复运营问题、调试或模型训练。
- 适用范围:Kiro 免费版用户和个人订阅用户。
- 企业用户的内容不会被用于服务改进。
退出数据共享
默认情况下,Kiro 对免费版和个人订阅用户收集使用数据、错误信息、崩溃报告及内容。你可以按以下方式退出。
企业用户已由 AWS 自动退出遥测和内容收集;用户活动报告的遥测设置由管理员在 Kiro 控制台统一管理,企业用户不可自行配置。
在 IDE 中退出
- 打开 Kiro 设置(Settings)。
- 切换到 User 子标签。
- 选择 Application > Telemetry and Content。
- 退出遥测:取消勾选 Data Sharing and Prompt Logging: Usage Analytics And Performance Metrics。
- 退出内容收集:取消勾选 Data Sharing and Prompt Logging: Content Collection for Service Improvement。
在 CLI 中退出
- 打开 Kiro CLI 的偏好设置(Preferences)。
- 退出遥测:关闭 Telemetry 开关。
- 退出内容收集:关闭 Share Kiro content with AWS 开关。
收集的遥测类型
| 类别 | 内容 |
|---|---|
| 使用数据 | Kiro 版本、操作系统(Windows/Linux/macOS)、匿名机器 ID |
| 性能指标 | 各功能的请求数、错误数、延迟(包括登录、Tab 补全、代码生成、Spec 生成、Tools、MCP 等) |
常见问题
Q:企业用户的数据是否也存储在 AWS 服务器上?
不存储。Kiro 企业用户的数据不会被 Kiro 服务保留,且企业用户已自动退出遥测和内容收集,无需手动操作。
Q:跨区域推理会把我的数据发送到其他国家吗?
跨区域推理可能在同一地理区域(如美国境内或欧洲境内)的不同 AWS 区域处理请求,但不会跨地理区域传输数据,且数据的存储位置不受影响。实验性功能可能使用全球跨区域推理,如有疑虑建议关注 experimental 标记。
Q:如何使用自己的加密密钥(CMK)保护数据?
仅 Kiro 企业管理员可配置 CMK。需要在 AWS KMS 创建对称密钥,确保管理员账号具备必要 IAM 权限,然后在 Kiro 控制台中填入密钥信息即可生效。