Kiro 作为 AWS 托管服务，受 AWS 全球网络安全体系保护，无需用户单独维护底层基础设施安全。客户端访问 Kiro API 时，必须满足 TLS 1.2 及以上（推荐 TLS 1.3）、支持具备完全前向保密（PFS）的加密套件，以及使用 IAM 主体访问密钥或 AWS STS 临时凭证对请求进行签名等要求。

Kiro CLI 基础设施安全：TLS 要求与 AWS 全球网络保护

Kiro 作为托管服务，受 AWS 全球网络安全体系保护。关于 AWS 安全服务及基础设施保护的详细信息，请参阅 AWS Cloud Security。如需按最佳实践设计你的 AWS 环境，请参阅 AWS Well-Architected Framework 安全支柱中的 Infrastructure Protection。

客户端访问要求

通过网络调用 Kiro 发布的 API 时，客户端必须满足以下要求：

TLS 版本

• 必须支持 TLS 1.2（最低要求）
• 推荐使用 TLS 1.3

加密套件（Cipher Suites）

必须支持具备**完全前向保密（Perfect Forward Secrecy，PFS）**的加密套件，例如：

• DHE（Ephemeral Diffie-Hellman，短暂 DH）
• ECDHE（Elliptic Curve Ephemeral Diffie-Hellman，椭圆曲线短暂 DH）

绝大多数现代系统（Java 7 及更高版本、主流语言运行时）默认支持这些加密模式。

请求签名

所有请求必须通过以下方式之一进行签名：

• 使用与 IAM 主体关联的访问密钥 ID（Access Key ID）和秘密访问密钥（Secret Access Key）
• 使用 AWS Security Token Service（AWS STS） 生成的临时安全凭证

推荐在生产环境中使用 STS 临时凭证，避免长期密钥泄露的安全风险。

常见问题

Q：Kiro 的基础设施安全由谁负责？

根据 AWS 共享责任模型，AWS 负责 Kiro 底层基础设施（物理主机、网络、数据中心）的安全，你（用户）负责自己的访问凭证管理、IAM 权限配置，以及客户端满足 TLS 和签名要求。

Q：我的客户端不支持 TLS 1.2，可以降级吗？

不可以。TLS 1.2 是 Kiro API 访问的最低要求，不支持旧版 TLS。如果你的客户端或代理只支持 TLS 1.0/1.1，需要先升级客户端环境，再接入 Kiro。

Q：使用 IAM Identity Center 或 Builder ID 登录时，还需要手动签名请求吗？

不需要。通过 Kiro IDE 或 CLI 正常使用时，Kiro 客户端会自动处理凭证获取和请求签名，无需手动操作。手动签名要求主要针对直接调用 Kiro 底层 API（如通过 AWS SDK）的场景。