Appearance
Kiro 的数据保护遵循 AWS 共享责任模型。免费版和个人订阅者的数据存储在美东(弗吉尼亚)区域,企业用户数据不存储。Kiro 使用跨区域推理提升 LLM 性能,传输层采用 TLS 1.2+,静态数据使用 AWS KMS 加密(企业版支持客户自管密钥)。用户可在设置中退出遥测和内容收集。
AWS 共享责任模型同样适用于 Kiro 的数据保护。AWS 负责保护运行所有 AWS 云服务的全球基础设施;你负责对托管在该基础设施上的内容保持控制权,以及所使用 AWS 服务的安全配置和管理。更多数据隐私信息请参阅 Data Privacy FAQ。
数据存储
Kiro 存储你的提问、回答及代码等附加上下文,用于生成后续请求的响应。
内容存储和处理的 AWS 区域
- Kiro 免费版用户和个人订阅者:内容(提示词和响应)存储在美国东部(弗吉尼亚北部)区域。
- Kiro 企业用户:数据不存储。
启用跨区域推理时,内容可能在存储区域所在地理范围内的其他区域处理。详见跨区域处理章节。
跨区域处理
跨区域推理
Kiro 由 Amazon Bedrock 提供支持,使用跨区域推理将流量分配到多个 AWS 区域,提升大型语言模型(LLM)的推理性能和可靠性。跨区域推理可在高需求时期增加吞吐量和韧性,并改善整体性能。
跨区域推理不影响数据的存储位置。
Kiro 跨区域推理支持的区域
| Kiro 地理区域 | 推理区域 |
|---|---|
| 美国 | 美东(弗吉尼亚北部)us-east-1 美西(俄勒冈)us-west-2 美东(俄亥俄)us-east-2 AWS GovCloud (US-East) AWS GovCloud (US-West) |
| 欧洲 | 法兰克福 eu-central-1 爱尔兰 eu-west-1 巴黎 eu-west-3 斯德哥尔摩 eu-north-1 米兰 eu-south-1 西班牙 eu-south-2 |
实验性功能的全球跨区域推理
Kiro 可能以"实验性"标签引入新模型和功能,其数据处理方式与上表不同。实验性模型启动时,Kiro 可能使用全球跨区域推理优化性能,在全球所有受支持的 AWS 商业区域中调度容量。
对于标记为实验性的模型和功能:
- 推理请求可能在全球多个 AWS 区域处理,包括 Kiro 配置文件所关联区域之外的区域。
- 全球路由不影响数据的存储区域。
- 此全球路由策略用于优化资源可用性,保障实验性模型发布时的性能一致性。
数据加密
传输加密
客户与 Kiro 之间,以及 Kiro 与其下游依赖之间的所有通信,均通过 TLS 1.2 或更高版本连接保护。
静态加密
Kiro 使用来自 AWS Key Management Service(AWS KMS)的 AWS 自有加密密钥对数据进行加密。你无需采取任何操作来保护这些 AWS 托管密钥。详见 AWS owned keys。
Kiro 企业版:管理员可选择创建**客户自管密钥(Customer Managed Key)**加密数据。客户自管密钥是你在 AWS 账号中创建、拥有和管理的 KMS 密钥,可直接控制对数据的访问权限。仅支持对称密钥。
配置客户自管密钥需要 AWS KMS 权限,所需权限已包含在示例 IAM 策略中。创建 KMS 密钥后,需在 Kiro 控制台中提供该密钥以启用加密。
服务改进数据使用
为帮助 Kiro 提供更相关的信息,AWS 可能将部分内容用于服务改进,包括你向 Kiro 提出的问题、其他输入内容,以及 Kiro 生成的响应和代码。
企业用户数据不用于服务改进。
免费版用户和个人订阅者(通过 GitHub、Google 等社交登录或 AWS Builder ID 访问付费订阅的用户)的内容可能用于服务改进,例如改善常见问题的回答质量、修复运营问题、调试或模型训练。
退出数据共享
在 IDE 中退出
- 打开 Kiro Settings
- 切换到 User 子标签页
- 选择 Application,然后选择 Telemetry and Content
- 退出遥测收集:取消勾选 Data Sharing and Prompt Logging: Usage Analytics And Performance Metrics
- 退出内容收集:取消勾选 Data Sharing and Prompt Logging: Content Collection for Service Improvement
在 CLI 中退出
- 打开 Kiro CLI 应用的 Preferences
- 退出遥测收集:关闭 Telemetry 开关
- 退出内容收集:关闭 Share Kiro content with AWS 开关
遥测收集类型
- 使用数据:Kiro 版本、操作系统(Windows/Linux/macOS)、匿名机器 ID 等信息。
- 性能指标:登录、Tab 补全、代码生成、Steering、Hooks、Spec 生成、工具调用、MCP 等功能的请求数量、错误率和延迟数据。
常见问题
Q:免费版用户的数据真的会被用于模型训练吗?
A:根据官方文档,AWS 可能将免费版用户和个人订阅者的内容用于服务改进,"模型训练"是明确列出的用途之一。如果不希望数据被用于此目的,可按上述步骤在 IDE 或 CLI 中退出内容收集。
Q:企业版的客户自管密钥(CMK)与默认加密有什么区别?
A:默认加密使用 AWS 代表所有客户管理的 AWS 自有密钥,你无法直接控制密钥的访问策略。客户自管密钥由你在自己的 AWS 账号中创建和管理,可以通过 KMS 密钥策略精确控制谁能访问加密数据,满足需要"客户掌控加密密钥"的合规要求。
Q:跨区域推理是否意味着我的数据会被传输到其他国家?
A:跨区域推理可能在数据存储区域所在地理范围内的其他 AWS 区域处理推理请求(如美国境内的多个区域),但数据的存储位置不变。实验性功能可能例外,存在全球范围内的区域调度。数据主权敏感的场景建议避免使用实验性功能。