# Uso de una AWS KMS key para cifrar las exportaciones de métricas
<a name="storage_lens_encrypt_permissions"></a>

Si desea conceder permiso a la Lente de almacenamiento de Amazon S3 para cifrar las exportaciones de métricas con una clave administrada por el cliente, debe utilizar una política de claves. Para actualizar la política de claves con el fin de poder usar una clave de KMS para cifrar las exportaciones de métricas de Lente de almacenamiento de S3, siga estos pasos. 

**Para conceder permisos a Lente de almacenamiento de S3 para cifrar datos mediante la clave de KMS**

1. Inicie sesión en la Consola de administración de AWS con la Cuenta de AWS que es propietaria de la clave administrada por el cliente.

1. Abra la consola de AWS KMS en [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Para cambiar la Región de AWS, utilice el **Selector de regiones** ubicado en la esquina superior derecha de la página.

1. En el panel de navegación izquierdo, elija **Claves administradas por el cliente**. 

1. En **Claves administradas por el cliente**, elija la clave que desea usar para cifrar las exportaciones de métricas. Las AWS KMS keys son específicas de la región y deben estar en la misma región que el bucket de S3 de destino de la exportación de métricas.

1. En **Política de claves**, seleccione **Cambiar a la vista de política**. 

1. Para actualizar la política de claves, elija **Editar**. 

1. En **Editar política de claves**, agregue la siguiente política de claves a la política de claves existente. Para utilizar esta política, sustituya ` {{user input placeholders}} ` por la información.

   ```
   {
       "Sid": "Allow Amazon S3 Storage Lens use of the KMS key",
        "Effect": "Allow",
       "Principal": {
           "Service": "storage-lens.s3.amazonaws.com"
       },
       "Action": [
           "kms:GenerateDataKey"
       ],
       "Resource": "*",
       "Condition": {
          "StringEquals": {
              "aws:SourceArn": "arn:aws:s3:{{us-east-1}}:        {{source-account-id}}:storage-lens/{{your-dashboard-name}}",
              "aws:SourceAccount": "{{source-account-id}}"
           }
        }
   }
   ```

1. Seleccione **Save changes (Guardar cambios)**. 

Para obtener más información acerca de cómo crear claves administradas por el cliente y de cómo usar las políticas de claves, consulte los siguientes temas en la *AWS Key Management Service Guía de desarrolladores*: 
+  [Crear una clave de KMS](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) 
+  [Políticas de claves en AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) 

Puede usar también la operación de la API de política de claves `PUT` de AWS KMS ([https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html)) para copiar la política de claves en las claves administradas por el cliente que desea utilizar para cifrar las exportaciones de métricas con la API de REST, la AWS CLI y los SDK.