# Compartilhar snapshots criptografados para o Amazon RDS
<a name="share-encrypted-snapshot"></a>

É possível compartilhar snapshots de banco de dados que foram criptografados "em repouso" usando o algoritmo de criptografia AES-256, conforme descrito em [Criptografar recursos do Amazon RDS](Overview.Encryption.md).

As seguintes restrições se aplicam ao compartilhamento de snapshots criptografados:
+ Não é possível compartilhar snapshots criptografados como públicos.
+ Não é possível compartilhar snapshots do Oracle ou do Microsoft SQL Server criptografados usando Transparent Data Encryption (TDE).
+ Não é possível compartilhar um snapshot criptografado usando a chave do KMS padrão da Conta da AWS que compartilhou o snapshot.

  Para ter mais informações sobre o gerenciamento de chaves AWS KMS para o Amazon RDS, consulte [AWS KMS keyGerenciamento de](Overview.Encryption.Keys.md).

Para contornar o problema da chave do KMS padrão, realize as seguintes tarefas:

1. [Criar uma chave gerenciada pelo cliente e conceder acesso a ela](#share-encrypted-snapshot.cmk).

1. [Copiar e compartilhar o snapshot da conta de origem](#share-encrypted-snapshot.share).

1. [Copiar o snapshot compartilhado na conta de destino](#share-encrypted-snapshot.target).

## Criar uma chave gerenciada pelo cliente e conceder acesso a ela
<a name="share-encrypted-snapshot.cmk"></a>

Primeiro, você deve criar uma chave do KMS personalizada na mesma Região da AWS do snapshot de banco de dados criptografado. Ao criar a chave gerenciada pelo cliente, conceda acesso a ela a outra Conta da AWS.

**nota**  
Você também pode usar uma chave KMS de outra conta da AWS quando a política de chave concede acesso às contas de origem e de destino.

**Como criar uma chave gerenciada pelo cliente e conceder acesso a ela**

1. Faça login no Console de gerenciamento da AWS pela Conta da AWS de origem.

1. Abra o console do AWS KMS em [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Para alterar o Região da AWS, use o seletor de Região no canto superior direito da página.

1. No painel de navegação, escolha **Chaves gerenciadas pelo cliente**.

1. Escolha **Criar chave**.

1. Na página **Configurar chave**:

   1. Em **Tipo de chave**, selecione **Simétrico**.

   1. Em **Uso da chave**, selecione **Criptografar e descriptografar**.

   1. Expanda **Advanced options (Opções avançadas)**.

   1. Em **Origem do material de chaves**, selecione **KMS**.

   1. Em **Regionalidade**, selecione **Chave de região única**.

   1. Escolha **Próximo**.

1. Na página **Adicionar rótulos**:

   1. Para **Alias**, insira um nome de exibição para a chave do KMS, por exemplo, **share-snapshot**.

   1. (Opcional) Insira uma descrição para a chave do KMS.

   1. (Opcional) Adicione tags à chave do KMS.

   1. Escolha **Próximo**.

1. Na página **Definir permissões administrativas da chave**, escolha **Próximo**.

1. Na página **Definir permissões de uso da chave**:

   1. Em **Outras Contas da AWS**, selecione **Adicionar outra Conta da AWS**.

   1. Insira o ID da Conta da AWS à qual você deseja conceder acesso.

      É possível conceder acesso a várias Contas da AWS.

   1. Escolha **Próximo**.

1. Revise a chave do KMS e escolha **Concluir**.

## Copiar e compartilhar o snapshot da conta de origem
<a name="share-encrypted-snapshot.share"></a>

Depois, você deve copiar o snapshot de banco de dados de origem para um novo snapshot usando a chave gerenciada pelo cliente. Depois, você vai compartilhá-lo com a Conta da AWS de destino.

**Como copiar e compartilhar o snapshot**

1. Faça login no Console de gerenciamento da AWS pela Conta da AWS de origem.

1. Abra o console do Amazon RDS em [https://console.aws.amazon.com/rds/](https://console.aws.amazon.com/rds/).

1. No painel de navegação, escolha **Snapshots**.

1. Selecione o snapshot de banco de dados que você deseja copiar.

1. Para **Actions** (Ações), escolha **Copy Snapshot** (Copiar snapshot).

1. Na página **Copiar snapshot**:

   1. Em **Região de destino**, selecione a Região da AWS onde você criou a chave gerenciada pelo cliente no procedimento anterior.

   1. Digite o nome da cópia do snapshot de banco de dados em **Novo identificador de snapshot de banco de dados**.

   1. Para **AWS KMS key**, selecione a chave gerenciada pelo cliente que você criou.  
![\[Selecione a chave gerenciada pelo cliente.\]](http://docs.aws.amazon.com/pt_br/AmazonRDS/latest/UserGuide/images/copy-encrypted-snapshot.png)

   1. Escolha **Copy snapshot (Copiar snapshot)**.

1. Quando a cópia do snapshot estiver disponível, selecione-a.

1. Em **Actions** (Ações), selecione **Share Snapshot **(Compartilhar snapshot).

1. Na página **Permissões de snapshot**:

   1. Insira o **ID da Conta da AWS** com a qual você está compartilhando a cópia do snapshot e selecione **Adicionar**.

   1. Escolha **Salvar**.

   O snapshot é compartilhado.

## Copiar o snapshot compartilhado na conta de destino
<a name="share-encrypted-snapshot.target"></a>

Agora você pode copiar o snapshot compartilhado na Conta da AWS de destino.

**Como copiar o snapshot compartilhado**

1. Faça login no Console de gerenciamento da AWS pela Conta da AWS de destino.

1. Abra o console do Amazon RDS em [https://console.aws.amazon.com/rds/](https://console.aws.amazon.com/rds/).

1. No painel de navegação, escolha **Snapshots**.

1. Selecione a guia **Compartilhado comigo**.

1. Selecione o snapshot compartilhado.

1. Para **Actions** (Ações), escolha **Copy Snapshot** (Copiar snapshot).

1. Escolha as configurações para copiar o snapshot como no procedimento anterior, mas use uma AWS KMS key que pertença à conta de destino.

   Escolha **Copy snapshot (Copiar snapshot)**.