# Etapa 2: criar um bucket de diretório da classe S3 Express One Zone 1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon S3 em [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/). 1. Na barra de navegação na parte superior da página, escolha o nome da Região da AWS exibida no momento. Em seguida, escolha a região na qual você deseja criar um bucket. **nota** Para reduzir a latência e os custos e atender aos requisitos regulatórios, selecione uma região perto de você. Os objetos armazenados em uma região nunca saem dessa região, a menos que você os transfira para outra região. Para obter uma lista de Regiões da AWS do Amazon S3, consulte [Endpoints de AWS service (Serviço da AWS)](https://docs.aws.amazon.com/general/latest/gr/rande.html#s3_region) no *Referência geral da Amazon Web Services*. 1. No painel de navegação à esquerda, escolha **Buckets de diretórios**. 1. Selecione **Create bucket (Criar bucket)**. A página **Create bucket** (Criar bucket) é aberta. 1. Em **Configuração geral**, visualize a Região da AWS onde o bucket será criado. Em **Tipo de bucket**, escolha **Diretório**. **nota** Se você escolher uma região que não oferece suporte a buckets de diretório, a opção **Tipo de bucket** desaparecerá e o tipo de bucket assumirá um bucket de uso geral como padrão. Para criar um bucket de diretório, escolha uma região compatível. Para obter uma lista de regiões que oferecem suporte a buckets de diretório e à classe de armazenamento Amazon S3 Express One Zone, consulte [Zonas de disponibilidade e regiões da classe S3 Express One Zone](s3-express-Endpoints.md). Depois de criar o bucket, não será possível alterar o tipo. **nota** A zona de disponibilidade não poderá ser alterada após a criação do bucket. 1. Em **Zona de disponibilidade**, escolha uma zona de disponibilidade que seja local para os seus serviços de computação. Para obter uma lista de zonas de disponibilidade que oferecem suporte a buckets de diretório e à classe de armazenamento S3 Express One Zone, consulte [Zonas de disponibilidade e regiões da classe S3 Express One Zone](s3-express-Endpoints.md). Em **Zona de disponibilidade**, marque a caixa de seleção para indicar que, em caso de interrupção na zona de disponibilidade, seus dados poderão ficar indisponíveis ou ser perdidos. **Importante** Embora os buckets de diretório sejam armazenados em vários dispositivos dentro de uma única zona de disponibilidade, eles não armazenam dados de forma redundante entre zonas de disponibilidade. 1. Em **Nome do bucket**, insira um nome para o bucket de diretório. As regras de nomenclatura a seguir se aplicam a buckets de diretório. + O nome deve ser exclusivo na zona escolhida (zona de disponibilidade da AWS ou zona local da AWS). + O nome deve ter entre 3 (mín.) e 63 (máx.) caracteres, incluindo o sufixo. + Consistir em letras minúsculas, números e hifens (-). + Inicie e termine com uma letra ou um número. + Deve incluir o seguinte sufixo: `--{{zone-id}}--x-s3`. + O nome do bucket não deve iniciar com o prefixo `xn--`. + O nome do bucket não deve iniciar com o prefixo `sthree-`. + O nome do bucket não deve iniciar com o prefixo `sthree-configurator`. + O nome do bucket não deve iniciar com o prefixo ` amzn-s3-demo-`. + Os nomes de bucket não podem terminar com o sufixo `-s3alias`. Esse sufixo se reserva a nomes de alias de ponto de acesso. Para obter mais informações, consulte [Alias de ponto de acesso](access-points-naming.md#access-points-alias). + Os nomes de bucket não podem terminar com o sufixo `--ol-s3`. Esse sufixo é reservado a nomes de alias de ponto de acesso de objeto do Lambda. Para obter mais informações, consulte [Como usar um alias no estilo do bucket para o ponto de acesso do Object Lambda do bucket do S3](olap-use.md#ol-access-points-alias). + Os nomes de bucket não podem terminar com o sufixo `.mrap`. Esse sufixo é reservado para nomes de ponto de acesso de várias regiões. Para obter mais informações, consulte [Regras para nomear pontos de acesso multirregionais do Amazon S3](multi-region-access-point-naming.md). Um sufixo é adicionado automaticamente ao nome de base que você fornece ao criar um bucket de diretório usando o console. Esse sufixo inclui o ID da zona de disponibilidade que você escolheu. Depois de criado o bucket, você não pode mudar seu nome. Para obter mais informações sobre como nomear buckets, consulte [Regras de nomenclatura de buckets de uso geral](bucketnamingrules.md). **Importante** Não inclua informações confidenciais, como números de conta, no nome do bucket. O nome do bucket é visível nos URLs que apontam para os objetos no bucket. 1. Em **Propriedade do objeto**, a configuração **Imposto pelo proprietário do bucket** está habilitada automaticamente e todas as listas de controle de acesso (ACLs) estão desabilitadas. Para os buckets de diretório, não é possível habilitar ACLs. **Imposto pelo proprietário do bucket (padrão)**: as ACLs são desabilitadas e o proprietário do bucket automaticamente tem propriedade e controle total sobre todos os objetos do bucket de uso geral. As ACLs não afetam mais as permissões de acesso aos dados no bucket de uso geral do S3. O bucket usa políticas exclusivamente para definir o controle de acesso. 1. Em **Configurações de bloqueio do acesso público deste bucket**, todas as configurações da funcionalidade Bloqueio de Acesso Público para o bucket de diretório estão automaticamente habilitadas. Não é possível modificar essas configurações para buckets de diretório. Para obter mais informações sobre como bloquear o acesso público, consulte [Bloquear o acesso público ao armazenamento do Amazon S3](access-control-block-public-access.md). 1. Para configurar a criptografia padrão, em **Tipo de criptografia**, selecione uma das seguintes opções: + **Criptografia do lado do servidor com chave gerenciada pelo Amazon S3 (SSE-S3)** + **Criptografia do lado do servidor com chave do AWS Key Management Service (SSE-KMS)** Para obter mais informações sobre como usar a criptografia no lado do servidor do Amazon S3 para criptografar seus dados, consulte [Proteção e criptografia de dados](s3-express-data-protection.md). **Importante** Se você usar a opção SSE-KMS em sua configuração de criptografia padrão, estará sujeito à cota de solicitações por segundo (RPS) do AWS KMS. Para obter mais informações sobre as cotas do AWS KMS e como solicitar um aumento de cota, consulte [Cotas](https://docs.aws.amazon.com/kms/latest/developerguide/limits.html) no *Guia do desenvolvedor do AWS Key Management Service*. Ao habilitar a criptografia padrão, poderá ser necessário atualizar a política de bucket. Para obter mais informações, consulte [Usar criptografia SSE-KMS para operações entre contas](bucket-encryption.md#bucket-encryption-update-bucket-policy). 1. Se você escolher **Criptografia do lado do servidor com chaves gerenciadas pelo Amazon S3 (SSE-S3)**, aparecerá **Habilitado** em **Chave do bucket**. As chaves de bucket do S3 são sempre habilitadas quando você configura o bucket de diretório para usar a criptografia padrão com SSE-S3. As chaves de bucket do S3 estão sempre habilitadas para operações `GET` e `PUT` em um bucket de diretório e não podem ser desabilitadas. Não são aceitas chaves de bucket do S3 quando você copia objetos criptografados por SSE-KMS de buckets de uso geral para buckets de diretório, de buckets de diretório para buckets de uso geral ou entre buckets de diretório, por meio de [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html), de [https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html), [da operação Copy em Operações em Lote](directory-buckets-objects-Batch-Ops.md) ou [de trabalhos de import](create-import-job.md). Nesse caso, o Amazon S3 faz uma chamada para o AWS KMS sempre que uma solicitação de cópia é feita para um objeto criptografado pelo KMS. As chaves de bucket do S3 diminuem o custo de criptografia reduzindo o tráfego de solicitações do Amazon S3 para o AWS KMS. Para obter mais informações, consulte [Redução do custo do SSE-KMS com chaves de bucket do Amazon S3](bucket-key.md). 1. Se você escolher **Criptografia do lado do servidor com chave do AWS Key Management Service (SSE-KMS)**, em **Chave do AWS KMS**, especifique uma chave do AWS Key Management Service de uma das maneiras a seguir ou crie uma chave. + Para escolher uma chave do KMS na lista disponível, selecione **Escolher entre suas AWS KMS keys** e escolha sua **Chave do KMS** em **AWS KMS keys disponíveis**. Somente as suas chaves gerenciadas pelo cliente são exibidas nessa lista. Não é possível usar o Chave gerenciada pela AWS (`aws/s3`) em buckets de diretório. Para ter mais informações sobre chaves gerenciadas pelo cliente, consulte [Chaves de clientes e chaves da AWS](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#key-mgmt) no *Guia do desenvolvedor do AWS Key Management Service*. + Para inserir o ARN ou o alias da chave do KMS, escolha **Inserir ARN da AWS KMS key** e insira o ARN ou o alias da chave do KMS em **ARN da AWS KMS key**. + Para criar uma chave gerenciada pelo cliente no console do AWS KMS, selecione **Criar uma chave do KMS**. Para ter mais informações sobre como criar uma AWS KMS key, consulte [Criação de chaves](https://docs.aws.amazon.com//kms/latest/developerguide/create-keys.html) no * Guia do desenvolvedor do AWS Key Management Service*. **Importante** A configuração de SSE-KMS só comporta uma [chave gerenciada pelo cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) por bucket de diretório durante a vida útil do bucket. Não há suporte para [https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk) (`aws/s3`). Além disso, depois que você especifica uma chave gerenciada pelo cliente para SSE-KMS, não é possível substituí-la pela configuração de SSE-KMS do bucket. É possível identificar a chave gerenciada pelo cliente que você especificou para a configuração SSE-KMS do bucket, da seguinte forma: Faça uma solicitação de operação de API `HeadObject` para encontrar o valor de `x-amz-server-side-encryption-aws-kms-key-id` em sua resposta. Para usar uma nova chave gerenciada pelo cliente em seus dados, recomendamos copiar os objetos existentes em um novo bucket de diretório com uma nova chave gerenciada pelo cliente. Você só pode usar chaves do KMS disponíveis na mesma Região da AWS que o bucket. O console do Amazon S3 lista somente as primeiras 100 chaves do KMS na mesma região que o bucket. Para usar uma chave do KMS que não esteja listada, você deve inserir o ARN da chave do KMS. Se quiser usar uma chave do KMS que seja de propriedade de outra conta, primeiro você deverá ter permissão para usar a chave e, depois, inserir o ARN da chave do KMS. Para obter mais informações sobre permissões entre contas para chaves do KMS, consulte [Criar chaves do KMS que outras contas podem usar](https://docs.aws.amazon.com//kms/latest/developerguide/key-policy-modifying-external-accounts.html#cross-account-console) no *Guia do desenvolvedor do AWS Key Management Service*. Para obter mais informações sobre a SSE-KMS, consulte [Especificar a criptografia do lado do servidor com o AWS KMS (SSE-KMS) para novos uploads de objetos em buckets de diretório](s3-express-specifying-kms-encryption.md). Ao usar uma AWS KMS key para criptografia do lado do servidor em buckets de diretório, você deve escolher uma chave de criptografia do KMS simétrica. O Amazon S3 só é compatível com chaves do KMS de criptografia simétrica, e não com chaves assimétricas do KMS. Para ter mais informações, consulte [Identificar chaves do KMS simétricas e assimétricas](https://docs.aws.amazon.com//kms/latest/developerguide/find-symm-asymm.html) no *Guia do desenvolvedor do AWS Key Management Service*. Para obter mais informações sobre como usar o AWS KMS com o Amazon S3, consulte [Usar a criptografia do lado do servidor com chaves do AWS KMS (SSE-KMS) em buckets de diretório](s3-express-UsingKMSEncryption.md). 1. Selecione **Criar bucket**. Depois de criar o bucket, você pode adicionar arquivos e pastas a ele. Para obter mais informações, consulte [Trabalhar com objetos em um bucket de diretório](directory-buckets-objects.md).