# Usar uma AWS KMS key para criptografar suas exportações de métricas
<a name="storage_lens_encrypt_permissions"></a>

Para conceder permissão à Lente de Armazenamento do Amazon S3 para criptografar as exportações de métricas usando uma chave gerenciada pelo cliente, é necessário usar uma política de chaves. Para atualizar a política de chaves a fim de poder usar uma chave do KMS para criptografar as exportações de métricas da Lente de Armazenamento do S3, siga estas etapas. 

**Como conceder permissões à Lente de Armazenamento do S3 para criptografia usando a chave do KMS**

1. Faça login no Console de gerenciamento da AWS usando a Conta da AWS que é proprietária da chave gerenciada pelo cliente.

1. Abra o console do AWS KMS em [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Para alterar a Região da AWS, use o **Region selector** (Seletor de regiões) no canto superior direito da página.

1. No painel de navegação esquerdo, escolha **Customer managed keys** (Chaves gerenciadas pelo cliente). 

1. Em **Customer managed keys** (Chaves gerenciadas pelo cliente), escolha a chave que você deseja usar para criptografar as exportações de métricas. As AWS KMS keys são específicas da região e devem estar na mesma região que o bucket S3 de destino de exportação de métricas.

1. Em **Key policy** (Política de chave), escolha **Switch to policy view** (Alternar para visualização de política). 

1. Para atualizar a política de chave, escolha **Edit** (Editar). 

1. Em **Edit key policy** (Editar política de chave), adicione a seguinte política de chave à existente. Para usar essa política, substitua os ` {{user input placeholders}} ` por suas próprias informações.

   ```
   {
       "Sid": "Allow Amazon S3 Storage Lens use of the KMS key",
        "Effect": "Allow",
       "Principal": {
           "Service": "storage-lens.s3.amazonaws.com"
       },
       "Action": [
           "kms:GenerateDataKey"
       ],
       "Resource": "*",
       "Condition": {
          "StringEquals": {
              "aws:SourceArn": "arn:aws:s3:{{us-east-1}}:        {{source-account-id}}:storage-lens/{{your-dashboard-name}}",
              "aws:SourceAccount": "{{source-account-id}}"
           }
        }
   }
   ```

1. Escolha **Salvar alterações**. 

Para obter mais informações sobre como criar chaves gerenciadas pelo cliente e usar políticas de chave, consulte os seguintes tópicos no * Guia do desenvolvedor do AWS Key Management Service*: 
+  [Crie uma chave do KMS](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) 
+  [Key policies in AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) 

Você também pode usar a operação de API `PUT` de política de chaves do AWS KMS ([https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html)) para copiar a política de chaves para as chaves gerenciadas pelo cliente que deseja usar para criptografar as exportações de métricas usando a API REST, a AWS CLI e SDKs.