

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Usando o contexto de criptografia
<a name="encryption-context"></a>

Um contexto de criptografia é um conjunto opcional de pares de valores-chave que contêm informações contextuais adicionais sobre os dados. AWS O KMS usa o contexto de criptografia para oferecer suporte à criptografia autenticada. 

Quando você inclui um contexto de criptografia em uma solicitação de criptografia, o AWS KMS vincula o contexto de criptografia aos dados criptografados. Para descriptografar os dados, você inclui o mesmo contexto de criptografia na solicitação.

A análise de voz usa o mesmo contexto de criptografia em todas as operações criptográficas do AWS KMS, onde a chave está `aws:chime:voice-profile-domain:arn` e o valor é o recurso Amazon Resource Name (ARN).

O exemplo a seguir mostra um contexto de criptografia típico.

```
"encryptionContext": {
    "aws:chime:voice-profile-domain:arn": "arn:aws:chime:us-west-2:{{111122223333}}:voice-profile-domain/{{sample-domain-id}}"
}
```

Também é possível usar o contexto de criptografia em registros e logs de auditoria para identificar como a chave gerenciada pelo cliente está sendo usada. O contexto de criptografia também aparece nos registros gerados por CloudTrail ou CloudWatch Logs.

## Usando o contexto de criptografia para controlar o acesso à sua chave
<a name="context-to-control-access"></a>

Você pode usar o contexto de criptografia nas políticas de chave e políticas do IAM como condições para controlar o acesso à sua chave simétrica gerenciada pelo cliente. Você também pode usar restrições no contexto de criptografia em uma concessão.

A análise de voz usa uma restrição de contexto de criptografia nas concessões para controlar o acesso às chaves gerenciadas pelo cliente em sua conta ou região. A restrição de concessão exige que as operações permitidas pela concessão usem o contexto de criptografia especificado. 

O exemplo a seguir de declarações de política de chaves concede acesso a uma chave gerenciada pelo cliente para um contexto de criptografia específico. A condição na declaração de política exige que as concessões tenham uma restrição de contexto de criptografia que especifique o contexto de criptografia.

```
{
    "Sid": "Enable DescribeKey",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::{{111122223333}}:role/{{ExampleReadOnlyRole}}"
    },
    "Action": "kms:DescribeKey",
    "Resource": "*"
},
{
    "Sid": "Enable CreateGrant",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::{{111122223333}}:role/{{ExampleReadOnlyRole}}"
    },
    "Action": "kms:CreateGrant",
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:EncryptionContext:{{aws:chime:voice-profile-domain:arn}}": "arn:aws:chime:us-west-2:{{111122223333:voice-profile-domain}}/{{sample-domain-id}}"
        }
    }
}
```