As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Criptografia do Amazon EBS
Use a criptografia do Amazon EBS como uma solução de criptografia simples e direta para os recursos do Amazon EBS associados a instâncias do Amazon EC2. Com a criptografia do Amazon EBS, não é necessário criar, manter e proteger sua própria infraestrutura de gerenciamento de chaves. A criptografia do Amazon EBS usa AWS KMS keys ao criar volumes e snapshots criptografados.
As operações de criptografia ocorrem nos servidores que hospedam instâncias do EC2, garantindo a segurança de uma instância data-at-rest e data-in-transit entre ela e seu armazenamento EBS conectado.
É possível anexar volumes criptografados e não criptografados a uma instância simultaneamente. Todos os tipos de instância do Amazon EC2 são compatíveis com a criptografia do Amazon EBS.
**Topics**
+ [Como funciona a criptografia do Amazon EBS](how-ebs-encryption-works.md)
+ [Requisitos da criptografia do Amazon EBS](ebs-encryption-requirements.md)
+ [Habilitar a criptografia do Amazon EBS por padrão](encryption-by-default.md)
+ [Criptografar recursos do EBS](#encryption-parameters)
+ [AWS KMS Chaves rotativas usadas para criptografia do Amazon EBS](kms-key-rotation.md)
+ [Exemplos de criptografia do Amazon EBS](encryption-examples.md)
# Como funciona a criptografia do Amazon EBS
É possível criptografar os volumes de dados e inicialização de uma instância do EC2.
Quando você cria um volume do EBS criptografado e o anexa a um tipo de instância com suporte, os seguintes tipos de dados são criptografados:
+ Dados em repouso dentro do volume
+ Todos os dados que são movidos entre o volume e a instância
+ Todos os snapshots criados a partir do volume
+ Todos os volumes criados a partir desses snapshots
O Amazon EBS criptografa o volume com uma [chave de dados](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#data-keys) usando a criptografia de dados AES-256 padrão do setor. A chave de dados é gerada AWS KMS e depois criptografada AWS KMS com uma AWS KMS chave antes de ser armazenada com as informações do volume. O Amazon EBS cria automaticamente um recurso exclusivo Chave gerenciada pela AWS em cada região em que você cria recursos do Amazon EBS. O [alias](https://docs.aws.amazon.com/kms/latest/developerguide/kms-alias.html) para a chave do KMS é `aws/ebs`. Por padrão, o Amazon EBS usa essa Chave do KMS para a criptografia. Ou então, você pode usar uma chave de criptografia simétrica gerenciada pelo cliente criada por você. Usar sua própria Chave do KMS oferece a você mais flexibilidade, incluindo a capacidade de criar, alternar e desabilitar Chaves do KMS.
O Amazon EC2 trabalha com o Amazon EC2 AWS KMS para criptografar e descriptografar seus volumes do EBS de maneiras ligeiramente diferentes, dependendo se o snapshot a partir do qual você cria um volume criptografado é criptografado ou não criptografado.
## Como funciona a criptografia EBS quando o snapshot é criptografado
Quando você cria um volume criptografado a partir de um snapshot criptografado de sua propriedade, o Amazon EC2 trabalha AWS KMS com ele para criptografar e descriptografar seus volumes do EBS da seguinte forma:
1. O Amazon EC2 envia uma [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)solicitação para AWS KMS, especificando a chave KMS que você escolheu para criptografia de volume.
1. Se o volume for criptografado usando a mesma chave KMS do instantâneo, AWS KMS usa a mesma chave de dados do instantâneo e o criptografa com a mesma chave KMS. Se o volume for criptografado usando uma chave KMS diferente, AWS KMS gera uma nova chave de dados e a criptografa com a chave KMS que você especificou. A chave de dados criptografada é enviada para ser armazenada no Amazon EBS com os metadados do volume.
1. Quando você anexa o volume criptografado a uma instância, o Amazon EC2 envia uma [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)solicitação para que AWS KMS possa descriptografar a chave de dados.
1. AWS KMS descriptografa a chave de dados criptografada e envia a chave de dados descriptografada para o Amazon EC2.
1. O Amazon EC2 usa a chave de dados de texto simples no hardware Nitro para criptografar o disco no volume. I/O A chave de dados de texto simples persistirá na memória enquanto o volume estiver anexado à instância.
## Como funciona a criptografia EBS quando o snapshot não é criptografado
Quando você cria um volume criptografado em um snapshot não criptografado, o Amazon EC2 trabalha com o AWS KMS para criptografar e descriptografar os volumes do EBS da seguinte forma:
1. O Amazon EC2 envia uma [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)solicitação para AWS KMS, para que possa criptografar o volume criado a partir do snapshot.
1. O Amazon EC2 envia uma [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)solicitação para AWS KMS, especificando a chave KMS que você escolheu para criptografia de volume.
1. AWS KMS gera uma nova chave de dados, a criptografa sob a chave KMS que você escolheu para criptografia de volume e envia a chave de dados criptografada para o Amazon EBS para ser armazenada com os metadados do volume.
1. O Amazon EC2 envia uma solicitação [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) para descriptografar AWS KMS a chave de dados criptografada, que depois é usada para criptografar os dados do volume.
1. Quando você anexa o volume criptografado a uma instância, o Amazon EC2 envia uma [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)solicitação para AWS KMS que possa descriptografar a chave de dados.
1. Quando você anexa o volume criptografado a uma instância, o Amazon EC2 envia uma solicitação [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) para AWS KMS, especificando a chave de dados criptografada.
1. AWS KMS descriptografa a chave de dados criptografada e envia a chave de dados descriptografada para o Amazon EC2.
1. O Amazon EC2 usa a chave de dados de texto simples no hardware Nitro para criptografar o disco no volume. I/O A chave de dados de texto simples persistirá na memória enquanto o volume estiver anexado à instância.
Para obter mais informações, consulte [Como o Amazon Elastic Block Store (Amazon EBS) usa o AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/services-ebs.html) e [exemplo dois do Amazon EC2](https://docs.aws.amazon.com/kms/latest/developerguide/ct-ec2two.html) no *Guia do desenvolvedor do AWS Key Management Service *.
## Como as chaves do KMS inutilizáveis afetam as chaves de dados
Quando uma chave do KMS torna-se inutilizável, o efeito é quase imediato (sujeito a consistência posterior). O estado de chave da chave do KMS é alterado para refletir sua nova condição, e todas as solicitações para usar a chave do KMS em operações de criptografia falham.
Ao executar uma ação que inutiliza a chave do KMS, não há nenhum efeito imediato sobre a instância do EC2 nem sobre os volumes do EBS anexados. O Amazon EC2 usa a chave de dados, não a chave KMS, para criptografar todo o disco I/O enquanto o volume está conectado à instância.
No entanto, quando o volume criptografado do EBS é desanexado da instância do EC2, o Amazon EBS remove a chave de dados do hardware do Nitro. Da próxima vez que o volume do EBS for anexado à instância do EC2, a anexação falhará porque o Amazon EBS não consegue usar a chave do KMS para descriptografar a chave de dados criptografada do volume. Para usar o volume do EBS novamente, é necessário tornar a chave do KMS utilizável novamente.
**dica**
Se você não quiser mais acessar os dados armazenados em um volume do EBS criptografado com uma chave de dados gerada de uma chave do KMS que pretende tornar inutilizável, recomendamos desanexar o volume do EBS da instância do EC2 antes de tornar a chave do KMS inutilizável.
Para obter mais informações, consulte [How unusable KMS keys affect data keys](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#unusable-kms-keys) no *Guia do desenvolvedor do AWS Key Management Service *.
# Requisitos da criptografia do Amazon EBS
Antes de começar, verifique se os seguintes requisitos foram atendidos.
**Topics**
+ [Tipos de volume compatíveis](#ebs-encryption-volume-types)
+ [Tipos de instâncias compatíveis](#ebs-encryption_supported_instances)
+ [Permissões para usuário](#ebs-encryption-permissions)
+ [Permissões para instâncias](#ebs-encryption-instance-permissions)
## Tipos de volume compatíveis
A criptografia é compatível com todos os tipos de volume do EBS. É possível esperar a mesma performance de IOPS dos volumes não criptografados nos volumes criptografados, com efeito mínimo na latência. É possível acessar volumes criptografados da mesma forma que acessa volumes não criptografados. A criptografia e a descriptografia são tratadas de forma transparente e não requerem nenhuma ação adicional de sua parte e de suas aplicações.
## Tipos de instâncias compatíveis
A criptografia do Amazon EBS está disponível em todos os tipos de instância da [geração atual](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html#current-gen-instances) e da [geração anterior](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html#previous-gen-instances).
## Permissões para usuário
Quando você usa uma chave KMS para criptografia do EBS, a política de chaves do KMS permite que qualquer usuário com acesso às AWS KMS ações necessárias use essa chave do KMS para criptografar ou descriptografar recursos do EBS. É necessário conceder aos usuários do IAM a permissão para chamar as seguintes ações para usar a criptografia do EBS:
+ `kms:CreateGrant`
+ `kms:Decrypt`
+ `kms:DescribeKey`
+ `kms:GenerateDataKeyWithoutPlainText`
+ `kms:ReEncrypt`
**dica**
Para seguir o princípio de menor privilégio, não permita acesso total a `kms:CreateGrant`. Em vez disso, use a chave de `kms:GrantIsForAWSResource` condição para permitir que o usuário crie concessões na chave KMS somente quando a concessão for criada em nome do usuário por um AWS serviço, conforme mostrado no exemplo a seguir.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "kms:CreateGrant",
"Resource": [
"arn:aws:kms:us-east-2:123456789012:key/abcd1234-a123-456d-a12b-a123b4cd56ef"
],
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": true
}
}
}
]
}
```
------
Para obter mais informações, consulte [Permite acesso à AWS conta e ativa políticas do IAM](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-default-allow-root-enable-iam) na seção **Política de chaves padrão** no *Guia do AWS Key Management Service desenvolvedor*.
## Permissões para instâncias
Quando uma instância tenta interagir com uma AMI, volume ou snapshot criptografado, uma concessão de chave do KMS é emitida para o perfil somente de identidade da instância. A função somente de identidade é uma função do IAM usada pela instância para interagir com dados criptografados AMIs, volumes ou instantâneos em seu nome.
Os perfis somente de identidade não precisam ser criados ou excluídos manualmente e não possuem políticas associadas a eles. Além disso, não é possível acessar as credenciais do perfil somente de identidade.
**nota**
As funções somente de identidade não são usadas pelos aplicativos em sua instância para acessar outros recursos AWS KMS criptografados, como objetos do Amazon S3 ou tabelas do Dynamo DB. Essas operações são feitas usando as credenciais de uma função de instância do Amazon EC2 ou AWS outras credenciais que você configurou na sua instância.
As funções somente de identidade estão sujeitas às políticas de [controle de serviço (SCPs) e às políticas](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_scps.html) de chaves do [KMS.](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) Se uma chave SCP ou KMS negar o acesso da função somente de identidade a uma chave KMS, você pode deixar de iniciar instâncias do EC2 com volumes criptografados ou usando criptografia ou snapshots. AMIs
Se você estiver criando um SCP ou uma política de chaves que negue o acesso com base na localização da rede usando as chaves de condição `aws:SourceIp` `aws:VpcSourceIp``aws:SourceVpc`,, ou `aws:SourceVpce` AWS globais, certifique-se de que essas declarações de política não se apliquem às funções somente de instância. Para obter exemplos de políticas, consulte [Exemplos de políticas de perímetros de dados](https://github.com/aws-samples/data-perimeter-policy-examples/tree/main).
A função somente de identidade ARNs usa o seguinte formato:
```
arn:aws-partition:iam::account_id:role/aws:ec2-infrastructure/instance_id
```
Quando uma concessão de chave é emitida para uma instância, a concessão de chave é emitida para a sessão do perfil assumido específica dessa instância. O ARN principal do beneficiário usa o seguinte formato:
```
arn:aws-partition:sts::account_id:assumed-role/aws:ec2-infrastructure/instance_id
```
# Habilitar a criptografia do Amazon EBS por padrão
Você pode configurar sua AWS conta para aplicar a criptografia dos novos volumes do EBS e das cópias de snapshot que você criar. Por exemplo, o Amazon EBS criptografará os volumes do EBS criados quando você executar uma instância e os snapshots que copiar a partir de um snapshot não criptografado. Para obter exemplos da transição de recursos do EBS não criptografados para criptografados, consulte [Criptografar recursos não criptografados](ebs-encryption.md#encrypt-unencrypted).
Por padrão, a criptografia não tem efeito sobre volumes ou snapshots do EBS existentes.
**Considerações**
+ A criptografia por padrão é uma configuração específica da região. Se você habilitá-la para uma região, não será possível desabilitá-la para snapshots ou volumes individuais nessa região.
+ A criptografia do Amazon EBS é compatível, por padrão, com todos os tipos de instância da [geração atual](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html#current-gen-instances) e da [geração anterior](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html#previous-gen-instances).
+ Se você copiar um snapshot e criptografá-lo com uma nova chave do KMS, será criada uma cópia completa (não incremental). Isso resulta em custos adicionais de armazenamento.
------
#### [ Console ]
**Para ativar a criptografia por padrão para uma região**
1. Abra o console do Amazon EC2 em [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Na barra de navegação, selecione a região.
1. No painel de navegação, selecione **EC2 Dashboard (Painel do EC2)**.
1. No canto superior direito da página, escolha **Atributos da conta**, **Proteção de dados e segurança**.
1. Na seção **Criptografia do EBS**, escolha **Gerenciar**.
1. Selecione **Enable** (Habilitar). Você mantém o Chave gerenciada pela AWS com o alias `aws/ebs` criado em seu nome como a chave de criptografia padrão ou escolhe uma chave de criptografia simétrica gerenciada pelo cliente.
1. Escolha **Update EBS encryption (Atualizar criptografia do EBS)**.
------
#### [ AWS CLI ]
**Para visualizar a criptografia por configuração padrão**
Use o comando [get-ebs-encryption-by-default](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-ebs-encryption-by-default.html).
+ Para uma região específica
```
aws ec2 get-ebs-encryption-by-default --region region
```
+ Para todas as regiões em sua conta
```
echo -e "Region \t Encrypt \t Key"; \
echo -e "----------- \t ------- \t -------" ; \
for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text);
do
default=$(aws ec2 get-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text);
kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId');
echo -e "$region \t $default \t\t $kms_key";
done
```
**Para habilitar a criptografia por padrão**
Use o comando [enable-ebs-encryption-by-default](https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-ebs-encryption-by-default.html).
+ Para uma região específica
```
aws ec2 enable-ebs-encryption-by-default --region region
```
+ Para todas as regiões em sua conta
```
echo -e "Region \t Encrypt \t Key"; \
echo -e "----------- \t ------- \t -------" ; \
for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text);
do
default=$(aws ec2 enable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text);
kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId');
echo -e "$region \t $default \t\t $kms_key";
done
```
**Para desabilitar a criptografia por padrão**
Use o comando [disable-ebs-encryption-by-default](https://docs.aws.amazon.com/cli/latest/reference/ec2/disable-ebs-encryption-by-default.html).
+ Para uma região específica
```
aws ec2 disable-ebs-encryption-by-default --region region
```
+ Para todas as regiões em sua conta
```
echo -e "Region \t Encrypt \t Key"; \
echo -e "----------- \t ------- \t -------" ; \
for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text);
do
default=$(aws ec2 disable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text);
kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId');
echo -e "$region \t $default \t\t $kms_key";
done
```
------
#### [ PowerShell ]
**Para visualizar a criptografia por configuração padrão**
Use o cmdlet [Get-EC2EbsEncryptionByDefault](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2EbsEncryptionByDefault.html).
+ Para uma região específica
```
Get-EC2EbsEncryptionByDefault -Region region
```
+ Para todas as regiões em sua conta
```
(Get-EC2Region).RegionName |
ForEach-Object {
[PSCustomObject]@{
Region = $_
EC2EbsEncryptionByDefault = Get-EC2EbsEncryptionByDefault -Region $_
EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_
} } |
Format-Table -AutoSize
```
**Para habilitar a criptografia por padrão**
Use o cmdlet [Enable-EC2EbsEncryptionByDefault](https://docs.aws.amazon.com/powershell/latest/reference/items/Enable-EC2EbsEncryptionByDefault.html).
+ Para uma região específica
```
Enable-EC2EbsEncryptionByDefault -Region region
```
+ Para todas as regiões em sua conta
```
(Get-EC2Region).RegionName |
ForEach-Object {
[PSCustomObject]@{
Region = $_
EC2EbsEncryptionByDefault = Enable-EC2EbsEncryptionByDefault -Region $_
EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_
} } |
Format-Table -AutoSize
```
**Para desabilitar a criptografia por padrão**
Use o cmdlet [Disable-EC2EbsEncryptionByDefault](https://docs.aws.amazon.com/powershell/latest/reference/items/Disable-EC2EbsEncryptionByDefault.html).
+ Para uma região específica
```
Disable-EC2EbsEncryptionByDefault -Region region
```
+ Para todas as regiões em sua conta
```
(Get-EC2Region).RegionName |
ForEach-Object {
[PSCustomObject]@{
Region = $_
EC2EbsEncryptionByDefault = Disable-EC2EbsEncryptionByDefault -Region $_
EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_
} } |
Format-Table -AutoSize
```
------
Não é possível alterar a chave do KMS que está associada a um snapshot existente ou a um volume criptografado. No entanto, é possível associar uma Chave do KMS diferente durante uma operação de cópia de snapshot para que o snapshot copiado resultante seja criptografado pela nova Chave do KMS.
## Criptografar recursos do EBS
Criptografe volumes do EBS habilitando a criptografia, usando a [criptografia por padrão](encryption-by-default.md) ou habilitando a criptografia ao criar um volume que deseja criptografar.
Ao criptografar um volume, é possível especificar a chave do KMS de criptografia simétrica a ser usada para criptografar o volume. Se a Chave do KMS não for especificada, a Chave do KMS usada para a criptografia dependerá do estado de criptografia do snapshot de origem e de sua propriedade. Para obter mais informações, consulte a [tabela de resultados de criptografia](encryption-examples.md#ebs-volume-encryption-outcomes).
**nota**
Se você estiver usando a API ou AWS CLI para especificar uma chave KMS, saiba que ela AWS autentica a chave KMS de forma assíncrona. Se você especificar um ID de Chave do KMS, um alias ou um ARN que não forem válidos, é possível que a ação pareça estar concluída, mas ela falhará eventualmente.
Você não pode alterar a Chave do KMS que estiver associada a um snapshot ou a um volume existente. No entanto, é possível associar uma Chave do KMS diferente durante uma operação de cópia de snapshot para que o snapshot copiado resultante seja criptografado pela nova Chave do KMS.
### Criptografar um volume vazio na criação
Ao criar um novo volume do EBS vazio, será possível criptografá-lo habilitando a criptografia para a operação de criação de volume específica. Se você tiver habilitado a criptografia do EBS por padrão, o volume será automaticamente criptografado usando a Chave do KMS padrão para criptografia do EBS. Outra opção é especificar uma chave do KMS de criptografia simétrica diferente para a operação de criação de um volume específico. O volume será criptografado no momento em que for disponibilizado a primeira vez, para que seus dados estejam sempre protegidos. Para ver os procedimentos detalhados, consulte [Crie um volume do Amazon EBS.](ebs-creating-volume.md).
Por padrão, a Chave do KMS selecionada durante a criação de um volume criptografa os snapshots que você cria do volume e os volumes que você restaura desses snapshots criptografados. Não é possível remover a criptografia de um volume ou snapshot criptografado, o que significa que um volume restaurado a partir de um snapshot criptografado ou uma cópia de um snapshot criptografado será sempre criptografado.
Não há suporte para snapshots públicos de volumes criptografado, mas é possível compartilhar um snapshot criptografado com contas específicas. Para obter instruções detalhadas, consulte [Compartilhe um snapshot do Amazon EBS com outras contas AWS](ebs-modifying-snapshot-permissions.md).
### Criptografar recursos não criptografados
Não é possível criptografar diretamente volumes ou snapshots não criptografados.
Para criptografar um volume não criptografado, crie um snapshot desse volume e use o snapshot para criar um novo volume criptografado. Para obter mais informações, consulte [Criar snapshots de ](ebs-create-snapshot.md) e [Criar um volume](ebs-creating-volume.md).
Para criptografar um snapshot não criptografado, crie uma cópia criptografada desse snapshot. Para obter mais informações, consulte [Copiar um snapshot](ebs-copy-snapshot.md).
Se você habilitar sua conta para criptografia por padrão, os volumes e as cópias de snapshots criados a partir de snapshots não criptografados serão sempre criptografados. Caso contrário, você deve especificar os parâmetros de criptografia na solicitação. Para obter mais informações, consulte [Habilitar a criptografia por padrão](encryption-by-default.md).
# AWS KMS Chaves rotativas usadas para criptografia do Amazon EBS
As melhores práticas criptográficas desencorajam a reutilização extensiva de chaves de criptografia.
Para criar novo material criptográfico para usar com a criptografia do Amazon EBS, você pode criar uma chave gerenciada pelo cliente e depois alterar suas aplicações para que usem essa nova chave do KMS. Ou é possível habilitar a alternância automática de chaves para uma chave gerenciada pelo cliente existente.
Quando você ativa a rotação automática de chaves para uma chave gerenciada pelo cliente, AWS KMS gera novo material criptográfico para a chave KMS todos os anos. AWS KMS salva todas as versões anteriores do material criptográfico para que você possa continuar a descriptografar e usar volumes e instantâneos previamente criptografados com esse material de chave KMS. AWS KMS não exclui nenhum material de chave girada até que você exclua a chave KMS.
Quando você usa uma chave rotativa gerenciada pelo cliente para criptografar um novo volume ou snapshot, AWS KMS usa o material de chave atual (novo). Quando você usa uma chave gerenciada pelo cliente que sofreu rodízio para descriptografar um volume ou um snapshot, o AWS KMS usa a versão do material criptográfico que foi usado para criptografá-lo. Se um volume ou instantâneo for criptografado com uma versão anterior do material criptográfico, AWS KMS continue usando essa versão anterior para descriptografá-lo. AWS KMS não criptografa novamente volumes ou instantâneos previamente criptografados para usar o novo material criptográfico após uma rotação de chave. Eles permanecem criptografados com o material criptográfico com o qual foram criptografados originalmente. Você pode usar com segurança uma chave rotativa gerenciada pelo cliente em aplicativos e AWS serviços sem alterações no código.
**nota**
A rotação automática de chaves é suportada somente para chaves simétricas gerenciadas pelo cliente com material de chave que AWS KMS cria.
AWS KMS gira automaticamente a Chaves gerenciadas pela AWS cada ano. Não é possível habilitar ou desabilitar a alternância de chaves para Chaves gerenciadas pela AWS.
Para obter mais informações, consulte [ Rotating KMS key](https://docs.aws.amazon.com//kms/latest/developerguide/rotate-keys.html#rotate-keys-how-it-works) (Alternar chave do KMS) no *Guia do desenvolvedor do AWS Key Management Service *.
# Exemplos de criptografia do Amazon EBS
Quando você cria um recurso do EBS criptografado, ele é criptografado pela Chave do KMS padrão para a criptografia do EBS da sua conta, a menos que você especifique uma chave gerenciada pelo cliente diferente nos parâmetros de criação do volume ou no mapeamento de dispositivos de blocos para a AMI ou para a instância.
Os exemplos a seguir ilustram como é possível gerenciar o estado de criptografia de seus volumes e snapshots. Para obter uma lista completa de casos de criptografia, consulte a [tabela de resultados de criptografia](#ebs-volume-encryption-outcomes).
**Topics**
+ [Restaurar um volume não criptografado (criptografia por padrão não habilitada)](#volume-account-off)
+ [Restaurar um volume não criptografado (criptografia por padrão habilitada)](#volume-account-on)
+ [Copiar um snapshot não criptografado (criptografia por padrão não habilitada)](#snapshot-account-off)
+ [Copiar um snapshot não criptografado (criptografia por padrão habilitada)](#snapshot-account-on)
+ [Criptografar novamente um volume criptografado](#reencrypt-volume)
+ [Criptografar novamente um snapshot criptografado](#reencrypt-snapshot)
+ [Migrar dados entre volumes criptografados e não criptografados](#migrate-data-encrypted-unencrypted)
+ [Resultados da criptografia](#ebs-volume-encryption-outcomes)
## Restaurar um volume não criptografado (criptografia por padrão não habilitada)
Sem a criptografia por padrão habilitada, um volume restaurado de um snapshot não criptografado é não criptografado por padrão. No entanto, é possível criptografar o volume resultante configurando o parâmetro `Encrypted` e, opcionalmente, o parâmetro `KmsKeyId`. O diagrama a seguir ilustra o processo.
![\[Ao criar um volume com base em um snapshot não criptografado, especifique uma chave do KMS para criar um volume criptografado.\]](http://docs.aws.amazon.com/pt_br/ebs/latest/userguide/images/volume-encrypt-account-off.png)
Se você deixar o parâmetro `KmsKeyId` de fora, o volume resultante será criptografado usando a Chave do KMS padrão para a criptografia do EBS. Especifique o ID de uma Chave do KMS para criptografar o volume de uma Chave do KMS diferente.
Para obter mais informações, consulte [Crie um volume do Amazon EBS.](ebs-creating-volume.md).
## Restaurar um volume não criptografado (criptografia por padrão habilitada)
Quando a criptografia for habilitada por padrão, ela será obrigatória para volumes restaurados de snapshots não criptografados, e nenhum parâmetro de criptografia será necessário para que a Chave do KMS padrão seja usada. O diagrama a seguir mostra este simples caso padrão:
![\[Quando você criar um volume com base em um snapshot não criptografado, mas a criptografia estiver habilitada por padrão, usaremos a chave do KMS padrão para criar um volume criptografado.\]](http://docs.aws.amazon.com/pt_br/ebs/latest/userguide/images/volume-encrypt-account-on.png)
Se quiser criptografar o volume restaurado com uma chave de criptografia simétrica gerenciada pelo cliente, você deverá fornecer os parâmetros `Encrypted` e `KmsKeyId`, conforme mostrado em [Restaurar um volume não criptografado (criptografia por padrão não habilitada)](#volume-account-off).
## Copiar um snapshot não criptografado (criptografia por padrão não habilitada)
Sem a criptografia por padrão habilitada, uma cópia de um snapshot não criptografado é não criptografado por padrão. No entanto, é possível criptografar o snapshot resultante configurando o parâmetro `Encrypted` e, opcionalmente, o parâmetro `KmsKeyId`. Se você omitir o `KmsKeyId`, o snapshot resultante será criptografado pela Chave do KMS padrão. É necessário especificar o ID de uma chave do KMS de criptografia para criptografar o volume para uma chave do KMS de criptografia simétrica diferente.
O diagrama a seguir ilustra o processo.
![\[Criar um snapshot criptografado a partir de um snapshot não criptografado.\]](http://docs.aws.amazon.com/pt_br/ebs/latest/userguide/images/snapshot-encrypt-account-off.png)
É possível criptografar um volume do EBS ao copiar um snapshot não criptografado em um snapshot criptografado e criar um volume a partir do snapshot criptografado. Para obter mais informações, consulte [Copiar um snapshot do Amazon EBS.](ebs-copy-snapshot.md).
## Copiar um snapshot não criptografado (criptografia por padrão habilitada)
Quando a criptografia por padrão estiver habilitada, a criptografia é obrigatória para cópias de snapshots não criptografados, e nenhum parâmetro de criptografia será necessário se a Chave do KMS padrão for usada. O diagrama a seguir ilustra este caso padrão:
![\[Criar um snapshot criptografado a partir de um snapshot não criptografado.\]](http://docs.aws.amazon.com/pt_br/ebs/latest/userguide/images/snapshot-encrypt-account-on.png)
## Criptografar novamente um volume criptografado
Quando a ação `CreateVolume` opera em um snapshot criptografado, você tem a opção de criptografá-lo novamente com uma Chave do KMS diferente. O diagrama a seguir ilustra o processo. Neste exemplo, você tem duas Chaves do KMS: Chave do KMS A e Chave do KMS B. O snapshot de origem é criptografado pela Chave do KMS A. Durante a criação do volume, com o ID de Chave do KMS da Chave do KMS B especificado como um parâmetro, os dados de origem são automaticamente descriptografados e, depois, novamente criptografados pela Chave do KMS B.
![\[Copiar um snapshot criptografado e criptografar a cópia para uma nova Chave do KMS.\]](http://docs.aws.amazon.com/pt_br/ebs/latest/userguide/images/volume-reencrypt.png)
Para obter mais informações, consulte [Crie um volume do Amazon EBS.](ebs-creating-volume.md).
## Criptografar novamente um snapshot criptografado
A capacidade de criptografar um snapshot durante a cópia permite aplicar uma nova Chave do KMS de criptografia simétrica a um snapshot já criptografado de sua propriedade. Os volumes restaurados da cópia resultante só são acessíveis usando a nova Chave do KMS. O diagrama a seguir ilustra o processo. Neste exemplo, você tem duas Chaves do KMS: Chave do KMS A e Chave do KMS B. O snapshot de origem é criptografado pela Chave do KMS A. Durante a cópia, com o ID de Chave do KMS da Chave do KMS B especificado como um parâmetro, os dados de origem são novamente criptografados de forma automática pela Chave do KMS B.
![\[Copiar um snapshot criptografado e criptografar a cópia para uma nova Chave do KMS.\]](http://docs.aws.amazon.com/pt_br/ebs/latest/userguide/images/snap-reencrypt.png)
Em um cenário relacionado, é possível optar por aplicar novos parâmetros de criptografia a uma cópia de um snapshot que tenha sido compartilhado com você. Por padrão, a cópia é criptografada com uma Chave do KMS compartilhada pelo proprietário do snapshot. No entanto, recomendamos que você crie uma cópia do snapshot compartilhado usando uma Chave do KMS diferente que esteja sob seu controle. Isso protegerá seu acesso ao volume se a Chave do KMS original estiver comprometida ou se o proprietário revogar a Chave do KMS por algum motivo. Para obter mais informações, consulte [Cópia de snapshot e criptografia](ebs-copy-snapshot.md#creating-encrypted-snapshots).
## Migrar dados entre volumes criptografados e não criptografados
Quando você tem acesso a volumes criptografados e não criptografados, pode transferir livremente dados entre eles. O EC2 realiza as operações de criptografia ou descriptografia de forma transparente.
### Instâncias do Linux
Por exemplo: use o comando **rsync** para copiar os dados. No comando a seguir, os dados de origem estão localizados em `/mnt/source` e o volume de destino está montado em `/mnt/destination`.
```
[ec2-user ~]$ sudo rsync -avh --progress /mnt/source/ /mnt/destination/
```
### Instâncias do Windows
Por exemplo: use o comando **robocopy** para copiar os dados. No comando a seguir, os dados de origem estão localizados em `D:\` e o volume de destino está montado em `E:\`.
```
PS C:\> robocopy D:\sourcefolder E:\destinationfolder /e /copyall /eta
```
É recomendável usar pastas, em vez de copiar um volume inteiro, para evitar possíveis problemas com pastas ocultas.
## Resultados da criptografia
A tabela a seguir descreve o resultado da criptografia para cada combinação possível de configurações.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/ebs/latest/userguide/encryption-examples.html)
\$1 Essa é a chave padrão gerenciada pelo cliente usada para criptografia do EBS para a AWS conta e a região. Por padrão, isso é exclusivo Chave gerenciada pela AWS para o EBS, ou você pode especificar uma chave gerenciada pelo cliente.
\$1\$1 Esta é uma chave gerenciada pelo cliente especificada para o volume no momento do lançamento. Essa chave gerenciada pelo cliente é usada em vez da chave gerenciada pelo cliente padrão para a AWS conta e a região.