As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Exemplos de criptografia do Amazon EBS
<a name="encryption-examples"></a>

Quando você cria um recurso do EBS criptografado, ele é criptografado pela Chave do KMS padrão para a criptografia do EBS da sua conta, a menos que você especifique uma chave gerenciada pelo cliente diferente nos parâmetros de criação do volume ou no mapeamento de dispositivos de blocos para a AMI ou para a instância.

Os exemplos a seguir ilustram como é possível gerenciar o estado de criptografia de seus volumes e snapshots. Para obter uma lista completa de casos de criptografia, consulte a [tabela de resultados de criptografia](#ebs-volume-encryption-outcomes).

**Topics**
+ [

## Restaurar um volume não criptografado (criptografia por padrão não habilitada)
](#volume-account-off)
+ [

## Restaurar um volume não criptografado (criptografia por padrão habilitada)
](#volume-account-on)
+ [

## Copiar um snapshot não criptografado (criptografia por padrão não habilitada)
](#snapshot-account-off)
+ [

## Copiar um snapshot não criptografado (criptografia por padrão habilitada)
](#snapshot-account-on)
+ [

## Criptografar novamente um volume criptografado
](#reencrypt-volume)
+ [

## Criptografar novamente um snapshot criptografado
](#reencrypt-snapshot)
+ [

## Migrar dados entre volumes criptografados e não criptografados
](#migrate-data-encrypted-unencrypted)
+ [

## Resultados da criptografia
](#ebs-volume-encryption-outcomes)

## Restaurar um volume não criptografado (criptografia por padrão não habilitada)
<a name="volume-account-off"></a>

Sem a criptografia por padrão habilitada, um volume restaurado de um snapshot não criptografado é não criptografado por padrão. No entanto, é possível criptografar o volume resultante configurando o parâmetro `Encrypted` e, opcionalmente, o parâmetro `KmsKeyId`. O diagrama a seguir ilustra o processo.

![\[Ao criar um volume com base em um snapshot não criptografado, especifique uma chave do KMS para criar um volume criptografado.\]](http://docs.aws.amazon.com/pt_br/ebs/latest/userguide/images/volume-encrypt-account-off.png)


Se você deixar o parâmetro `KmsKeyId` de fora, o volume resultante será criptografado usando a Chave do KMS padrão para a criptografia do EBS. Especifique o ID de uma Chave do KMS para criptografar o volume de uma Chave do KMS diferente.

Para obter mais informações, consulte [Crie um volume do Amazon EBS.](ebs-creating-volume.md).

## Restaurar um volume não criptografado (criptografia por padrão habilitada)
<a name="volume-account-on"></a>

Quando a criptografia for habilitada por padrão, ela será obrigatória para volumes restaurados de snapshots não criptografados, e nenhum parâmetro de criptografia será necessário para que a Chave do KMS padrão seja usada. O diagrama a seguir mostra este simples caso padrão:

![\[Quando você criar um volume com base em um snapshot não criptografado, mas a criptografia estiver habilitada por padrão, usaremos a chave do KMS padrão para criar um volume criptografado.\]](http://docs.aws.amazon.com/pt_br/ebs/latest/userguide/images/volume-encrypt-account-on.png)


Se quiser criptografar o volume restaurado com uma chave de criptografia simétrica gerenciada pelo cliente, você deverá fornecer os parâmetros `Encrypted` e `KmsKeyId`, conforme mostrado em [Restaurar um volume não criptografado (criptografia por padrão não habilitada)](#volume-account-off).

## Copiar um snapshot não criptografado (criptografia por padrão não habilitada)
<a name="snapshot-account-off"></a>

Sem a criptografia por padrão habilitada, uma cópia de um snapshot não criptografado é não criptografado por padrão. No entanto, é possível criptografar o snapshot resultante configurando o parâmetro `Encrypted` e, opcionalmente, o parâmetro `KmsKeyId`. Se você omitir o `KmsKeyId`, o snapshot resultante será criptografado pela Chave do KMS padrão. É necessário especificar o ID de uma chave do KMS de criptografia para criptografar o volume para uma chave do KMS de criptografia simétrica diferente.

O diagrama a seguir ilustra o processo.

![\[Criar um snapshot criptografado a partir de um snapshot não criptografado.\]](http://docs.aws.amazon.com/pt_br/ebs/latest/userguide/images/snapshot-encrypt-account-off.png)


É possível criptografar um volume do EBS ao copiar um snapshot não criptografado em um snapshot criptografado e criar um volume a partir do snapshot criptografado. Para obter mais informações, consulte [Copiar um snapshot do Amazon EBS.](ebs-copy-snapshot.md).

## Copiar um snapshot não criptografado (criptografia por padrão habilitada)
<a name="snapshot-account-on"></a>

Quando a criptografia por padrão estiver habilitada, a criptografia é obrigatória para cópias de snapshots não criptografados, e nenhum parâmetro de criptografia será necessário se a Chave do KMS padrão for usada. O diagrama a seguir ilustra este caso padrão:

![\[Criar um snapshot criptografado a partir de um snapshot não criptografado.\]](http://docs.aws.amazon.com/pt_br/ebs/latest/userguide/images/snapshot-encrypt-account-on.png)


## Criptografar novamente um volume criptografado
<a name="reencrypt-volume"></a>

Quando a ação `CreateVolume` opera em um snapshot criptografado, você tem a opção de criptografá-lo novamente com uma Chave do KMS diferente. O diagrama a seguir ilustra o processo. Neste exemplo, você tem duas Chaves do KMS: Chave do KMS A e Chave do KMS B. O snapshot de origem é criptografado pela Chave do KMS A. Durante a criação do volume, com o ID de Chave do KMS da Chave do KMS B especificado como um parâmetro, os dados de origem são automaticamente descriptografados e, depois, novamente criptografados pela Chave do KMS B.

![\[Copiar um snapshot criptografado e criptografar a cópia para uma nova Chave do KMS.\]](http://docs.aws.amazon.com/pt_br/ebs/latest/userguide/images/volume-reencrypt.png)


Para obter mais informações, consulte [Crie um volume do Amazon EBS.](ebs-creating-volume.md).

## Criptografar novamente um snapshot criptografado
<a name="reencrypt-snapshot"></a>

A capacidade de criptografar um snapshot durante a cópia permite aplicar uma nova Chave do KMS de criptografia simétrica a um snapshot já criptografado de sua propriedade. Os volumes restaurados da cópia resultante só são acessíveis usando a nova Chave do KMS. O diagrama a seguir ilustra o processo. Neste exemplo, você tem duas Chaves do KMS: Chave do KMS A e Chave do KMS B. O snapshot de origem é criptografado pela Chave do KMS A. Durante a cópia, com o ID de Chave do KMS da Chave do KMS B especificado como um parâmetro, os dados de origem são novamente criptografados de forma automática pela Chave do KMS B.

![\[Copiar um snapshot criptografado e criptografar a cópia para uma nova Chave do KMS.\]](http://docs.aws.amazon.com/pt_br/ebs/latest/userguide/images/snap-reencrypt.png)


Em um cenário relacionado, é possível optar por aplicar novos parâmetros de criptografia a uma cópia de um snapshot que tenha sido compartilhado com você. Por padrão, a cópia é criptografada com uma Chave do KMS compartilhada pelo proprietário do snapshot. No entanto, recomendamos que você crie uma cópia do snapshot compartilhado usando uma Chave do KMS diferente que esteja sob seu controle. Isso protegerá seu acesso ao volume se a Chave do KMS original estiver comprometida ou se o proprietário revogar a Chave do KMS por algum motivo. Para obter mais informações, consulte [Cópia de snapshot e criptografia](ebs-copy-snapshot.md#creating-encrypted-snapshots).

## Migrar dados entre volumes criptografados e não criptografados
<a name="migrate-data-encrypted-unencrypted"></a>

Quando você tem acesso a volumes criptografados e não criptografados, pode transferir livremente dados entre eles. O EC2 realiza as operações de criptografia ou descriptografia de forma transparente.

### Instâncias do Linux
<a name="migrate-data-encrypted-unencrypted-lin"></a>

Por exemplo: use o comando **rsync** para copiar os dados. No comando a seguir, os dados de origem estão localizados em `/mnt/source` e o volume de destino está montado em `/mnt/destination`.

```
[ec2-user ~]$ sudo rsync -avh --progress /mnt/source/ /mnt/destination/
```

### Instâncias do Windows
<a name="migrate-data-encrypted-unencrypted-win"></a>

Por exemplo: use o comando **robocopy** para copiar os dados. No comando a seguir, os dados de origem estão localizados em `D:\` e o volume de destino está montado em `E:\`.

```
PS C:\> robocopy D:\sourcefolder E:\destinationfolder /e /copyall /eta
```

É recomendável usar pastas, em vez de copiar um volume inteiro, para evitar possíveis problemas com pastas ocultas.

## Resultados da criptografia
<a name="ebs-volume-encryption-outcomes"></a>



A tabela a seguir descreve o resultado da criptografia para cada combinação possível de configurações.

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/ebs/latest/userguide/encryption-examples.html)

\$1 Essa é a chave padrão gerenciada pelo cliente usada para criptografia do EBS para a AWS conta e a região. Por padrão, isso é exclusivo Chave gerenciada pela AWS para o EBS, ou você pode especificar uma chave gerenciada pelo cliente.

\$1\$1 Esta é uma chave gerenciada pelo cliente especificada para o volume no momento do lançamento. Essa chave gerenciada pelo cliente é usada em vez da chave gerenciada pelo cliente padrão para a AWS conta e a região.