As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Proteção de dados no Amazon EFS
O [modelo de responsabilidade AWS compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) de se aplica à proteção de dados no Amazon EFS. Conforme descrito neste modelo, AWS é responsável por proteger a infraestrutura global que executa todos os Nuvem AWS. Você é responsável por manter o controle sobre o conteúdo hospedado nessa infraestrutura. Você também é responsável pelas tarefas de configuração e gerenciamento de segurança dos Serviços da AWS que usa. Para saber mais sobre a privacidade de dados, consulte as [Data Privacy FAQ](https://aws.amazon.com/compliance/data-privacy-faq/). Para saber mais sobre a proteção de dados na Europa, consulte a postagem do blog [AWS Shared Responsibility Model and RGPD](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) no *Blog de segurança da AWS *.
Para fins de proteção de dados, recomendamos que você proteja Conta da AWS as credenciais e configure usuários individuais com Centro de Identidade do AWS IAM ou AWS Identity and Access Management (IAM). Dessa maneira, cada usuário receberá apenas as permissões necessárias para cumprir suas obrigações de trabalho. Recomendamos também que você proteja seus dados das seguintes formas:
+ Use uma autenticação multifator (MFA) com cada conta.
+ Use SSL/TLS para se comunicar com AWS os recursos. Exigimos TLS 1.2 e recomendamos TLS 1.3.
+ Configure a API e o registro de atividades do usuário com AWS CloudTrail. Para obter informações sobre o uso de CloudTrail trilhas para capturar AWS atividades, consulte Como [trabalhar com CloudTrail trilhas](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) no *Guia AWS CloudTrail do usuário*.
+ Use soluções de AWS criptografia, juntamente com todos os controles de segurança padrão Serviços da AWS.
+ Use serviços gerenciados de segurança avançada, como o Amazon Macie, que ajuda a localizar e proteger dados sensíveis armazenados no Amazon S3.
+ Se você precisar de módulos criptográficos validados pelo FIPS 140-3 ao acessar AWS por meio de uma interface de linha de comando ou de uma API, use um endpoint FIPS. Para saber mais sobre os endpoints FIPS disponíveis, consulte [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
É altamente recomendável que nunca sejam colocadas informações confidenciais ou sensíveis, como endereços de e-mail de clientes, em tags ou campos de formato livre, como um campo **Nome**. Isso inclui quando você trabalha com o Amazon EFS ou outros Serviços da AWS usando o console AWS CLI, a API ou AWS SDKs. Quaisquer dados inseridos em tags ou em campos de texto de formato livre usados para nomes podem ser usados para logs de faturamento ou de diagnóstico. Se você fornecer um URL para um servidor externo, é fortemente recomendável que não sejam incluídas informações de credenciais no URL para validar a solicitação nesse servidor.
**Topics**
+ [Criptografia de dados no Amazon EFS](encryption.md)
+ [Privacidade entre redes](internetwork-privacy.md)
# Criptografia de dados no Amazon EFS
O Amazon EFS oferece recursos de criptografia abrangentes para proteger seus dados em repouso e em trânsito.
+ **Criptografia em repouso**: criptografa os dados armazenados em seu sistema de arquivos.
+ **Criptografia em trânsito**: criptografa os dados à medida que eles trafegam entre seus clientes e o sistema de arquivos.
Se sua organização está sujeita a políticas corporativas ou regulatórias que exigem a criptografia de dados e metadados, recomendamos criar um sistema de arquivos criptografado em repouso e montar seu sistema usando a criptografia de dados em trânsito.
**Topics**
+ [Criptografar dados em repouso](encryption-at-rest.md)
+ [Criptografia de dados em trânsito](encryption-in-transit.md)
+ [Usando AWS KMS chaves para o Amazon EFS](EFSKMS.md)
+ [Solução de problemas de criptografia](troubleshooting-efs-encryption.md)
# Criptografar dados em repouso
A criptografia em repouso criptografa os dados armazenados em seu sistema de arquivos EFS. Isso ajuda você a atender aos requisitos de conformidade e proteger dados sensíveis contra acesso não autorizado. Sua organização pode exigir a criptografia de todos os dados que atendem a uma classificação específica ou estejam associados a uma aplicação, workload ou ambiente específico.
**nota**
A infraestrutura de gerenciamento de AWS chaves usa algoritmos criptográficos aprovados pelo Federal Information Processing Standards (FIPS) 140-3. A infraestrutura é consistente com as recomendações 800-57 do National Institute of Standards and Technology (NIST).
Quando você cria um sistema de arquivos usando o console do Amazon EFS, a criptografia em repouso é habilitada por padrão. Ao usar a AWS CLI API ou SDKs para criar um sistema de arquivos, você deve habilitar explicitamente a criptografia.
Depois de criar um sistema de arquivos do EFS, você não pode alterar sua configuração de criptografia. Isso significa que você não pode modificar um sistema de arquivos não criptografado para torná-lo criptografado. Em vez disso, [replique o sistema de arquivos](efs-replication.md) para copiar dados do sistema de arquivos não criptografado para um novo criptografado. Para acessar mais informações, consulte [Como ativar a criptografia em repouso para um sistema de arquivos EFS existente?](https://repost.aws/knowledge-center/efs-turn-on-encryption-at-rest)
## Como funciona a criptografia em repouso
Em um sistema de arquivos criptografado, os dados e os metadados são criptografados por padrão antes de serem gravados no armazenamento e são automaticamente descriptografados quando lidos. Esses processos são tratados de forma transparente pelo Amazon EFS, para que você não precise modificar suas aplicações.
O Amazon EFS usa AWS KMS para gerenciamento de chaves o seguinte:
+ **Criptografia de dados de arquivo**: o conteúdo dos seus arquivos é criptografado usando a chave do KMS especificada. Isso pode ser:
+ Chave pertencente à AWS Para Amazon EFS (`aws/elasticfilesystem`) — Opção padrão, sem custos adicionais.
+ Uma chave gerenciada pelo cliente que você cria e gerencia: fornece recursos adicionais de controle e auditoria.
+ **Criptografia de metadados**: nomes de arquivos, nomes de diretórios e conteúdo de diretórios são criptografados usando uma chave gerenciada internamente pelo Amazon EFS.
### Processo de criptografia
Quando um sistema de arquivos é criado ou replicado em um sistema de arquivos na mesma conta, o Amazon EFS usa uma [sessão de acesso direto (FAS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html) para fazer chamadas do KMS usando as credenciais do chamador. Nos CloudTrail registros, a `kms:CreateGrant` chamada parece ser feita pela mesma identidade de usuário que criou o sistema de arquivos ou a replicação. Você pode identificar as chamadas de serviço do Amazon EFS procurando o `invokedBy` campo com o valor`elasticfilesystem.amazonaws.com`. CloudTrail A política de recursos na chave do KMS deve permitir a ação `CreateGrant` para que a FAS faça a chamada.
**Importante**
Você gerencia o controle da concessão e pode revogá-la a qualquer momento. A revogação da concessão impede que o Amazon EFS acesse a chave do KMS para futuras operações. Para acessar mais informações, consulte [Retirar e revogar concessões](https://docs.aws.amazon.com/kms/latest/developerguide/grant-delete.html) no *Guia do desenvolvedor do AWS Key Management Service *.
Ao usar chaves do KMS gerenciadas pelo cliente, a política de recursos também deve permitir a entidade principal do serviço Amazon EFS e incluir a condição `kms:ViaService` de restringir o acesso ao endpoint de serviço específico. Por exemplo:
```
"kms:ViaService":
"elasticfilesystem.us-east-2.amazonaws.com"
```
O Amazon EFS usa o algoritmo de criptografia AES-256 padrão do setor para criptografar dados e metadados em repouso.
Para acessar mais informações sobre políticas de chave do KMS para Amazon EFS, consulte [Usando AWS KMS chaves para o Amazon EFS](EFSKMS.md).
## Aplicar a criptografia em repouso para novos sistemas de arquivos
Você pode usar a chave de condição `elasticfilesystem:Encrypted` do IAM em políticas baseadas em identidade do AWS Identity and Access Management (IAM) para aplicar a criação em repouso quando os usuários criam sistemas de arquivos do EFS. Para mais informações sobre o uso da chave de condição, consulte [Exemplo: impor a criação de sistemas de arquivos criptografados](security_iam_id-based-policy-examples.md#using-iam-to-enforce-encryption-at-rest).
Você também pode definir políticas de controle de serviço (SCPs) internas AWS Organizations para aplicar a criptografia do Amazon EFS para todos Contas da AWS na sua organização. Para obter mais informações sobre políticas de controle de serviço em AWS Organizations, consulte [Políticas de controle de serviço](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html#orgs_manage_policies_scp) no *Guia AWS Organizations do usuário*.
# Criptografia de dados em trânsito
O Amazon EFS comporta a criptografia de dados em trânsito com Transport Layer Security (TLS). Quando a criptografia de dados em trânsito é declarada como uma opção de montagem para o sistema de arquivos EFS, o Amazon EFS estabelece conexão de TLS segura com o sistema de arquivos EFS ao montar o sistema de arquivos. Todo o tráfego NFS é direcionado por meio dessa conexão criptografada.
## Como funciona a criptografia em trânsito
Recomendamos usar o auxiliar de montagem do EFS para montar seu sistema de arquivos porque ele simplifica o processo de montagem em comparação com a montagem com o NFS `mount`. O auxiliar de montagem do EFS gerencia o processo usando efs-proxy (para efs-utils versão 2.0.0 e posterior) ou stunnel (para versões anteriores do efs-utils) para estabelecer conexão TLS segura com seu sistema de arquivos EFS.
Se você não usa o assistente de montagem, ainda pode ativar a criptografia de dados em trânsito. Veja a seguir as etapas para fazer isso.
**Como habilitar a criptografia de dados em trânsito sem o auxiliar de montagem**
1. Faça download e instale o `stunnel` e anote a porta em que o aplicativo está recebendo. Para obter mais informações, consulte [Como atualizar o `stunnel`](upgrading-stunnel.md).
1. Execute `stunnel` para conectar-se ao sistema de arquivos do EFS na porta 2049 usando TLS.
1. Usando o cliente NFS, monte `localhost:port`, em que `port` é a porta que você anotou na primeira etapa.
Como a criptografia de dados em trânsito é configurada por conexão, cada montagem configurada tem um processo de `stunnel` dedicado em execução na instância. Por padrão, o processo de stunnel usado pelo auxiliar de montagem faz a recepção nas portas locais 20049 e 20449 e se conecta ao Amazon EFS na porta 2049.
**nota**
Por padrão, ao usar o auxiliar de montagem do EFS com TLS, ele impõe o uso do Online Certificate Status Protocol (OCSP) e da verificação do nome do host do certificado. O auxiliar de montagem do EFS usa o programa stunnel para sua funcionalidade de TLS. Algumas versões do Linux não incluem uma versão do stunnel compatível com esses recursos TLS por padrão. Ao usar uma dessas versões do Linux, a montagem de um sistema de arquivos do EFS usando TLS apresenta falha.
Depois de instalar o amazon-efs-utils pacote, para atualizar a versão do stunnel do seu sistema, consulte[Como atualizar o `stunnel`](upgrading-stunnel.md).
Para problemas com criptografia, consulte [Solução de problemas de criptografia](troubleshooting-efs-encryption.md).
Ao usar a criptografia de dados em trânsito, a configuração do cliente NFS é alterada. Ao inspecionar os sistemas de arquivos montados ativamente, você verá um sistema montado para 127.0.0.1 ou `localhost`, como no exemplo a seguir.
```
$ mount | column -t
127.0.0.1:/ on /home/ec2-user/efs type nfs4 (rw,relatime,vers=4.1,rsize=1048576,wsize=1048576,namlen=255,hard,proto=tcp,port=20127,timeo=600,retrans=2,sec=sys,clientaddr=127.0.0.1,local_lock=none,addr=127.0.0.1)
```
Ao montar com o TLS e o auxiliar de montagem do EFS, você reconfigura seu cliente do NFS para montagem em uma porta local. O assistente de montagem inicia um processo de `stunnel` de cliente que escuta nessa porta local, e o `stunnel` abre uma conexão criptografada com o EFS usando TLS. O assistente de montagem do EFS é responsável por configurar e manter essa conexão criptografada e a configuração associada.
Para determinar qual ID do sistema de arquivos do Amazon EFS corresponde a qual ponto de montagem local, você pode usar o comando a seguir. Lembre-se de *efs-mount-point* substituir pelo caminho local em que você montou seu sistema de arquivos.
```
grep -E "Successfully mounted.*efs-mount-point" /var/log/amazon/efs/mount.log | tail -1
```
Quando você usa o assistente de montagem do EFS para criptografia de dados em trânsito, ele também cria um processo chamado `amazon-efs-mount-watchdog`. Esse processo garante a execução do processo de stunnel de cada montagem e interrompe o stunnel quando o sistema de arquivos do EFS está desmontado. Se, por algum motivo, um processo de stunnel for encerrado inesperadamente, o processo de watchdog o reiniciará.
# Usando AWS KMS chaves para o Amazon EFS
O Amazon EFS se integra com AWS Key Management Service (AWS KMS) para gerenciamento de chaves. O Amazon EFS usa chaves gerenciadas pelo cliente para criptografar seu sistema de arquivos da seguinte maneira:
+ **Criptografar metadados em repouso**: o Amazon EFS usa Chave gerenciada pela AWS para o Amazon EFS, `aws/elasticfilesystem`, para criptografar e descriptografar metadados do sistema de arquivos (ou seja, nomes de arquivos, nomes de diretórios e conteúdo de diretórios).
+ **Criptografar dados em repouso**: você escolhe a chave gerenciada pelo cliente usada para criptografar e descriptografar os dados do arquivo (ou seja, o conteúdo dos seus arquivos). Você pode ativar, desativar ou revogar concessões nesta chave gerenciada pelo cliente. Essa chave gerenciada pelo cliente pode ser um destes dois:
+ **Chave gerenciada pela AWS para Amazon EFS** — Essa é a chave padrão gerenciada pelo cliente,`aws/elasticfilesystem`. Você não é cobrado para criar e armazenar uma chave gerenciada pelo cliente, mas há cobranças de uso. Para saber mais, consulte [Definição de preços do AWS Key Management Service](https://aws.amazon.com/kms/pricing/).
+ **Chave gerenciada pelo cliente**: esta é a chave KMS mais flexível para usar, porque você pode configurar suas principais políticas de chave e concessões para vários usuários ou serviços. Para obter mais informações sobre a criação de chaves gerenciadas pelo cliente, consulte [Criação de chaves](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) no *Guia do AWS Key Management Service desenvolvedor.*
Se você usar uma chave gerenciada pelo cliente para criptografia de dados e descriptografia de arquivos, poderá ativar a rotação de chaves. Quando você ativa a rotação de chaves, gira AWS KMS automaticamente sua chave uma vez por ano. Além disso, com uma chave gerenciada pelo cliente, você pode escolher quando desabilitar, reativar, excluir ou revogar o acesso à sua chave gerenciada pelo cliente a qualquer momento. Para obter mais informações, consulte [Usando AWS KMS chaves para o Amazon EFS](#EFSKMS).
**Importante**
O Amazon EFS aceita somente chaves gerenciadas pelo cliente (CMK) simétricas. Você não pode usar chaves gerenciadas pelo cliente assimétricas com o Amazon EFS.
A criptografia e a descriptografia de dados em repouso são gerenciadas de modo transparente. No entanto, AWS contas IDs específicas do Amazon EFS aparecem em seus AWS CloudTrail registros relacionados às AWS KMS ações. Para obter mais informações, consulte [Entradas de arquivo de log do Amazon EFS para sistemas de encrypted-at-rest arquivos](logging-using-cloudtrail.md#efs-encryption-cloudtrail).
## Políticas-chave do Amazon EFS para AWS KMS
As políticas de chave são a principal forma de controlar o acesso às chaves gerenciadas pelo cliente. Para obter mais informações sobre políticas de chave, consulte [Políticas de chave em AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) no *Guia do desenvolvedor do AWS Key Management Service *.A lista a seguir descreve todas as permissões relacionadas ao AWS KMS compatíveis com o Amazon EFS para sistemas de arquivos criptografados em repouso:
+ **kms:Encrypt** - (Opcional) Criptografa texto simples em texto cifrado. Essa permissão está incluída na política de chaves padrão.
+ **kms:Decrypt** - (Obrigatório) Descriptografa texto cifrado. O texto cifrado é o texto não criptografado que já foi criptografado. Essa permissão está incluída na política de chaves padrão.
+ **kms: ReEncrypt** — (Opcional) Criptografa dados no lado do servidor com uma nova chave gerenciada pelo cliente, sem expor o texto simples dos dados no lado do cliente. Primeiro os dados são descriptografados e, depois, recriptografados. Essa permissão está incluída na política de chaves padrão.
+ **kms: GenerateDataKeyWithoutPlaintext** — (Obrigatório) Retorna uma chave de criptografia de dados criptografada sob uma chave gerenciada pelo cliente. Essa permissão está incluída na política de chaves padrão em **kms: GenerateDataKey \$1**.
+ **kms: CreateGrant** — (Obrigatório) Adiciona uma concessão a uma chave para especificar quem pode usar a chave e sob quais condições. Concessões são mecanismos de permissão alternativos para políticas de chaves. Para acessar mais informações sobre concessões, consulte [Concessões no AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) no *Guia do desenvolvedor do AWS Key Management Service *. Essa permissão está incluída na política de chaves padrão.
+ **kms: DescribeKey** — (Obrigatório) Fornece informações detalhadas sobre a chave gerenciada pelo cliente especificada. Essa permissão está incluída na política de chaves padrão.
+ **kms: ListAliases** — (Opcional) Lista todos os aliases de chave na conta. Quando você usa o console para criar um sistema de arquivos criptografado, essa permissão preenche a lista **Selecionar chave mestra do KMS**. Recomendamos usar essa permissão para proporcionar a melhor experiência do usuário. Essa permissão está incluída na política de chaves padrão.
### Chave gerenciada pela AWS para a política do Amazon EFS KMS
A política JSON do KMS para o Chave gerenciada pela AWS Amazon EFS `aws/elasticfilesystem` é a seguinte:
```
{
"Version": "2012-10-17",
"Id": "auto-elasticfilesystem-1",
"Statement": [
{
"Sid": "Allow access to EFS for all principals in the account that are authorized to use EFS",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:CreateGrant",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "elasticfilesystem.us-east-2.amazonaws.com",
"kms:CallerAccount": "111122223333"
}
}
},
{
"Sid": "Allow direct access to key metadata to the account",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"kms:Describe*",
"kms:Get*",
"kms:List*",
"kms:RevokeGrant"
],
"Resource": "*"
}
]
}
```
## Estados de chave e seus efeitos
O estado da chave do KMS afeta diretamente o acesso ao seu sistema de arquivos criptografado:
Habilitado
Operação normal: acesso completo de leitura e gravação ao sistema de arquivos.
Desabilitado
O sistema de arquivos fica inacessível após um breve período. Pode ser reabilitado.
Exclusão pendente
O sistema de arquivos fica inacessível. A exclusão pode ser cancelada durante o período de espera.
Excluído
Sistema de arquivos permanentemente inacessível. Essa ação não pode ser desfeita.
**Atenção**
Se você desabilitar ou excluir a chave do KMS usada para o sistema de arquivos ou revogar o acesso do Amazon EFS à chave, o sistema de arquivos ficará inacessível. Isso poderá ocasionar perda de dados se você não tiver backups. Sempre verifique se você tem procedimentos de backup adequados antes de fazer alterações nas chaves de criptografia.
# Solução de problemas de criptografia
**Topics**
+ [A montagem com criptografia de dados em trânsito falhou](#mounting-tls-fails)
+ [A montagem com criptografia de dados em trânsito é interrompida](#mounting-tls-interrupt)
+ [Encrypted-at-rest o sistema de arquivos não pode ser criado](#unable-to-encrypt)
+ [Não é possível usar o sistema de arquivos criptografado](#unusable-encrypt)
## A montagem com criptografia de dados em trânsito falhou
Por padrão, quando você usa o assistente de montagem do Amazon EFS com Transport Layer Security (TLS), ele impõe a verificação do host. Alguns sistemas não oferecem suporte a esse recurso, como quando você usa o Red Hat Enterprise Linux ou CentOS. Nesses casos, a montagem de um sistema de arquivos do EFS usando TLS falhará.
**Ação a realizar**
É recomendável atualizar a versão do stunnel no seu cliente para oferecer suporte à verificação do nome do host. Para obter mais informações, consulte [Como atualizar o `stunnel`](upgrading-stunnel.md).
## A montagem com criptografia de dados em trânsito é interrompida
É possível, porém improvável, que sua conexão criptografada para o sistema de arquivos do Amazon EFS possa ser travada ou interrompida por eventos no lado do cliente.
**Ação a realizar**
Se a conexão com o sistema de arquivos do Amazon EFS com criptografia de dados em trânsito for interrompida, siga as seguintes etapas:
1. Verifique se o serviço de stunnel está em execução no cliente.
1. Confirme se o aplicativo de vigilância `amazon-efs-mount-watchdog` está em execução no cliente. Você pode descobrir se o aplicativo está em execução com o seguinte comando:
```
ps aux | grep [a]mazon-efs-mount-watchdog
```
1. Verifique os logs de suporte. Para obter mais informações, consulte [Obter logs de suporte](mount-helper-logs.md).
1. Se desejar, você pode habilitar os logs de stunnel e verificar as informações contidas neles também. Você pode alterar a configuração de seus logs em `/etc/amazon/efs/efs-utils.conf` para habilitar os logs de stunnel. No entanto, para isso é necessário desmontar e, em seguida, remontar o sistema de arquivos com o assistente de montagem para que as alterações entrem em vigor.
**Importante**
A habilitação dos logs de stunnel pode utilizar uma quantidade de espaço incomum no sistema de arquivos.
Se as interrupções continuarem, entre em contato com o AWS Support.
## Encrypted-at-rest o sistema de arquivos não pode ser criado
Você tentou criar um novo sistema de encrypted-at-rest arquivos. No entanto, você recebe uma mensagem de erro informando que não AWS KMS está disponível.
**Ação a realizar**
Esse erro pode ocorrer no caso raro de AWS KMS ficar temporariamente indisponível em seu Região da AWS. Se isso acontecer, aguarde até que a disponibilidade total seja AWS KMS retornada e tente novamente criar o sistema de arquivos.
## Não é possível usar o sistema de arquivos criptografado
Um sistema de arquivos criptografado retorna erros de servidor NFS de modo consistente. Esses erros podem ocorrer quando o EFS não consegue recuperar sua chave mestra AWS KMS por um dos seguintes motivos:
+ A chave foi desativada.
+ A chave foi excluída.
+ A permissão para o Amazon EFS usar a chave foi revogada.
+ AWS KMS está temporariamente indisponível.
**Ação a realizar**
Primeiro, confirme se a AWS KMS chave está ativada. Para fazer isso, visualize as chaves no console. Para obter mais informações, consulte [Visualizar chaves](https://docs.aws.amazon.com/kms/latest/developerguide/viewing-keys.html) no *Guia do desenvolvedor do AWS Key Management Service *.
Se a chave não estiver habilitada, habilite-a. Para obter mais informações, consulte [Ativação e desativação de chaves](https://docs.aws.amazon.com/kms/latest/developerguide/enabling-keys.html) no *Guia do desenvolvedor do AWS Key Management Service *.
Se a chave estiver com exclusão pendente, esse status a desativará. Você pode cancelar a exclusão e reativar a chave. Para obter mais informações, consulte [Programação e cancelamento de exclusão de chaves](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html#deleting-keys-scheduling-key-deletion) no *Guia do desenvolvedor do AWS Key Management Service *.
Se a chave estiver ativada e você ainda estiver enfrentando um problema, ou se encontrar um problema ao reativar sua chave, entre em contato com o AWS Support.
# Privacidade entre redes
Este tópico descreve como o Amazon EFS protege conexões do serviço com outros locais.
## Tráfego entre clientes de serviço e on-premises e as aplicações
Você tem duas opções de conectividade entre sua rede privada e AWS:
+ Uma AWS Site-to-Site VPN conexão. Para obter mais informações, consulte [O que é AWS Site-to-Site VPN?](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)
+ Uma Direct Connect conexão. Para obter mais informações, consulte [O que é Direct Connect?](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)
O acesso ao Amazon EFS por meio da rede é AWS publicado APIs. Os clientes devem comportar o Transport Layer 1.2 ou posterior. Recomendamos o TLS 1.3 ou superior. Os clientes também devem ter suporte a pacotes de criptografia com sigilo de encaminhamento perfeito (PFS) como Ephemeral Diffie-Hellman (DHE) ou Ephemeral Elliptic Curve Diffie-Hellman (ECDHE). A maioria dos sistemas modernos como Java 7 e versões posteriores oferece suporte a esses modos. Além disso, devem ser assinadas solicitações usando um ID de chave de acesso e uma chave de acesso secreta associadas a uma entidade principal do IAM ou pode usar [AWS Security Token ServiceAWS STS](https://docs.aws.amazon.com/STS/latest/APIReference/)para gerar credenciais de segurança temporárias visando assinar solicitações.
## Tráfego entre a VPC e a API do Amazon EFS
Para estabelecer uma conexão privada entre sua nuvem privada virtual (VPC) e a API do Amazon EFS, você pode criar um endpoint da VPC de interface. É possível usar essa conexão para chamar a API do Amazon EFS na VPC sem enviar tráfego pela Internet. O endpoint fornece conectividade segura com a API do Amazon EFS sem exigir um gateway da internet, uma instância NAT ou uma conexão de rede privada virtual (VPN). Para obter mais informações, consulte [Trabalhar com endpoints da VPC de interface no Amazon EFS](efs-vpc-endpoints.md).
## Tráfego entre AWS recursos na mesma região
Um endpoint da Amazon Virtual Private Cloud (Amazon VPC) para o Amazon EFS é uma entidade lógica dentro de uma VPC que permite conectividade apenas com o Amazon EFS. O Amazon VPC realiza o roteamento das solicitações para o Amazon EFS e encaminha as respostas de volta à VPC. Para obter mais informações, consulte [Endpoints da VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html) no *Guia do usuário da Amazon VPC*.