As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Criptografia de dados no Amazon FSx for Lustre
<a name="encryption-fsxl"></a>

O Amazon FSx for Lustre oferece suporte a duas formas de criptografia para sistemas de arquivos: a criptografia de dados em repouso e a criptografia em trânsito. A criptografia de dados em repouso é habilitada automaticamente ao criar um sistema de arquivos do Amazon FSx. A criptografia de dados em trânsito é automaticamente habilitada quando você acessa um sistema de arquivos do Amazon FSx usando [instâncias do Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit) que oferecem suporte a esse recurso.

## Quando usar a criptografia
<a name="whenencrypt"></a>

Se a sua organização estiver sujeita a políticas corporativas ou regulatórias que requerem criptografia de dados e de metadados em repouso, recomendamos criar um sistema de arquivos criptografado e montar o sistema de arquivos usando a criptografia de dados em trânsito.

Para obter mais informações sobre como criar um sistema de arquivos criptografado em repouso usando o console, consulte [Criar seu sistema de arquivos do Amazon FSx for Lustre](getting-started.md#getting-started-step1).

**Topics**
+ [

## Quando usar a criptografia
](#whenencrypt)
+ [

# Criptografar dados em repouso
](encryption-at-rest.md)
+ [

# Criptografia de dados em trânsito
](encryption-in-transit-fsxl.md)

# Criptografar dados em repouso
<a name="encryption-at-rest"></a>

A criptografia de dados em repouso é habilitada automaticamente quando você cria um sistema de arquivos do Amazon FSx for Lustre por meio do Console de gerenciamento da AWS, da AWS CLI ou programaticamente usando a API do Amazon FSx ou um dos AWS SDKs. Sua organização pode exigir a criptografia de todos os dados que atendem a uma classificação específica ou estejam associados a uma determinada aplicação, workload ou ambiente. Se você criar um sistema de arquivos Persistent, poderá especificar a chave do AWS KMS para criptografar os dados. Se você criar um sistema de arquivos transitório, os dados serão criptografados usando chaves gerenciadas pelo Amazon FSx. Para obter mais informações sobre como criar um sistema de arquivos criptografado em repouso usando o console, consulte [Criar seu sistema de arquivos do Amazon FSx for Lustre](getting-started.md#getting-started-step1).

**nota**  
A infraestrutura de gerenciamento de chaves da AWS usa algoritmos criptográficos aprovados pelo Federal Information Processing Standards (FIPS) 140-2. A infraestrutura é consistente com as recomendações 800-57 do National Institute of Standards and Technology (NIST).

Para obter mais informações sobre como o FSx para Lustre usa o AWS KMS, consulte [Como o Amazon FSx for Lustre usa o AWS KMS](#FSXKMS).

## Como funciona a criptografia em repouso
<a name="howencrypt"></a>

Em um sistema de arquivos criptografado, os dados e metadados são criptografados automaticamente antes de serem gravados no sistema de arquivos. De maneira semelhante, à medida que os dados e metadados são lidos, eles são automaticamente descriptografados antes de serem apresentados à aplicação. Esses processos são tratados de maneira transparente pelo Amazon FSx for Lustre. Portanto, não é necessário modificar suas aplicações.

O Amazon FSx for Lustre usa um algoritmo de criptografia AES-256 padrão do setor para criptografar dados em repouso do sistema de arquivos. Para obter mais informações, consulte [Conceitos básicos de criptografia](https://docs.aws.amazon.com/kms/latest/developerguide/crypto-intro.html) no *Guia do desenvolvedor do AWS Key Management Service*.

## Como o Amazon FSx for Lustre usa o AWS KMS
<a name="FSXKMS"></a>

 O Amazon FSx for Lustre criptografa os dados automaticamente antes que eles sejam gravados no sistema de arquivos e os decriptografa automaticamente conforme eles são lidos. Os dados são criptografados usando uma cifra de bloco XTS-AES-256. Todos os sistemas de arquivos transitórios do FSx para Lustre são criptografados em repouso com chaves gerenciadas pela AWS KMS. O Amazon FSx for Lustre tem integração com o AWS KMS para gerenciamento de chaves. As chaves usadas para criptografar sistemas de arquivos transitórios em repouso são exclusivas por sistema de arquivos e são destruídas após a exclusão do sistema de arquivos. Para sistemas de arquivos persistentes, você escolhe a chave do KMS usada para criptografar e descriptografar dados. Você especifica qual chave será usada ao criar um sistema de arquivos Persistent. É possível habilitar, desabilitar ou revogar as concessões nessa chave do KMS. Essa chave do KMS pode ser de um dos seguintes dois tipos:
+ **Chave gerenciada pela AWS para o Amazon FSx**: essa é a chave do KMS padrão. Você não recebe cobranças pela criação e pelo armazenamento de uma chave do KMS, mas existem cobranças de uso. Para obter mais informações, consulte [Preços do AWS Key Management Service](https://aws.amazon.com/kms/pricing/).
+ **Chave gerenciada pelo cliente**: essa é a chave do KMS mais flexível para usar, pois é possível configurar suas políticas de chaves e concessões para diversos usuários ou serviços. Para obter mais informações sobre a criação de chaves gerenciadas pelo cliente, consulte [Criar chaves](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) no *Guia do desenvolvedor do AWS Key Management Service*.

Se você usar uma chave gerenciada pelo cliente como a chave do KMS para descriptografia e criptografia de dados de arquivos, poderá habilitar a rotação de chaves. Ao habilitar a rotação de chaves, o AWS KMS gira sua chave automaticamente uma vez por ano. Além disso, com uma chave gerenciada pelo cliente, é possível escolher quando desabilitar, habilitar novamente, excluir ou revogar o acesso à chave gerenciada pelo cliente a qualquer momento. 

**Importante**  
O Amazon FSx aceita somente chaves do KMS com criptografia simétrica. Não é possível usar chaves do KMS assimétricas com o Amazon FSx.

### Políticas de chave do Amazon FSx para o AWS KMS
<a name="FSxKMSPolicy"></a>

Políticas de chaves são a principal maneira de controlar o acesso a chaves do KMS. Para obter mais informações sobre as políticas de chaves, consulte [Using key policies in AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) no *Guia do desenvolvedor do AWS Key Management Service*.A lista a seguir descreve todas as permissões relacionadas ao AWS KMS com suporte no Amazon FSx para sistemas de arquivos criptografados em repouso:
+ **kms:Encrypt**: (opcional) criptografa texto simples em texto cifrado. Essa permissão está incluída na política de chaves padrão.
+ **kms:Decrypt** - (Obrigatório) Descriptografa texto cifrado. O texto cifrado é o texto não criptografado que já foi criptografado. Essa permissão está incluída na política de chaves padrão.
+ **kms:ReEncrypt**: (Opcional) criptografa dados no lado do servidor com uma nova chave do KMS, sem a necessidade de expor o texto simples dos dados no lado do cliente. Primeiro os dados são descriptografados e, depois, recriptografados. Essa permissão está incluída na política de chaves padrão.
+ **kms:GenerateDataKeyWithoutPlaintext**: (obrigatório) retorna uma chave de criptografia de dados criptografada em uma chave do KMS. Essa permissão está incluída na política de chave padrão, em **kms:GenerateDataKey\$1**.
+ **kms:CreateGrant** - (Obrigatório) Adiciona uma concessão a uma chave para especificar quem pode usar a chave e em que condições. Concessões são mecanismos de permissão alternativos para políticas de chaves. Para obter mais informações sobre concessões, consulte [Using grants](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) no *Guia do desenvolvedor do AWS Key Management Service.*. Essa permissão está incluída na política de chaves padrão.
+ **kms:DescribeKey**: (obrigatório) fornece informações detalhadas sobre a chave do KMS especificada. Essa permissão está incluída na política de chaves padrão.
+ **kms:ListAliases**: (opcional) lista todos os aliases de chaves na conta. Quando você usa o console para criar um sistema de arquivos criptografado, essa permissão preenche a lista para selecionar a chave do KMS. Recomendamos usar essa permissão para proporcionar a melhor experiência do usuário. Essa permissão está incluída na política de chaves padrão.

# Criptografia de dados em trânsito
<a name="encryption-in-transit-fsxl"></a>

Os sistemas de arquivos Scratch 2 e persistent podem criptografar automaticamente os dados em trânsito quando o sistema de arquivos for acessado de instâncias do Amazon EC2 compatíveis com criptografia em trânsito e também para todas as comunicações entre hosts no sistema de arquivos. Para saber quais instâncias do EC2 oferecem suporte à criptografia em trânsito, consulte [Criptografia em trânsito](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit) no *Guia do usuário do Amazon EC2*.

Para obter uma lista das Regiões da AWS nas quais o Amazon FSx para Lustre está disponível, consulte [Disponibilidade do tipo de implantação](using-fsx-lustre.md#persistent-deployment-regions).