As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Como trabalhar com buckets do Amazon S3 criptografados no lado do servidor
<a name="s3-server-side-encryption-support"></a>

 O FSx for Lustre é compatível com buckets Amazon S3 que usam S3-managed criptografia do lado do servidor com SSE-S3 chaves () e armazenadas em (). AWS KMS keys AWS Key Management Service SSE-KMS 

Se você quiser que o Amazon FSx criptografe dados ao gravar em seu bucket S3, você precisa definir a criptografia padrão em seu bucket S3 como ou. SSE-S3 SSE-KMS Para obter mais informações, consulte [Configuração da criptografia padrão](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-bucket-encryption.html) no *Guia do usuário do Amazon S3*. Ao gravar arquivos no bucket do S3, o Amazon FSx segue a política de criptografia padrão do bucket do S3.

Por padrão, o Amazon FSx suporta buckets S3 criptografados usando. SSE-S3 Se você quiser vincular seu sistema de arquivos Amazon FSx a um bucket S3 criptografado usando SSE-KMS criptografia, você precisa adicionar uma declaração à sua política de chave gerenciada pelo cliente que permita que o Amazon FSx criptografe e descriptografe objetos em seu bucket S3 usando sua chave KMS.

A declaração a seguir permite que um sistema de arquivos Amazon FSx específico criptografe e descriptografe objetos para um bucket S3 específico,. {{bucket\_name}}

```
{
    "Sid": "Allow access through S3 for the FSx SLR to use the KMS key on the objects in the given S3 bucket",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::{{aws_account_id}}:role/aws-service-role/s3.data-source.lustre.fsx.amazonaws.com/AWSServiceRoleForFSxS3Access_{{fsx_file_system_id}}"
    },
    "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:CallerAccount": "{{aws_account_id}}",
            "kms:ViaService": "s3.{{bucket-region}}.amazonaws.com"
        },
        "StringLike": {
            "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::{{bucket_name}}/*"
        }
    }
}
```

**nota**  
 Se você estiver usando um KMS com uma CMK para criptografar seu bucket do S3 com as chaves do bucket do S3 habilitadas, defina `EncryptionContext` como ARN do bucket, não o ARN do objeto, como neste exemplo:  

```
"StringLike": {
    "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::{{bucket_name}}"
}
```

A declaração de política a seguir permite que todos os sistemas de arquivos do Amazon FSx em sua conta sejam vinculados a um bucket do S3 específico.

```
{
      "Sid": "Allow access through S3 for the FSx SLR to use the KMS key on the objects in the given S3 bucket",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "kms:ViaService": "s3.{{bucket-region}}.amazonaws.com",
          "kms:CallerAccount": "{{aws_account_id}}"
        },
        "StringLike": {
            "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::{{bucket_name}}/*"
        },
        "ArnLike": {
          "aws:PrincipalArn": "arn:{{aws_partition}}:iam::{{aws_account_id}}:role/aws-service-role/s3.data-source.lustre.fsx.amazonaws.com/AWSServiceRoleForFSxS3Access_fs-*"
        }
      }
}
```

## Acessando buckets do Amazon S3 criptografados do lado do servidor em uma VPC diferente ou de uma VPC compartilhada Conta da AWS
<a name="s3-server-side-cross-account-support"></a>

Depois de criar um sistema de arquivos do FSx para Lustre vinculado a um bucket do Amazon S3 criptografado , você deve então conceder ao perfil vinculado ao serviço (SLR) `AWSServiceRoleForFSxS3Access_{{fs-01234567890}}` acesso à chave do KMS usada para criptografar o bucket do S3 antes de ler ou gravar dados no bucket do S3 vinculado. Você pode usar um perfil do IAM que já tenha permissões para a chave do KMS.

**nota**  
Essa função do IAM deve estar na conta na qual o sistema de arquivos FSx for Lustre foi criado (que é a mesma conta da SLR do S3), não na conta à qual o bucket KMS pertence. key/S3

Você usa a função do IAM para chamar a AWS KMS API a seguir para criar uma concessão para a SLR do S3 para que a SLR ganhe permissão para os objetos do S3. Para encontrar o ARN associado ao SLR, pesquise nos perfis do IAM usando o ID do sistema de arquivos como string de pesquisa.

```
$ aws kms create-grant --region {{fs_account_region}} \
      --key-id arn:aws:kms:{{s3_bucket_account_region}}:{{s3_bucket_account}}:key/{{key_id}} \
      --grantee-principal arn:aws:iam::{{fs_account_id}}:role/aws-service-role/s3.data-source.lustre.fsx.amazonaws.com/AWSServiceRoleForFSxS3Access_{{file-system-id}} \
      --operations "Decrypt" "Encrypt" "GenerateDataKey" "GenerateDataKeyWithoutPlaintext" "CreateGrant" "DescribeKey" "ReEncryptFrom" "ReEncryptTo"
```

Para obter mais informações sobre funções vinculadas ao serviço, consulte [Usando funções vinculadas a serviços para a Amazon FSx](using-service-linked-roles.md).