As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Proteção de dados no Amazon FSx para Windows File Server
O [modelo de responsabilidade compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) da AWS se aplica à proteção de dados no Amazon FSx para Windows File Server. Conforme descrito nesse modelo, a AWS é responsável por proteger a infraestrutura global que executa toda a Nuvem AWS. Você é responsável por manter o controle sobre o conteúdo hospedado nessa infraestrutura. Você também é responsável pelas tarefas de configuração e gerenciamento de segurança dos Serviços da AWS que usa. Para obter mais informações sobre a privacidade de dados, consulte as [Data Privacy FAQ](https://aws.amazon.com/compliance/data-privacy-faq/). Para obter mais informações sobre a proteção de dados na Europa, consulte a postagem do blog [AWS Shared Responsibility Model and RGPD](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) no *Blog de segurança da AWS*.
Para fins de proteção de dados, recomendamos que você proteja as credenciais da Conta da AWS e configure as contas de usuário individuais com Centro de Identidade do AWS IAM ou AWS Identity and Access Management (IAM). Dessa maneira, cada usuário receberá apenas as permissões necessárias para cumprir suas obrigações de trabalho. Recomendamos também que você proteja seus dados das seguintes formas:
+ Use uma autenticação multifator (MFA) com cada conta.
+ Use SSL/TLS para se comunicar com os recursos da AWS. Exigimos TLS 1.2 e recomendamos TLS 1.3.
+ Configure os logs de API e atividade do usuário com AWS CloudTrail. Para obter informações sobre como usar as trilhas do CloudTrail para capturar atividades da AWS, consulte [Working with CloudTrail trails](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) no *Guia do usuário do AWS CloudTrail*.
+ Use as soluções de criptografia AWS, juntamente com todos os controles de segurança padrão em Serviços da AWS.
+ Use serviços gerenciados de segurança avançada, como o Amazon Macie, que ajuda a localizar e proteger dados sigilosos armazenados no Amazon S3.
+ Se você precisar de módulos criptográficos validados pelo FIPS 140-3 ao acessar a AWS por meio de uma interface de linha de comandos ou de uma API, use um endpoint do FIPS. Para obter mais informações sobre os endpoints FIPS disponíveis, consulte [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
É altamente recomendável que nunca sejam colocadas informações confidenciais ou sigilosas, como endereços de e-mail de clientes, em tags ou campos de formato livre, como um campo **Nome**. Isso inclui quando você trabalha com o FSx para Windows File Server ou com outros Serviços da AWS usando o console, a API, a AWS CLI ou os AWS SDKs. Quaisquer dados inseridos em tags ou em campos de texto de formato livre usados para nomes podem ser usados para logs de faturamento ou de diagnóstico. Se você fornecer um URL para um servidor externo, é fortemente recomendável que não sejam incluídas informações de credenciais no URL para validar a solicitação nesse servidor.
## Criptografia de dados no FSx para Windows File Server
O Amazon FSx para Windows File Server oferece suporte à criptografia de dados em repouso e dados em trânsito. A criptografia de dados em repouso é habilitada automaticamente ao criar um sistema de arquivos do Amazon FSx. A criptografia de dados em trânsito é compatível com compartilhamentos de arquivos mapeados em uma instância de computação que seja compatível com o protocolo SMB 3.0 ou mais recente. O Amazon FSx criptografa automaticamente os dados em trânsito usando a criptografia SMB à medida que você acessa seu sistema de arquivos, sem a necessidade de modificar suas aplicações.
### Quando usar a criptografia
Se sua organização está sujeita a políticas corporativas ou regulatórias que exigem a criptografia de dados e metadados em repouso, recomendamos a criação de um sistema de arquivos criptografado para montar seus sistema usando a criptografia de dados em trânsito.
Se sua organização estiver sujeita a políticas corporativas ou regulatórias que exigem criptografia de dados e metadados em repouso, seus dados serão automaticamente criptografados em repouso. É recomendável também que você habilite a criptografia de dados em trânsito montando seu sistema de arquivos com o uso da criptografia de dados em trânsito.
# Criptografia de dados em repouso
Todos os sistemas de arquivos do Amazon FSx são criptografados em repouso com chaves gerenciadas usando o AWS Key Management Service (AWS KMS). Os dados são criptografados automaticamente antes de serem gravados no sistema de arquivos e automaticamente decriptografados à medida que são lidos. Esses processos são tratados de maneira transparente pelo Amazon FSx. Portanto, não é necessário modificar as aplicações.
O Amazon FSx usa um algoritmo de criptografia AES-256 padrão do setor para criptografar dados e metadados em repouso do Amazon FSx. Para obter mais informações, consulte [Cryptography Basics](https://docs.aws.amazon.com/kms/latest/developerguide/crypto-intro.html) no *Guia do desenvolvedor do AWS Key Management Service*.
**nota**
A infraestrutura de gerenciamento de chaves da AWS usa algoritmos criptográficos aprovados pelo Federal Information Processing Standards (FIPS) 140-2. A infraestrutura é consistente com as recomendações 800-57 do National Institute of Standards and Technology (NIST).
## Como o Amazon FSx usa o AWS KMS
O Amazon FSx integra-se ao AWS KMS para gerenciamento de chaves. O Amazon FSx usa um AWS KMS key para criptografar seu sistema de arquivos. Você escolhe a chave do KMS usada para criptografar e decriptografar sistemas de arquivos (dados e metadados). É possível habilitar, desabilitar ou revogar as concessões nessa chave do KMS. Essa chave do KMS pode ser de um dos seguintes dois tipos:
+ **Chave gerenciada pela AWS** – essa é a chave padrão do KMS e seu uso é gratuito.
+ **Chave gerenciada pelo cliente**: essa é a chave do KMS mais flexível para usar, pois é possível configurar suas políticas de chaves e concessões para diversos usuários ou serviços. Para obter mais informações sobre a criação de chaves gerenciadas pelo cliente, consulte [Criar chaves](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) no *Guia do desenvolvedor do AWS Key Management Service*.
Se você usar uma chave gerenciada pelo cliente como a chave do KMS para descriptografia e criptografia de dados de arquivos, poderá habilitar a rotação de chaves. Ao habilitar a rotação de chaves, o AWS KMS gira sua chave automaticamente uma vez por ano. Além disso, com uma chave gerenciada pelo cliente, você pode escolher quando desativar, reativar, excluir ou revogar o acesso à sua chave do KMS a qualquer momento. Para obter mais informações, consulte [Rotating AWS KMS keys](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html) no *Guia do desenvolvedor do AWS Key Management Service*.
## Políticas de chave do Amazon FSx para o AWS KMS
Políticas de chaves são a principal maneira de controlar o acesso a chaves do KMS. Para obter mais informações sobre as políticas de chaves, consulte [Using key policies in AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) no *Guia do desenvolvedor do AWS Key Management Service*.A lista a seguir descreve todas as permissões relacionadas ao AWS KMS com suporte do Amazon FSx para sistemas de arquivos criptografados em repouso:
+ **kms:Encrypt**: (opcional) criptografa texto simples em texto cifrado. Essa permissão está incluída na política de chaves padrão.
+ **kms:Decrypt** - (Obrigatório) Descriptografa texto cifrado. O texto cifrado é o texto não criptografado que já foi criptografado. Essa permissão está incluída na política de chaves padrão.
+ **kms:ReEncrypt**: (Opcional) criptografa dados no lado do servidor com uma nova chave do KMS, sem a necessidade de expor o texto simples dos dados no lado do cliente. Primeiro os dados são descriptografados e, depois, recriptografados. Essa permissão está incluída na política de chaves padrão.
+ **kms:GenerateDataKeyWithoutPlaintext**: (obrigatório) retorna uma chave de criptografia de dados criptografada em uma chave do KMS. Essa permissão está incluída na política de chave padrão, em **kms:GenerateDataKey\$1**.
+ **kms:CreateGrant** - (Obrigatório) Adiciona uma concessão a uma chave para especificar quem pode usar a chave e em que condições. Concessões são mecanismos de permissão alternativos para políticas de chaves. Para obter mais informações sobre concessões, consulte [Uso de concessões](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) no Guia do desenvolvedor do AWS Key Management Service. Essa permissão está incluída na política de chaves padrão.
+ **kms:DescribeKey**: (obrigatório) fornece informações detalhadas sobre a chave do KMS especificada. Essa permissão está incluída na política de chaves padrão.
+ **kms:ListAliases**: (opcional) lista todos os aliases de chaves na conta. Quando você usa o console para criar um sistema de arquivos criptografado, essa permissão preenche a lista de chaves do KMS. Recomendamos usar essa permissão para proporcionar a melhor experiência do usuário. Essa permissão está incluída na política de chaves padrão.
# Criptografia de dados em trânsito
A criptografia de dados em trânsito é compatível com compartilhamentos de arquivos mapeados em uma instância de computação que seja compatível com o protocolo SMB 3.0 ou mais recente. Isso inclui todas as versões do Windows a partir do Windows Server 2012 e do Windows 8, e todos os clientes Linux com o cliente Samba versão 4.2 ou mais recente. O Amazon FSx para Windows File Server criptografa automaticamente os dados em trânsito usando a criptografia SMB à medida que você acessa o sistema de arquivos, sem a necessidade de modificar suas aplicações.
A criptografia SMB usa AES-128-GCM ou AES-128-CCM (com a variante GCM sendo escolhida se o cliente for compatível com SMB 3.1.1) como algoritmo de criptografia e também fornece integridade de dados com assinatura usando chaves de sessão SMB do Kerberos. O uso do AES-128-GCM leva a uma melhor performance, por exemplo, até 2x mais performance ao copiar arquivos grandes em conexões SMB criptografadas.
Para atender aos requisitos de conformidade para sempre criptografar os dados em trânsito, você pode limitar o acesso ao sistema de arquivos para permitir o acesso apenas a clientes que são compatíveis com a criptografia SMB. Você também pode ativar ou desativar a criptografia em trânsito por compartilhamento de arquivo ou para todo o sistema de arquivos. Isso permite que você tenha uma combinação de compartilhamentos de arquivos criptografados e não criptografados no mesmo sistema de arquivos.
## Como gerenciar criptografia em trânsito
Você pode usar um conjunto de comandos personalizados do PowerShell para controlar a criptografia dos dados em trânsito entre o sistema de arquivos do FSx para Windows File Server e os clientes. Você pode limitar o acesso ao sistema de arquivos somente a clientes que oferecem suporte à criptografia SMB, para que os dados em trânsito sejam sempre criptografados. Quando a imposição é ativada para criptografia de dados em trânsito, os usuários que acessam o sistema de arquivos de clientes que não oferecem suporte à criptografia SMB 3.0 não poderão acessar compartilhamentos de arquivos para os quais a criptografia está ativada.
Você também pode controlar a criptografia de dados em trânsito no nível do compartilhamento de arquivos, em vez de no nível do servidor de arquivos. Você pode usar controles de criptografia em nível de compartilhamento de arquivos para ter uma combinação de compartilhamentos de arquivos criptografados e não criptografados no mesmo sistema de arquivos, se quiser impor a criptografia em trânsito para alguns compartilhamentos de arquivos que tenham dados confidenciais e permitir que todos os usuários acessem outros compartilhamentos de arquivos. A criptografia do servidor tem precedência sobre a criptografia em nível de compartilhamento. Se a criptografia global estiver habilitada, você não poderá desabilitar seletivamente a criptografia para determinados compartilhamentos.
Você pode gerenciar a criptografia em trânsito em seu sistema de arquivos usando a CLI do Amazon FSx para gerenciamento remoto no PowerShell. Para saber como usar essa CLI, consulte [Usando a Amazon FSx CLI para PowerShell](administering-file-systems.md#remote-pwrshell).
A seguir estão os comandos que você pode usar para gerenciar a criptografia em trânsito do usuário em seu sistema de arquivos.
| Comando de criptografia em trânsito | Descrição |
| --- | --- |
| **Get-FSxSmbServerConfiguration** | Recupera a configuração do servidor Server Message Block (SMB). Na resposta do sistema, você pode escolher a criptografia nas configurações de trânsito do sistema de arquivos com base nos valores das propriedades `EncryptData` e `RejectUnencryptedAccess`. |
| **Set-FSxSmbServerConfiguration** | Esse comando tem duas opções para configurar globalmente a criptografia em trânsito no sistema de arquivos: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/fsx/latest/WindowsGuide/encryption-in-transit.html) |
| **Set-FSxSmbShare -name *name* -EncryptData \$1True** | Defina esse parâmetro como `True` para ativar a criptografia de dados em trânsito para o compartilhamento. Defina esse parâmetro como `False` para desativar a criptografia de dados em trânsito para o compartilhamento. |
A ajuda on-line de cada comando fornece uma referência de todas as opções de comando. Para acessar essa ajuda, execute o comando com **-?**, por exemplo **Get-FSxSmbServerConfiguration -?**.