As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Encrypt
<a name="encrypt-operation"></a>

Uma função básica do AWS KMS é criptografar um objeto com uma chave KMS. Por design, AWS KMS fornece operações criptográficas de baixa latência ativadas. HSMs Portanto, há um limite de 4 KB na quantidade de texto simples que pode ser criptografado em uma chamada direta para a função de criptografia. Eles AWS Encryption SDK podem ser usados para criptografar mensagens maiores. AWS KMS, depois de autenticar o comando, adquire o EKT ativo atual pertencente à chave KMS. Ele passa o EKT, junto com o texto simples e o contexto de criptografia, para qualquer HSM disponível na região. Eles são enviados por uma sessão autenticada entre o AWS KMS host e um HSM no domínio.

O HSM executa o seguinte:

1. Descriptografa o EKT para obter o *HBK = Descriptografia(DKi, EKT)*.

1. Gera um nonce *N* aleatório.

1. Deriva uma chave de criptografia derivada do AES-GCM de 256 bits *K* de *HBK* e *N*.

1. Criptografa o texto simples *texto cifrado = Criptografia(K, contexto, texto simples)*.

O valor do texto cifrado é retornado para você, e nem os dados em texto simples nem o texto cifrado são retidos em nenhum lugar da infraestrutura. AWS Sem a posse do *texto cifrado* e do contexto de criptografia e a autorização para usar a chave KMS, o texto simples subjacente não pode ser retornado.