As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Usando AWS KMS criptografia com AWS serviços
Com AWS Key Management Service, você pode fornecer chaves de criptografia para proteger dados em outros AWS serviços. O uso da AWS KMS criptografia com AWS serviços se refere ao processo de integração AWS KMS com outros AWS serviços para criptografar e descriptografar dados em repouso ou em trânsito. Desenvolvedores, administradores de sistemas e profissionais de segurança podem estar interessados neste tópico para proteger dados confidenciais armazenados ou transmitidos por meio de AWS serviços, atender aos requisitos de conformidade regulatória ou implementar as melhores práticas de criptografia. Casos de uso comuns incluem criptografia de volumes do Amazon EBS, buckets do Amazon S3 e bancos de dados do Amazon RDS. [As seções a seguir abordarão as etapas para configurar e gerenciar chaves de AWS KMS criptografia para AWS serviços específicos, garantindo a confidencialidade e a integridade dos dados em seu AWS ambiente. Para obter a lista completa dos AWS serviços integrados AWS KMS, consulte Integração de serviços.AWS](https://aws.amazon.com/kms/features/#AWS_Service_Integration)
Os tópicos a seguir discutem detalhadamente como determinados serviços são usados AWS KMS, incluindo as chaves KMS que eles suportam, como gerenciam as chaves de dados, as permissões necessárias e como rastrear o uso das chaves KMS por cada serviço em sua conta.
**Importante**
[AWS os serviços integrados AWS KMS](https://aws.amazon.com/kms/features/#AWS_Service_Integration) usam somente chaves KMS de criptografia simétrica para criptografar seus dados. Esses serviços não fornecem suporte para criptografia com chaves do KMS assimétricas. Para obter ajuda para determinar se uma chave do KMS é simétrica ou assimétrica, consulte [Identificar diferentes tipos de chaves](identify-key-types.md).
**Topics**
+ [Amazon Elastic Block Store (Amazon EBS)](services-ebs.md)
+ [Amazon EMR](services-emr.md)
+ [banco de dados de origem](services-redshift.md)
# Como o Amazon Elastic Block Store (Amazon EBS) usa AWS KMS
Este tópico discute em detalhes como o [Amazon Elastic Block Store (Amazon EBS) usa AWS KMS para criptografar volumes](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AmazonEBS.html) e snapshots. Para obter instruções básicas sobre a criptografia de volumes do Amazon EBS, consulte [Criptografia do Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html).
**Topics**
+ [Criptografia de Amazon EBS](#ebs-encrypt)
+ [Usar chaves do KMS e chaves de dados](#ebs-cmk)
+ [Contexto de criptografia do Amazon EBS](#ebs-encryption-context)
+ [Detectar falhas do Amazon EBS](#ebs-failures)
+ [Usando AWS CloudFormation para criar volumes criptografados do Amazon EBS](#ebs-encryption-using-cloudformation)
## Criptografia de Amazon EBS
Quando você anexa um volume do Amazon EBS criptografado a um [tipo de instância do Amazon Elastic Compute Cloud (Amazon EC2) com suporte](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption-requirements.html#ebs-encryption_supported_instances), os dados são armazenados em repouso no volume, E/S de disco e snapshots criados do volume são todos criptografados. A criptografia ocorre nos servidores que hospedam instâncias do Amazon EC2.
Esse recurso tem suporte em todos os [tipos de volume do Amazon EBS](https://docs.aws.amazon.com/ebs-encryption-requirements.html#ebs-encryption-volume-types). Você acessa os volumes criptografados da mesma forma que acessa outros volumes; a criptografia e a descriptografia são manipuladas de forma transparente e elas não exigem ações adicionais de você, sua instância do EC2 ou sua aplicação. Snapshots de volumes criptografados são criptografados automaticamente, e os volumes que são criados dos snapshots criptografados também são criptografados automaticamente.
O status da criptografia de um volume do EBS é determinado quando você cria o volume. Não é possível alterar o status de criptografia de um volume existente. No entanto, você pode [migrar dados](https://docs.aws.amazon.com//ebs/latest/userguide/how-ebs-encryption-works.html) entre os volumes criptografados e não criptografados, e aplicar um novo status de criptografia enquanto copia um snapshot.
Por padrão, o Amazon EBS é compatível com criptografia opcional. Você pode ativar a criptografia automaticamente em todos os novos volumes e cópias de snapshot do EBS na sua região Conta da AWS . Essa configuração não afeta volumes ou snapshots existentes. Para obter mais informações, consulte [Amazon EBS encryption](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default) no *Amazon EBS User Guide*.
## Usar chaves do KMS e chaves de dados
Ao [criar um volume do Amazon EBS criptografado](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-creating-volume.html), você especifica uma AWS KMS key. Por padrão, o Amazon EBS usa a [Chave gerenciada pela AWS](concepts.md#aws-managed-key) para o Amazon EBS na sua conta (`aws/ebs`). No entanto, você pode especificar uma [chave gerenciada pelo cliente](concepts.md#customer-mgn-key) que você cria e gerencia.
Para usar uma chave gerenciada pelo cliente, você deve dar ao Amazon EBS a permissão para usar a chave do KMS em seu nome. Para obter mais informações, consulte [How Amazon EBS encryption works](https://docs.aws.amazon.com//ebs/latest/userguide/how-ebs-encryption-works.html) no *Amazon EBS User Guide*.
**Importante**
O Amazon EBS oferece suporte somente para [chaves do KMS simétricas](symm-asymm-choose-key-spec.md#symmetric-cmks). Não é possível usar uma [chave do KMS assimétrica](symmetric-asymmetric.md) para criptografar um volume do Amazon EBS. Para obter ajuda para determinar se uma chave do KMS é simétrica ou assimétrica, consulte [Identificar diferentes tipos de chaves](identify-key-types.md).
Para cada volume, o Amazon EBS solicita AWS KMS a geração de uma chave de dados exclusiva criptografada sob a chave KMS que você especificar. O Amazon EBS armazena a chave de dados criptografada com o volume. Então, quando você anexa o volume a uma instância do Amazon EC2, o Amazon EBS liga AWS KMS para descriptografar a chave de dados. O Amazon EBS usa a chave de dados de texto simples na memória do hipervisor para criptografar todo o disco no volume. I/O Para obter detalhes, consulte *Funcionamento da criptografia do EBS* no [Guia do usuário do Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#how-ebs-encryption-works) ou no [Guia do usuário do Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EBSEncryption.html#how-ebs-encryption-works).
## Contexto de criptografia do Amazon EBS
Em suas solicitações [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext)e [Decrypt para](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html), o AWS KMS Amazon EBS usa um contexto de criptografia com um par de nome-valor que identifica o volume ou o snapshot na solicitação. O nome no contexto de criptografia não varia.
Um [contexto de criptografia](encrypt_context.md) é um conjunto de pares de chave-valor que contêm dados arbitrários não secretos. Quando você inclui um contexto de criptografia em uma solicitação para criptografar dados, vincula AWS KMS criptograficamente o contexto de criptografia aos dados criptografados. Para descriptografar os dados, é necessário passar o mesmo contexto de criptografia.
Para todos os volumes e para snapshots criptografados criados com a [CreateSnapshot](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateSnapshot.html)operação do Amazon EBS, o Amazon EBS usa o ID do volume como valor do contexto de criptografia. No campo `requestParameters` de uma entrada de log do CloudTrail, o contexto de criptografia é parecido com o seguinte:
```
"encryptionContext": {
"aws:ebs:id": "vol-0cfb133e847d28be9"
}
```
Para snapshots criptografados criados com a operação do Amazon [CopySnapshot](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CopySnapshot.html)EC2, o Amazon EBS usa o ID do snapshot como valor de contexto de criptografia. No campo `requestParameters` de uma entrada de log do CloudTrail, o contexto de criptografia é parecido com o seguinte:
```
"encryptionContext": {
"aws:ebs:id": "snap-069a655b568de654f"
}
```
## Detectar falhas do Amazon EBS
Para criar um volume do EBS criptografado ou anexar o volume a uma instância do EC2, o Amazon EBS e a infraestrutura do Amazon EC2 devem poder usar a chave do KMS especificada para a criptografia de volume do EBS. Quando a chave do KMS não pode ser utilizada, por exemplo, quando seu [estado de chave](key-state.md) não está `Enabled`, há falha na criação ou na anexação do volume.
Nesse caso, o Amazon EBS envia um *evento* para a Amazon EventBridge (antigo CloudWatch Events) para notificá-lo sobre a falha. Em EventBridge, você pode estabelecer regras que acionam ações automáticas em resposta a esses eventos. Para obter mais informações, consulte [ CloudWatch Eventos da Amazon para Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-cloud-watch-events.html) no *Guia do usuário do Amazon EBS*, especialmente nas seguintes seções:
+ [Chave de criptografia inválida em Anexar ou reanexar volume](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-cloud-watch-events.html#attach-fail-key)
+ [Chave de criptografia inválida em Criar volume](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-cloud-watch-events.html#create-fail-key)
Para corrigir essas falhas, verifique se a chave do KMS especificada para criptografia do volume do EBS está habilitada. Para fazer isso, primeiro [visualize a chave KMS](viewing-keys.md) para determinar o estado atual da chave (a coluna **Status** no Console de gerenciamento da AWS). Veja as informações em um dos links a seguir:
+ Se o estado da chave do KMS estiver desabilitado, [habilite-o](enabling-keys.md).
+ Se o estado da chave do KMS for importação pendente, [importe material de chave](importing-keys.md).
+ Se o estado de chave da chave do KMS for exclusão pendente, [cancele a exclusão da chave](deleting-keys-scheduling-key-deletion.md).
## Usando AWS CloudFormation para criar volumes criptografados do Amazon EBS
Você pode usar o [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/) para criar volumes criptografados do Amazon EBS. Consulte mais informações em [AWS::EC2::Volume](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-ec2-ebs-volume.html) no *Guia de Usuário AWS CloudFormation *.
# Como o Amazon EMR usa AWS KMS
Ao usar um cluster do [Amazon EMR](https://aws.amazon.com/emr/), você pode configurá-lo para criptografar dados *em repouso* antes de salvá-los em um local de armazenamento persistente. Você pode criptografar dados em repouso no EMR File System (EMRFS), nos volumes de armazenamento de nós de cluster, ou em ambos. Para criptografar dados em repouso, use uma AWS KMS key. Os tópicos a seguir explicam como um cluster do Amazon EMR usa uma chave do KMS para criptografar dados em repouso.
**Importante**
O Amazon EMR oferece suporte somente a [chaves do KMS simétricas](symm-asymm-choose-key-spec.md#symmetric-cmks). Não é possível usar uma [chave do KMS assimétrica](symmetric-asymmetric.md) para criptografar dados em repouso em um cluster do Amazon EMR. Para obter ajuda para determinar se uma chave do KMS é simétrica ou assimétrica, consulte [Identificar diferentes tipos de chaves](identify-key-types.md).
Os clusters do Amazon EMR também criptografam dados *em trânsito*, o que significa que o cluster criptografa os dados antes de enviá-los por meio da rede. Não é possível usar uma chave do KMS para criptografar dados em trânsito. Para obter mais informações, consulte [Criptografia de dados em trânsito](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-data-encryption-options.html#emr-encryption-intransit), no *Guia de gerenciamento do Amazon EMR*.
Para obter mais informações sobre todas as opções de criptografia disponíveis no Amazon EMR, consulte [Opções de criptografia](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-data-encryption-options.html), no*Guia de gerenciamento do Amazon EMR*.
**Topics**
+ [Criptografar dados no EMR File System (EMRFS)](#emrfs-encryption)
+ [Criptografar dados nos volumes de armazenamento dos nós de cluster](#emr-local-disk-encryption)
+ [Contexto de criptografia](#emr-encryption-context)
## Criptografar dados no EMR File System (EMRFS)
Os clusters do Amazon EMR usam dois sistemas de arquivos distribuídos:
+ O Hadoop Distributed File System (HDFS). A criptografia do HDFS não usa uma chave do KMS no AWS KMS.
+ O EMR File System (EMRFS). O EMRFS é uma implementação do HDFS que permite que os clusters do Amazon EMR armazenem dados no Amazon Simple Storage Service (Amazon S3). O EMRFS oferece suporte a quatro opções de criptografia, duas das quais usam uma chave do KMS no AWS KMS. Para obter mais informações sobre todas as quatro opções de criptografia do EMRFS, consulte [Opções de criptografia](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-data-encryption-options.html), no *Guia de gerenciamento do Amazon EMR*.
As duas opções de criptografia do EMRFS que usam uma chave do KMS usam os seguintes recursos de criptografia oferecidos pelo Amazon S3:
+ [Protegendo dados usando criptografia do lado do servidor com AWS Key Management Service (SSE-KMS)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html). O cluster do Amazon EMR envia dados ao Amazon S3. O Amazon S3 usa uma chave do KMS para criptografar os dados antes de enviá-los a um bucket do S3. Para obter mais informações sobre como isso funciona, consulte [Processo para criptografar dados no EMRFS com o SSE-KMS](#emrfs-encryption-sse-kms).
+ [Proteger dados usando a criptografia no lado do cliente](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingClientSideEncryption.html) (CSE-KMS). Os dados em um Amazon EMR são criptografados sob um AWS KMS key antes de serem enviados ao Amazon S3 para armazenamento. Para obter mais informações sobre como isso funciona, consulte [Processo para criptografar dados no EMRFS com o CSE-KMS](#emrfs-encryption-cse-kms).
Ao configurar um cluster do Amazon EMR para criptografar dados no EMRFS com uma chave do KMS, escolha a chave do KMS que deseja que o Amazon S3 ou o cluster do Amazon EMR use. Com o SSE-KMS, é possível escolher a Chave gerenciada pela AWS para o Amazon S3 com o alias **aws/s3** ou uma chave simétrica gerenciada pelo cliente criada por você. Com a criptografia no lado do cliente, é necessário escolher uma chave simétrica gerenciada pelo cliente criada por você. Ao escolher uma chave gerenciada pelo cliente, é necessário garantir que o cluster do Amazon EMR tenha permissão para usar a chave do KMS. Para obter mais informações, consulte [Uso AWS KMS keys para criptografia](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-encryption-enable.html#emr-awskms-keys) no Guia de *gerenciamento do Amazon EMR.*
Para a criptografia do lado do servidor e a criptografia do lado do cliente, a chave do KMS que você escolhe é a chave raiz em um fluxo de trabalho de [criptografia de envelope](kms-cryptography.md#enveloping). Os dados são criptografados com uma [chave de dados](data-keys.md) exclusiva que é criptografada sob a chave KMS em AWS KMS. Os dados criptografados e uma cópia criptografada de sua chave de dados são armazenados em conjunto como um único objeto criptografado em um bucket do S3. Para obter mais informações sobre como isso funciona, consulte os tópicos a seguir.
**Topics**
+ [Processo para criptografar dados no EMRFS com o SSE-KMS](#emrfs-encryption-sse-kms)
+ [Processo para criptografar dados no EMRFS com o CSE-KMS](#emrfs-encryption-cse-kms)
### Processo para criptografar dados no EMRFS com o SSE-KMS
Quando você configura um cluster do Amazon EMR para usar o SSE-KMS, o processo de criptografia funciona da seguinte forma:
1. O cluster envia os dados ao Amazon S3 para armazenamento em um bucket do S3.
1. O Amazon S3 envia uma [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)solicitação para AWS KMS, especificando o ID da chave KMS que você escolheu ao configurar o cluster para usar o SSE-KMS. A solicitação inclui o contexto de criptografia, para obter mais informações, consulte [Contexto de criptografia](#emr-encryption-context).
1. AWS KMS gera uma chave de criptografia de dados exclusiva (chave de dados) e, em seguida, envia duas cópias dessa chave de dados para o Amazon S3. Uma cópia é não criptografada (texto simples), e a outra cópia é criptografada com a chave do KMS.
1. O Amazon S3 usa a chave de dados de texto não criptografado para criptografar os dados que ela recebeu na etapa 1 e remove a chave de dados de texto não criptografado da memória, assim que possível, após o uso.
1. O Amazon S3 armazena os dados criptografados e a cópia criptografada da chave de dados em conjunto como um único objeto criptografado em um bucket do S3.
O processo de descriptografia funciona desta forma:
1. O cluster solicita um objeto de dados criptografado de um bucket do S3.
1. [O Amazon S3 extrai a chave de dados criptografada do objeto S3 e, em seguida, envia a chave de dados criptografada para AWS KMS com uma solicitação Decrypt.](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) A solicitação inclui um [contexto de criptografia](encrypt_context.md).
1. AWS KMS descriptografa a chave de dados criptografada usando a mesma chave KMS usada para criptografá-la e, em seguida, envia a chave de dados descriptografada (texto sem formatação) para o Amazon S3.
1. O Amazon S3 usa a chave de dados de texto não criptografado para descriptografar os dados criptografados e, em seguida, remove a chave de dados de texto não criptografado da memória, assim que possível, após o uso.
1. O Amazon S3 envia os dados descriptografados ao cluster.
### Processo para criptografar dados no EMRFS com o CSE-KMS
Quando você configura um cluster do Amazon EMR para usar o CSE-KMS, o processo de criptografia funciona da seguinte forma:
1. Quando estiver pronto para armazenar dados no Amazon S3, o cluster envia uma [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)solicitação para AWS KMS, especificando o ID da chave KMS que você escolheu ao configurar o cluster para usar o CSE-KMS. A solicitação inclui o contexto de criptografia, para obter mais informações, consulte [Contexto de criptografia](#emr-encryption-context).
1. AWS KMS gera uma chave de criptografia de dados exclusiva (chave de dados) e, em seguida, envia duas cópias dessa chave de dados para o cluster. Uma cópia é não criptografada (texto simples), e a outra cópia é criptografada com a chave do KMS.
1. O cluster usa a chave de dados de texto simples para criptografar os dados e remove a chave de dados de texto simples da memória, assim que possível após o uso.
1. O cluster combina os dados criptografados e a cópia criptografada da chave de dados em conjunto em um único objeto criptografado.
1. O cluster envia o objeto criptografado para o Amazon S3 para armazenamento.
O processo de descriptografia funciona desta forma:
1. O cluster solicita o objeto de dados criptografado de um bucket do S3.
1. O Amazon S3 envia o objeto criptografado ao cluster.
1. O cluster extrai a chave de dados criptografada do objeto criptografado e, em seguida, envia a chave de dados criptografada para AWS KMS com uma solicitação [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html). A solicitação inclui o [contexto de criptografia](encrypt_context.md).
1. AWS KMS descriptografa a chave de dados criptografada usando a mesma chave KMS usada para criptografá-la e, em seguida, envia a chave de dados descriptografada (texto sem formatação) para o cluster.
1. O cluster usa a chave de dados de texto simples para descriptografar os dados criptografados e remove a chave de dados de texto simples da memória, assim que possível após o uso.
## Criptografar dados nos volumes de armazenamento dos nós de cluster
Um cluster do Amazon EMR é um conjunto de instâncias do Amazon Elastic Compute Cloud (Amazon EC2). Cada instância no cluster é chamada de um *nó de cluster* ou *nó*. Cada nó pode ter dois tipos de volumes de armazenamento: volumes de armazenamento de instância e volumes do Amazon Elastic Block Store (Amazon EBS). Você pode configurar o cluster para usar [Linux Unified Key Setup (LUKS)](https://gitlab.com/cryptsetup/cryptsetup/blob/master/README.md) para criptografar ambos os tipos de volumes de armazenamento nos nós (mas não o volume de inicialização de cada nó). Isso é chamado de *criptografia de disco local*.
Ao habilitar a criptografia de disco local para um cluster, você pode optar por criptografar a chave LUKS com uma chave do KMS no AWS KMS. É necessário selecionar uma [chave gerenciada pelo cliente](concepts.md#customer-mgn-key) criada por você. Não é possível usar uma [Chave gerenciada pela AWS](concepts.md#aws-managed-key). Se você escolher uma chave gerenciada pelo cliente, será necessário garantir que o cluster do Amazon EMR tenha permissão para usar a chave do KMS. Para obter mais informações, consulte [Uso AWS KMS keys para criptografia](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-encryption-enable.html#emr-awskms-keys) no Guia de *gerenciamento do Amazon EMR.*
Quando você habilita a criptografia de disco local usando uma chave do KMS, o processo de criptografia funciona desta forma:
1. Quando cada nó do cluster é iniciado, ele envia uma [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)solicitação para AWS KMS, especificando o ID da chave KMS que você escolheu ao habilitar a criptografia de disco local para o cluster.
1. AWS KMS gera uma chave de criptografia de dados exclusiva (chave de dados) e, em seguida, envia duas cópias dessa chave de dados para o nó. Uma cópia é não criptografada (texto simples), e a outra cópia é criptografada com a chave do KMS.
1. O nó usa uma versão codificada em base64 da chave de dados em texto simples como a senha que protege a chave LUKS. O nó salva a cópia criptografada da chave de dados em seu volume de inicialização.
1. [Se o nó for reinicializado, o nó reinicializado enviará a chave de dados criptografada para AWS KMS com uma solicitação Decrypt.](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)
1. AWS KMS descriptografa a chave de dados criptografada usando a mesma chave KMS usada para criptografá-la e, em seguida, envia a chave de dados descriptografada (texto sem formatação) para o nó.
1. O nó usa uma versão codificada em base64 da chave de dados de texto simples como a senha para desbloquear a chave LUKS.
## Contexto de criptografia
Cada AWS serviço integrado ao AWS KMS pode especificar um [contexto de criptografia](encrypt_context.md) quando usado AWS KMS para gerar chaves de dados ou para criptografar ou descriptografar dados. O contexto de criptografia é uma informação adicional autenticada AWS KMS usada para verificar a integridade dos dados. Quando um serviço especifica um contexto de criptografia para uma operação de criptografia, ele deve especificar o mesmo contexto de criptografia para a operação de descriptografia correspondente ou a descriptografia não terá êxito. O contexto de criptografia também é gravado em arquivos de AWS CloudTrail log, o que pode ajudar você a entender por que uma chave KMS específica foi usada.
A seção a seguir explica o contexto de criptografia usado em cada cenário de criptografia do Amazon EMR que usa uma chave do KMS.
### Contexto de criptografia para criptografia EMRFS com o SSE-KMS
Com o SSE-KMS, o cluster Amazon EMR; envia dados ao Amazon S3 e, em seguida, o Amazon S3 usa uma chave do KMS para criptografar esses dados antes de enviá-los a um bucket do S3. Nesse caso, o Amazon S3 usa o Amazon Resource Name (ARN) do objeto S3 como contexto de criptografia com cada solicitação [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)e [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) para a qual ele envia. AWS KMS O exemplo a seguir mostra uma representação JSON do contexto de criptografia usado pelo Amazon S3.
```
{ "aws:s3:arn" : "arn:aws:s3:::S3_bucket_name/S3_object_key" }
```
### Contexto de criptografia para criptografia EMRFS com o CSE-KMS
Com o CSE-KMS, o cluster do Amazon EMR usa uma chave do KMS para criptografar os dados antes de os enviar ao Amazon S3 para armazenamento. Nesse caso, o cluster usa o Amazon Resource Name (ARN) da chave KMS como contexto de criptografia com cada solicitação [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)e [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) para a qual ele envia. AWS KMS O exemplo a seguir mostra uma representação JSON do contexto de criptografia que o cluster usa.
```
{ "kms_cmk_id" : "arn:aws:kms:us-east-2:111122223333:key/0987ab65-43cd-21ef-09ab-87654321cdef" }
```
### Contexto de criptografia para criptografia de disco local com LUKS
Quando um cluster do Amazon EMR usa criptografia de disco local com LUKS, os nós do cluster não especificam o contexto de criptografia com as solicitações [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)e [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) para as quais eles enviam. AWS KMS
# Como o Amazon Redshift usa AWS KMS
Este tópico discute como o Amazon Redshift AWS KMS usa para criptografar dados.
**Topics**
+ [Criptografia do Amazon Redshift](#rs-encryption)
+ [Contexto de criptografia](#rs-encryptioncontext)
## Criptografia do Amazon Redshift
Um data warehouse do Amazon Redshift é um conjunto de recursos de computação chamados nós, que são organizados em um grupo chamado cluster. Cada cluster executa um mecanismo do Amazon Redshift e contém um ou mais bancos de dados.
O Amazon Redshift usa para criptografia uma arquitetura de quatro níveis baseada em chaves. A arquitetura consiste em chaves de criptografia dos dados, uma chave de banco de dados, uma chave de cluster e uma chave raiz. Você pode usar um AWS KMS key como chave raiz.
As chaves de criptografia dos dados criptografam blocos de dados do cluster. Cada bloco de dados recebe uma chave AES-256 gerada aleatoriamente. Essas chaves são criptografadas com a chave do banco de dados do cluster.
A chave do banco de dados criptografa as chaves de criptografia dos dados do cluster. A chave do banco de dados é uma chave AES-256 gerada aleatoriamente. Ela é armazenada em disco em uma rede separada do cluster do Amazon Redshift e passada para o cluster por meio de um canal seguro.
A chave do cluster criptografa a chave do banco de dados do cluster do Amazon Redshift. Você pode usar AWS KMS AWS CloudHSM, ou um módulo de segurança de hardware externo (HSM) para gerenciar a chave do cluster. Para obter mais detalhes, consulte a documentação de [ Criptografia de banco de dados do Amazon Redshift ](https://docs.aws.amazon.com/redshift/latest/mgmt/working-with-db-encryption.html).
Para solicitar criptografia, marque a caixa apropriada no console do Amazon Redshift. Para especificar uma [chave gerenciada pelo cliente](concepts.md#customer-mgn-key), escolha uma na lista que aparece abaixo da caixa de criptografia. Se você não especificar uma chave gerenciada pelo cliente, o Amazon Redshift usará a [Chave gerenciada pela AWS](concepts.md#aws-managed-key) na sua conta.
**Importante**
O Amazon Redshift só é compatível com chaves do KMS de criptografia simétrica. Não é possível usar uma chave do KMS assimétrica em um fluxo de trabalho de criptografia do Amazon Redshift. Para obter ajuda para determinar se uma chave do KMS é simétrica ou assimétrica, consulte [Identificar diferentes tipos de chaves](identify-key-types.md).
## Contexto de criptografia
Cada serviço integrado AWS KMS especifica um [contexto de criptografia](encrypt_context.md) ao solicitar chaves de dados, criptografar e descriptografar. O contexto de criptografia são dados adicionais autenticados (AAD) AWS KMS usados para verificar a integridade dos dados. Ou seja, quando um contexto de criptografia é especificado para uma operação de criptografia, o serviço também o especifica para a operação de descriptografia ou a descriptografia não terá êxito. O Amazon RedShift usa o ID do cluster e a hora de criação no contexto de criptografia. No `requestParameters` campo de um arquivo de CloudTrail log, o contexto de criptografia será semelhante a este.
```
"encryptionContext": {
"aws:redshift:arn": "arn:aws:redshift:region:account_ID:cluster:cluster_name",
"aws:redshift:createtime": "20150206T1832Z"
},
```
Você pode pesquisar o nome do cluster em seus CloudTrail registros para entender quais operações foram realizadas usando uma AWS KMS key (chave KMS). As operações incluem a criptografia e descriptografia do cluster e a geração de chaves de dados.