As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Conecte-se a um AWS KMS VPC endpoint Você pode se conectar AWS KMS por meio do VPC endpoint usando um AWS SDK, o ou. AWS CLI Ferramentas da AWS para PowerShell Para especificar o endpoint da VPC, use seu nome de DNS. Por exemplo, este comando [list-keys](https://docs.aws.amazon.com/cli/latest/reference/kms/list-keys.html) usa o parâmetro `endpoint-url` para especificar o endpoint da VPC. Para usar um comando como este, substitua o exemplo de ID de endpoint da VPC na sua conta. ``` $ aws kms list-keys --endpoint-url https://vpce-1234abcdf5678c90a-09p7654s-us-east-1a.ec2.us-east-1.vpce.amazonaws.com ``` **Permissões obrigatórias** Para que uma AWS KMS solicitação que usa um VPC endpoint seja bem-sucedida, o principal exige permissões de duas fontes: + Uma [política de chaves](key-policies.md), uma [política do IAM](iam-policies.md) ou uma [concessão](grants.md) deve conceder à entidade principal permissão para chamar a operação no recurso (chave do KMS ou alias). + Uma política de endpoint da VPC deve dar permissão à entidade principal para usar o endpoint para fazer a solicitação. Por exemplo, uma política de chaves pode dar à entidade principal permissão para chamar [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) em uma chave do KMS específica. No entanto, a política de endpoint da VPC pode não permitir que a entidade principal chame `Decrypt` nessa chave do KMS usando o endpoint. Ou uma política de VPC endpoint pode permitir que um principal use o endpoint para chamar [DisableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html)determinadas chaves do KMS. Porém, se a entidade principal não tiver essas permissões de uma política de chaves, política do IAM ou concessão, ocorrerá falha na solicitação. É possível criar uma política de endpoint da VPC ao criar seu endpoint e alterar a política de endpoint da VPC a qualquer momento. Use o console de gerenciamento da VPC [CreateVpcEndpoint](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateVpcEndpoint.html)ou [ModifyVpcEndpoint](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpcEndpoint.html)as operações. Você também pode criar e alterar uma política de VPC endpoint [usando](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-ec2-vpcendpoint.html) um modelo. AWS CloudFormation Para obter ajuda sobre o uso do console de gerenciamento da VPC, consulte [Criar um endpoint de interface](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint) e [Modificar um endpoint de interface](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#modify-interface-endpoint) no *Guia do AWS PrivateLink *. **Nomes de host privados** Se os nomes de host privados tiverem sido ativados ao criar o endpoint da VPC, você não precisa especificar o URL do endpoint da VPC nos comandos de CLI ou na configuração da aplicação. O nome de host DNS padrão do AWS KMS será resolvido para o endpoint da VPC. O AWS CLI e SDKs usa esse nome de host por padrão, para que você possa começar a usar o VPC endpoint para se conectar a AWS KMS um endpoint regional sem alterar nada em seus scripts e aplicativos. Para usar nomes de host privados, os atributos`enableDnsHostnames` e `enableDnsSupport` da sua VPC devem ser definidos como `true`. Para definir esses atributos, use a [ModifyVpcAttribute](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpcAttribute.html)operação. Para mais detalhes, consulte [Exibir e atualizar atributos DNS para sua VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating) no *Guia do usuário do Amazon VPC*.