

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Registrando uma localização criptografada do Amazon S3
<a name="register-encrypted"></a>

O Lake Formation se integra com [AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) (AWS KMS) para permitir que você configure com mais facilidade outros serviços integrados para criptografar e descriptografar dados em locais do Amazon Simple Storage Service (Amazon S3).

Tanto o cliente é gerenciado AWS KMS keys Chaves gerenciadas pela AWS quanto o suporte. Atualmente, o lado do cliente encryption/decryption é compatível somente com o Athena.

Você deve especificar uma função AWS Identity and Access Management (IAM) ao registrar uma localização no Amazon S3. Para locais criptografados do Amazon S3, a função deve ter permissão para criptografar e descriptografar dados com o. Ou a política de chaves do AWS KMS key KMS deve conceder permissões sobre a chave da função.

**Importante**  
Evite registrar um bucket do Amazon S3 que tenha o **Solicitante paga** ativado. Para buckets registrados no Lake Formation, a função usada para registrar o bucket é sempre vista como solicitante. Se o bucket for acessado por outra AWS conta, o proprietário do bucket será cobrado pelo acesso aos dados se a função pertencer à mesma conta do proprietário do bucket.

O Lake Formation usa um perfil vinculado a serviços para registrar seus locais de dados. No entanto, esse perfil tem várias [limitações](service-linked-role-limitations.md). Devido a essas restrições, recomendamos criar e usar um perfil personalizado do IAM para ter maior flexibilidade e controle. O perfil personalizado que você cria para registrar o local deve atender aos requisitos especificados em [Requisitos para funções usadas para registrar locais](registration-role.md).

**Importante**  
Se você usou um Chave gerenciada pela AWS para criptografar a localização do Amazon S3, você não pode usar a função vinculada ao serviço Lake Formation. Você deve usar um papel personalizado e adicionar permissões do IAM na chave do perfil. Os detalhes são fornecidos posteriormente nesta seção.

Os procedimentos a seguir explicam como registrar um local do Amazon S3 criptografado com uma chave gerenciada pelo cliente ou uma Chave gerenciada pela AWS.
+ [Registrar um local criptografado com uma chave gerenciada pelo cliente](#proc-register-cust-cmk)
+ [Registrando um local criptografado com um Chave gerenciada pela AWS](#proc-register-aws-cmk)

**Antes de começar**  
Analise os [requisitos da função usada para registrar o local](registration-role.md).<a name="proc-register-cust-cmk"></a>

**Para registrar uma localização do Amazon S3 criptografada com uma chave gerenciada pelo cliente**
**nota**  
Se a chave KMS ou a localização do Amazon S3 não estiverem na AWS mesma conta do catálogo de dados, siga as instruções [Registrando uma localização criptografada do Amazon S3 em todas as contas AWS](register-cross-encrypted.md) em vez disso.

1. Abra o AWS KMS console em [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) e faça login como um usuário administrativo AWS Identity and Access Management (IAM) ou como um usuário que pode modificar a política de chaves da chave KMS usada para criptografar o local.

1. No painel de navegação, selecione **Chaves gerenciadas pelo cliente** e selecione o nome da chave do KMS desejada.

1. Na página de detalhes da chave KMS, escolha a guia **Política de chaves** e, em seguida, faça o seguinte para adicionar sua função personalizada ou a função vinculada ao serviço Lake Formation como usuário da chave KMS:
   + **Se a visualização padrão estiver sendo exibida** (com as seções **Administradores** de **chaves, Exclusão** de **chaves, Usuários** de chaves e **Outras AWS contas**), na seção **Usuários principais**, adicione sua função personalizada ou a função vinculada ao serviço Lake Formation. `AWSServiceRoleForLakeFormationDataAccess`
   + **Se a política de chaves (JSON) estiver sendo exibida** – edite a política para adicionar sua função personalizada ou a função `AWSServiceRoleForLakeFormationDataAccess` vinculada ao serviço Lake Formation ao objeto “Permitir o uso da chave”, conforme mostrado no exemplo a seguir.
**nota**  
Se esse objeto estiver ausente, adicione-o com as permissões mostradas no exemplo. O exemplo usa a função vinculada ao serviço.

     ```
             ...
             {
                 "Sid": "Allow use of the key",
                 "Effect": "Allow",
                 "Principal": {
                     "AWS": [
                         "arn:aws:iam::111122223333:role/aws-service-role/lakeformation.amazonaws.com/AWSServiceRoleForLakeFormationDataAccess",
                         "arn:aws:iam::111122223333:user/keyuser"
                     ]
                 },
                 "Action": [
                     "kms:Encrypt",
                     "kms:Decrypt",
                     "kms:ReEncrypt*",
                     "kms:GenerateDataKey*",
                     "kms:DescribeKey"
                 ],
                 "Resource": "*"
             },
             ...
     ```

1. Abra o AWS Lake Formation console em [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/). Faça login como administrador do data lake ou como usuário com a permissão `lakeformation:RegisterResource` do IAM.

1. No painel de navegação, em **Administração** em **Locais de data lake**.

1. Escolha **Registrar localização** e, em seguida, escolha **Procurar** para selecionar um caminho do Amazon Simple Storage Service (Amazon S3).

1. (Opcional, mas altamente recomendado) Escolha **Revisar permissões de localização** para ver uma lista de todos os recursos existentes no local selecionado do Amazon S3 e suas permissões. 

   Registrar o local selecionado pode fazer com que seus usuários do Lake Formation tenham acesso aos dados que já estão nesse local. A visualização dessa lista ajuda a garantir que os dados existentes permaneçam seguros.

1. Para o **perfil do IAM**, escolha a função `AWSServiceRoleForLakeFormationDataAccess` vinculada ao serviço (a padrão) ou sua função personalizada que atenda a [Requisitos para funções usadas para registrar locais](registration-role.md).

1. Escolha **Registrar local**.

Para saber mais sobre a função vinculada ao serviço do , consulte [Permissões de perfil vinculado ao serviço para o Lake Formation](service-linked-roles.md#service-linked-role-permissions).<a name="proc-register-aws-cmk"></a>

**Para registrar uma localização do Amazon S3 criptografada com um Chave gerenciada pela AWS**
**Importante**  
Se a localização do Amazon S3 não estiver na mesma AWS conta do catálogo de dados, siga as instruções em [Registrando uma localização criptografada do Amazon S3 em todas as contas AWS](register-cross-encrypted.md) vez disso.

1. Crie um perfil do IAM para usar para registrar o local. Certifique-se de que ele atenda aos requisitos listados em [Requisitos para funções usadas para registrar locais](registration-role.md).

1. Adicione a seguinte política em linha à função. Ele concede permissões sobre a chave da função. A especificação `Resource` deve designar o nome do recurso da Amazon (ARN) da Chave gerenciada pela AWS. Você pode obter o ARN no AWS KMS console. Para obter o ARN correto, certifique-se de fazer login no AWS KMS console com a mesma AWS conta e região usadas para criptografar o Chave gerenciada pela AWS local.

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Action": [
           "kms:Encrypt",
           "kms:Decrypt",
           "kms:ReEncrypt*",
           "kms:GenerateDataKey*",
           "kms:DescribeKey"
         ],
         "Resource": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
       }
     ]
   }
   ```

------

   Você pode usar aliases de chave do KMS em vez do ID da chave: `arn:aws:kms:region:account-id:key/alias/your-key-alias`.

   Para obter mais informações, consulte [Aliases na AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/kms-alias.html) seção do Guia do AWS Key Management Service desenvolvedor.

1. Abra o AWS Lake Formation console em [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/). Faça login como administrador do data lake ou como usuário com a permissão `lakeformation:RegisterResource` do IAM.

1. No painel de navegação, em **Administração** em **Locais de data lake**.

1. Escolha **Registrar localização** e, em seguida, escolha **Procurar** para selecionar um caminho do Amazon S3.

1. (Opcional, mas altamente recomendado) Escolha **Revisar permissões de localização** para ver uma lista de todos os recursos existentes no local selecionado do Amazon S3 e suas permissões. 

   Registrar o local selecionado pode fazer com que seus usuários do Lake Formation tenham acesso aos dados que já estão nesse local. A visualização dessa lista ajuda a garantir que os dados existentes permaneçam seguros.

1. Em **Perfil do IAM**, escolha a função que você criou na Etapa 1.

1. Escolha **Registrar local**.