# Criptografia dos pacotes de implantação .zip do Lambda
O Lambda sempre fornece criptografia do lado do servidor em repouso para pacotes de implantação .zip e detalhes da configuração da função com uma AWS KMS key. Por padrão, o Lambda usa um [Chave pertencente à AWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk). Se esse comportamento padrão for adequado ao fluxo de trabalho, você não precisará configurar mais nada. A AWS não cobra pelo uso dessa chave.
Se você preferir, pode fornecer uma AWS KMS chave gerenciada pelo cliente. É possível fazer isso para ter controle sobre a alternância da chave KMS ou para atender aos requisitos de sua organização para gerenciar chaves KMS. Quando você usa uma chave gerenciada pelo cliente, somente os usuários em sua conta com acesso à chave do KMS podem visualizar ou gerenciar o código ou a configuração da função.
As chaves gerenciadas pelo cliente incorrem em cobranças do AWS KMS padrão. Para obter mais informações, consulte [Preços do AWS Key Management Service](https://aws.amazon.com/kms/pricing/).
## Criar uma chave gerenciada pelo cliente
É possível criar uma chave simétrica gerenciada pelo cliente usando o Console de gerenciamento da AWS ou as APIs do AWS KMS.
**Para criar uma chave simétrica gerenciada pelo cliente**
Siga as etapas para [Criar chaves simétricas do KMS](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) no *Guia do desenvolvedor do AWS Key Management Service*.
### Permissões
**Política de chave**
As [políticas de chaves](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) controlam o acesso à chave gerenciada pelo cliente. Cada chave gerenciada pelo cliente deve ter exatamente uma política de chave, que contém declarações que determinam quem pode usar a chave e como pode usá-la. Para obter mais informações, consulte [Como alterar uma política de chaves](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html#key-policy-modifying-how-to) no *Guia do desenvolvedor do AWS Key Management Service*.
Quando você usa uma chave gerenciada pelo cliente para criptografar um pacote de implantação .zip, o Lambda não adiciona uma [concessão](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) à chave. Em vez disso, sua política de chave do AWS KMS deve permitir que o Lambda chame as seguintes operações de API do AWS KMS em seu nome:
+ [kms:GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)
+ [kms:Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)
O exemplo de política de chave a seguir permite que todas as funções do Lambda na conta 111122223333 chamem as operações do AWS KMS necessárias para a chave gerenciada pelo cliente especificada:
**Example Política de chave do AWS KMS**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "lambda.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:lambda:FunctionArn": "arn:aws:lambda:us-east-1:111122223333:function:*"
}
}
}
]
}
```
Para obter mais informações sobre [solução de problemas de acesso à chave](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html#example-no-iam), consulte o *Guia do Desenvolvedor do AWS Key Management Service*.
**Permissões de entidade principal**
Quando você usa uma chave gerenciada pelo cliente para criptografar um pacote de implantação .zip, somente as [entidades principais](https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html) com acesso a essa chave podem acessar o pacote de implantação .zip. Por exemplo, as entidades principais que não têm acesso à chave gerenciada pelo cliente não podem baixar o pacote .zip usando o URL pré-assinado do S3 que está incluído na resposta [GetFunction](https://docs.aws.amazon.com/lambda/latest/api/API_GetFunction.html). Uma `AccessDeniedException` é retornada na seção `Code` da resposta.
**Example AWS KMS AccessDeniedException**
```
{
"Code": {
"RepositoryType": "S3",
"Error": {
"ErrorCode": "AccessDeniedException",
"Message": "KMS access is denied. Check your KMS permissions. KMS Exception: AccessDeniedException KMS Message: User: arn:aws:sts::111122223333:assumed-role/LambdaTestRole/session is not authorized to perform: kms:Decrypt on resource: arn:aws:kms:us-east-1:111122223333:key/key-id with an explicit deny in a resource-based policy"
},
"SourceKMSKeyArn": "arn:aws:kms:us-east-1:111122223333:key/key-id"
},
...
```
Para obter mais informações sobre permissões para chaves do AWS KMS, consulte [Autenticação e controle de acesso do AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/control-access.html).
## Uso de uma chave gerenciada pelo cliente para seu pacote de implantação .zip
Use os seguintes parâmetros de API para configurar as chaves gerenciadas pelo cliente para pacotes de implantação .zip:
+ [SourceKMSKeyArn](https://docs.aws.amazon.com/lambda/latest/api/API_FunctionCode.html#lambda-Type-FunctionCode-SourceKMSKeyArn): criptografa o pacote de implantação de origem .zip (o arquivo que você carrega).
+ [KMSKeyArn](https://docs.aws.amazon.com/lambda/latest/api/API_CreateFunction.html#lambda-CreateFunction-request-KMSKeyArn): criptografa [variáveis de ambiente](configuration-envvars-encryption.md) e snapshots do [Lambda SnapStart](snapstart.md).
Quando `SourceKMSKeyArn` e `KMSKeyArn` são especificados, o Lambda usa a chave `KMSKeyArn` para criptografar a versão descompactada do pacote que o Lambda usa para invocar a função. Quando `SourceKMSKeyArn` é especificado, mas `KMSKeyArn` não é, o Lambda usa uma [Chave gerenciada pela AWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk) para criptografar a versão descompactada do pacote.
------
#### [ Lambda console ]
**Para adicionar criptografia de chave gerenciada pelo cliente ao criar uma função**
1. Abra a [página Funções](https://console.aws.amazon.com/lambda/home#/functions) do console do Lambda.
1. Escolha a opção **Criar função**.
1. Escolha **Author from scratch** (Criar do zero) ou **Container image** (Imagem de contêiner).
1. Em **Basic information** (Informações básicas), faça o seguinte:
1. Em **Function name (Nome da função)**, insira o nome da função.
1. Em **Runtime**, escolha a versão da linguagem a ser usada para sua função.
1. Expanda **Configurações avançadas** e selecione **Habilitar a criptografia com uma chave do AWS KMS gerenciada pelo cliente**.
1. Escolha uma chave gerenciada pelo cliente.
1. Escolha a opção **Criar função**.
Para remover a criptografia de chave gerenciada pelo cliente ou usar uma chave diferente, carregue o pacote de implantação .zip novamente.
**Para adicionar criptografia de chave gerenciada pelo cliente a uma função existente**
1. Abra a [página Funções](https://console.aws.amazon.com/lambda/home#/functions) do console do Lambda.
1. Escolha o nome de uma função.
1. No painel do **Código-fonte**, escolha **Carregar de**.
1. Escolha o **arquivo .zip** ou o **local do Amazon S3**.
![\[\]](http://docs.aws.amazon.com/pt_br/lambda/latest/dg/images/upload-zip.png)
1. Faça upload do arquivo ou insira o local do Amazon S3.
1. Escolha **Habilitar a criptografia com uma chave do AWS KMS gerenciada pelo cliente**.
1. Escolha uma chave gerenciada pelo cliente.
1. Escolha **Salvar**.
------
#### [ AWS CLI ]
**Para adicionar criptografia de chave gerenciada pelo cliente ao criar uma função**
No seguinte exemplo de [create-function](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/lambda/create-function.html):
+ `--code`: especifica o caminho local para o pacote de implantação .zip (`ZipFile`) e a chave gerenciada pelo cliente para criptografá-lo (`SourceKMSKeyArn`).
+ `--kms-key-arn`: especifica a chave gerenciada pelo cliente para criptografar as variáveis de ambiente e a versão descompactada do pacote de implantação.
```
aws lambda create-function \
--function-name myFunction \
--runtime nodejs24.x \
--handler index.handler \
--role arn:aws:iam::111122223333:role/service-role/my-lambda-role \
--code ZipFile=fileb://myFunction.zip,SourceKMSKeyArn=arn:aws:kms:us-east-1:111122223333:key/key-id \
--kms-key-arn arn:aws:kms:us-east-1:111122223333:key/key2-id
```
No seguinte exemplo de [create-function](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/lambda/create-function.html):
+ `--code`: especifica a localização do arquivo.zip em um bucket do Amazon S3 (`S3Bucket`, `S3Key`, `S3ObjectVersion`) e a chave gerenciada pelo cliente para criptografá-lo (`SourceKMSKeyArn`).
+ `--kms-key-arn`: especifica a chave gerenciada pelo cliente para criptografar as variáveis de ambiente e a versão descompactada do pacote de implantação.
```
aws lambda create-function \
--function-name myFunction \
--runtime nodejs24.x --handler index.handler \
--role arn:aws:iam::111122223333:role/service-role/my-lambda-role \
--code S3Bucket=amzn-s3-demo-bucket,S3Key=myFileName.zip,S3ObjectVersion=myObjectVersion,SourceKMSKeyArn=arn:aws:kms:us-east-1:111122223333:key/key-id \
--kms-key-arn arn:aws:kms:us-east-1:111122223333:key/key2-id
```
**Para adicionar criptografia de chave gerenciada pelo cliente a uma função existente**
No seguinte exemplo de [update-function-code](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/lambda/update-function-code.html):
+ `--zip-file`: especifica o caminho local para o pacote de implantação .zip.
+ `--source-kms-key-arn`: especifica a chave gerenciada pelo cliente para criptografar a versão compactada do pacote de implantação. O Lambda usa uma chave que pertence à AWS para criptografar o pacote descompactado para invocações de funções. Se você quiser usar uma chave gerenciada pelo cliente para criptografar a versão descompactada do pacote, execute o comando [update-function-configuration](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/lambda/update-function-configuration.html) com a opção `--kms-key-arn`.
```
aws lambda update-function-code \
--function-name myFunction \
--zip-file fileb://myFunction.zip \
--source-kms-key-arn arn:aws:kms:us-east-1:111122223333:key/key-id
```
No seguinte exemplo de [update-function-code](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/lambda/update-function-code.html):
+ `--s3-bucket`: especifica o local do arquivo .zip em um bucket do Amazon S3.
+ `--s3-key`: especifica a chave do Amazon S3 do pacote de implantação.
+ `--s3-object-version`: para objetos com controle de versão, a versão do objeto do pacote de implantação a ser usada.
+ `--source-kms-key-arn`: especifica a chave gerenciada pelo cliente para criptografar a versão compactada do pacote de implantação. O Lambda usa uma chave que pertence à AWS para criptografar o pacote descompactado para invocações de funções. Se você quiser usar uma chave gerenciada pelo cliente para criptografar a versão descompactada do pacote, execute o comando [update-function-configuration](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/lambda/update-function-configuration.html) com a opção `--kms-key-arn`.
```
aws lambda update-function-code \
--function-name myFunction \
--s3-bucket amzn-s3-demo-bucket \
--s3-key myFileName.zip \
--s3-object-version myObject Version
--source-kms-key-arn arn:aws:kms:us-east-1:111122223333:key/key-id
```
**Para remover a criptografia de chave gerenciada pelo cliente de uma função existente**
No exemplo de [update-function-code](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/lambda/update-function-code.html) a seguir, `--zip-file` especifica o caminho local para o pacote de implantação .zip. Quando você executa esse comando sem a opção `--source-kms-key-arn`, o Lambda usa uma chave que pertence à AWS para criptografar a versão compactada do pacote de implantação.
```
aws lambda update-function-code \
--function-name myFunction \
--zip-file fileb://myFunction.zip
```
------