As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Usar chaves gerenciadas pelo cliente no Amazon MSF É necessário considerar os seguintes fatores ao estabelecer, gerenciar e operar aplicativos Amazon MSF sujeitos a uma política de CMK. **Chave gerenciada pelo cliente** Esta é a [política de chave](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) e o [material chave](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-material). Você precisará criar uma chave usada para criptografar o estado do seu aplicativo no armazenamento de aplicativos em execução e no armazenamento durável de aplicativos. **Operador do ciclo de vida do aplicativo (chamador de API)** Trata-se da função ou usuário do IAM para o **Operator**. O operador pode ser humano ou uma automação, como um CI/CD pipeline que criará, implantará e executará o aplicativo Amazon MSF. O operador do ciclo de vida do aplicativo pode ser uma função ou um perfil do IAM. **nota** É possível que o administrador e o operador da chave sejam a mesma pessoa. Nesse caso, recomendamos que você sempre use funções ou usuários separados. **Aplicação** Esse é o aplicativo Amazon MSF que você cria. O perfil do IAM de execução do aplicativo não exige alterações para usar a CMK. Para obter mais informações sobre o IAM no Amazon MSF, consulte [Gerenciamento de identidade e acesso para o Amazon Managed Service for Apache Flink](security-iam.md). **Dependências entre políticas** Há interdependências entre a política de chaves atribuída à CMK e a política do IAM que define as permissões do operador do ciclo de vida do aplicativo. Você pode criá-los na seguinte ordem: Crie o usuário ou o perfil do IAM do operador sem que a política do IAM defina permissões para a CMK. O operador cria o aplicativo com AOK. Crie o administrador de chaves com permissões para gerenciar as chaves KMS. O administrador da chave cria a CMK. A política principal faz referência à função ARNs de operador e administrador e ao ARN do aplicativo. Para obter mais informações, consulte [Crie uma política de chave do KMS](manage-cmk-api.md#create-cmk-kms-key-policy). Crie uma política do IAM para o operador que permita gerenciar a CMK para o aplicativo. Para obter mais informações, consulte [Permissões do operador do ciclo de vida do aplicativo (chamador de API)](manage-cmk-api.md#create-cmk-kms-api-caller-permissions). Anexe a nova política do IAM ao operador. O operador atualiza o aplicativo habilitando a CMK. Para obter mais informações, consulte [Atualize um aplicativo existente para usar a CMK](manage-cmk-api.md#update-existing-app-use-cmk-api). Se o aplicativo não existir, crie o aplicativo sem CMK. A ilustração a seguir mostra como a CMK é implementada no Amazon MSF. ![\[Implementação de chaves gerenciadas pelo cliente no Amazon MSF.\]](http://docs.aws.amazon.com/pt_br/managed-flink/latest/java/images/MSF_CMK_architecture.png) 1. **Chave gerenciada pelo cliente (CMK)**: compreende a política de chave e o material chave. 1. **Administrador chave**: o usuário ou o perfil do IAM `KeyAdmin`. 1. **Operador do ciclo de vida do aplicativo (chamador de API)**: o usuário ou o perfil do IAM do operador. 1. **Aplicativo**: tem um perfil do IAM de execução anexado.