As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Política de chave KMS necessária para uso com volumes criptografados do EBS no PCS AWS
<a name="security-key-policy-for-encrypted-volumes"></a>

AWS O PCS usa [funções vinculadas ao serviço](service-linked-roles.md) para delegar permissões a outras pessoas. Serviços da AWS A função vinculada ao serviço AWS PCS é predefinida e inclui as permissões que o AWS PCS exige para ligar para outras pessoas Serviços da AWS em seu nome. As permissões predefinidas também incluem acesso às suas chaves gerenciadas pelo cliente Chaves gerenciadas pela AWS , mas não às suas.

Este tópico descreve como configurar a política de chaves necessária para iniciar instâncias quando você especifica uma chave gerenciada pelo cliente para a criptografia do Amazon EBS. 

**nota**  
AWS O PCS não exige autorização adicional para usar o padrão Chave gerenciada pela AWS para proteger os volumes criptografados em sua conta. 

**Contents**
+ [Visão geral do](#overview)
+ [Configurar políticas de chave](#configuring-key-policies)
+ [Exemplo 1: seções da política de chaves que permitem acesso à chave gerenciada pelo cliente](#policy-example-cmk-access)
+ [Exemplo 2: seções da política de chaves que permitem acesso entre contas à chave gerenciada pelo cliente](#policy-example-cmk-cross-account-access)
+ [Edite as principais políticas no AWS KMS console](#eding-key-policies-console)

## Visão geral do
<a name="overview"></a>

Você pode usar o seguinte AWS KMS keys para a criptografia do Amazon EBS quando o AWS PCS inicia instâncias: 
+ [Chave gerenciada pela AWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk): uma chave de criptografia em sua conta que é criada por, pertencente a e gerenciada pelo Amazon EBS. Essa é a chave de criptografia padrão para uma nova conta. O Amazon EBS usa o Chave gerenciada pela AWS para criptografia, a menos que você especifique uma chave gerenciada pelo cliente. 
+ [Chave gerenciada pelo cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk): uma chave de criptografia personalizada que você cria, possui e gerencia. Para obter mais informações, consulte [Criar uma chave KMS](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) no *Guia do AWS Key Management Service desenvolvedor*. 
**nota**  
A chave deve ser simétrica. O Amazon EBS não oferece suporte a chaves assimétricas gerenciadas pelo cliente. 

Você configura as chaves gerenciadas pelo cliente ao criar instantâneos criptografados ou um modelo de execução que especifica volumes criptografados, ou quando opta por habilitar a criptografia por padrão.

## Configurar políticas de chave
<a name="configuring-key-policies"></a>

Suas chaves KMS devem ter uma política de chaves que permita ao AWS PCS iniciar instâncias com volumes do Amazon EBS criptografados com uma chave gerenciada pelo cliente. 

Use os exemplos desta página para configurar uma política de chaves para dar ao AWS PCS acesso à sua chave gerenciada pelo cliente. Você pode modificar a política de chaves da chave gerenciada pelo cliente ao criar a chave ou posteriormente.

A política principal deve ter as seguintes declarações:
+ Uma declaração que permite que a identidade do IAM especificada no `Principal` elemento use diretamente a chave gerenciada pelo cliente. Inclui permissões para realizar as `DescribeKey` operações AWS KMS `Encrypt` `Decrypt``ReEncrypt*`,`GenerateDataKey*`,, e na chave. 
+ Uma declaração que permite que a identidade do IAM especificada no `Principal` elemento use a `CreateGrant` operação para gerar concessões que delegam um subconjunto de suas próprias permissões para aqueles Serviços da AWS que estão integrados com AWS KMS ou outro principal. Isso permite que eles usem a chave para criar recursos criptografados em seu nome.

Não altere nenhuma declaração existente na política ao adicionar as novas declarações de política à sua política principal.

Para obter mais informações, consulte:
+ [create-key](https://docs.aws.amazon.com/cli/latest/reference/kms/create-key.html) *na Referência de Comandos AWS CLI *
+ [put-key-policy](https://docs.aws.amazon.com/cli/latest/reference/kms/put-key-policy.html) *na Referência de Comandos AWS CLI *
+ [Encontre o ID da chave e o ARN da chave](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html) *no Guia do desenvolvedor AWS Key Management Service *
+ [Service-linked funções para AWS PCS](service-linked-roles.md)
+ [Criptografia do Amazon EBS](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption.html) no Guia do *usuário do Amazon EBS*
+  [AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/) no *Guia do desenvolvedor do AWS Key Management Service *

## Exemplo 1: seções da política de chaves que permitem acesso à chave gerenciada pelo cliente
<a name="policy-example-cmk-access"></a>

Adicione as seguintes declarações de política à política principal da chave gerenciada pelo cliente. Substitua o ARN de exemplo pelo ARN da sua função vinculada ao serviço. `AWSServiceRoleForPCS` Este exemplo de política dá à função vinculada ao serviço AWS PCS (`AWSServiceRoleForPCS`) permissões para usar a chave gerenciada pelo cliente. 

```
{
   "Sid": "Allow service-linked role use of the customer managed key",
   "Effect": "Allow",
   "Principal": {
       "AWS": [
           "arn:aws:iam::{{account-id}}:role/aws-service-role/pcs.amazonaws.com/AWSServiceRoleForPCS"
       ]
   },
   "Action": [
       "kms:Encrypt",
       "kms:Decrypt",
       "kms:ReEncrypt*",
       "kms:GenerateDataKey*",
       "kms:DescribeKey"
   ],
   "Resource": "*"
}
```

```
{
   "Sid": "Allow attachment of persistent resources",
   "Effect": "Allow",
   "Principal": {
       "AWS": [
           "arn:aws:iam::{{account-id}}:role/aws-service-role/pcs.amazonaws.com/AWSServiceRoleForPCS"
       ]
   },
   "Action": [
       "kms:CreateGrant"
   ],
   "Resource": "*",
   "Condition": {
       "Bool": {
           "kms:GrantIsForAWSResource": true
       }
    }
}
```

## Exemplo 2: seções da política de chaves que permitem acesso entre contas à chave gerenciada pelo cliente
<a name="policy-example-cmk-cross-account-access"></a>

Se você criar uma chave gerenciada pelo cliente em uma conta diferente da do cluster AWS PCS, deverá usar uma **concessão** em combinação com a política de chaves para permitir o acesso entre contas à chave. 

**Para conceder acesso à chave**

1. Adicione as seguintes declarações de política à política de chaves da chave gerenciada pelo cliente. Substitua o ARN de exemplo pelo ARN da outra conta. {{111122223333}}Substitua pela ID da conta real na Conta da AWS qual você deseja criar o cluster AWS PCS. Isso permite que você conceda permissão para que um usuário ou uma função do IAM na conta especificada crie uma concessão para a chave usando o seguinte comando da CLI. Por padrão, os usuários não têm acesso à chave.

   ```
   {.
      "Sid": "Allow external account {{111122223333}} use of the customer managed key",
      "Effect": "Allow",
      "Principal": {
          "AWS": [
              "arn:aws:iam::{{111122223333}}:root"
          ]
      },
      "Action": [
          "kms:Encrypt",
          "kms:Decrypt",
          "kms:ReEncrypt*",
          "kms:GenerateDataKey*",
          "kms:DescribeKey"
      ],
      "Resource": "*"
   }
   ```

   ```
   {
      "Sid": "Allow attachment of persistent resources in external account {{111122223333}}",
      "Effect": "Allow",
      "Principal": {
          "AWS": [
              "arn:aws:iam::{{111122223333}}:root"
          ]
      },
      "Action": [
          "kms:CreateGrant"
      ],
      "Resource": "*"
   }
   ```

1. Na conta na qual você deseja criar o cluster AWS PCS, crie uma concessão que delegue as permissões relevantes à função vinculada ao serviço AWS PCS. O valor de `grantee-principal` é o ARN da função vinculada ao serviço. O valor de `key-id` é o ARN da chave.

   O exemplo a seguir do comando da CLI [create-grant](https://docs.aws.amazon.com/cli/latest/reference/kms/create-grant.html) fornece à função vinculada ao serviço `AWSServiceRoleForPCS` nomeada na {{111122223333}} conta permissões para usar a chave gerenciada pelo cliente na conta. {{444455556666}}

   ```
   aws kms create-grant \
     --region {{us-west-2}} \
     --key-id {{arn:aws:kms:us-west-2:444455556666:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d}} \
     --grantee-principal arn:aws:iam::{{111122223333}}:role/aws-service-role/pcs.amazonaws.com/AWSServiceRoleForPCS \
     --operations "Encrypt" "Decrypt" "ReEncryptFrom" "ReEncryptTo" "GenerateDataKey" "GenerateDataKeyWithoutPlaintext" "DescribeKey" "CreateGrant"
   ```
**nota**  
O usuário que faz a solicitação deve ter permissões para usar a `kms:CreateGrant` ação. 

   O exemplo de política do IAM a seguir permite que uma identidade do IAM (usuário ou função) na conta {{111122223333}} crie uma concessão para a chave gerenciada pelo cliente na conta{{444455556666}}.

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Sid": "AllowCreationOfGrantForTheKMSKeyinExternalAccount{{444455556666}}",
         "Effect": "Allow",
         "Action": "kms:CreateGrant",
         "Resource": "{{arn:aws:kms:us-west-2:444455556666:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d}}"
       }
     ]
   }
   ```

------

   Para obter mais informações sobre como criar uma concessão para uma chave do KMS em uma Conta da AWS diferente, consulte [Concessões no AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) no *Guia do desenvolvedor do AWS Key Management Service *.
**Importante**  
O nome do perfil vinculado ao serviço especificado como a entidade principal do beneficiário deve ser o nome de um perfil existente. Depois de criar a concessão, para garantir que a concessão permita que o AWS PCS use a chave KMS especificada, não exclua e recrie a função vinculada ao serviço.

## Edite as principais políticas no AWS KMS console
<a name="eding-key-policies-console"></a>

Os exemplos nas seções anteriores mostram apenas como adicionar declarações a uma política de chaves, que é apenas uma maneira de alterar uma política de chaves. A maneira mais fácil de alterar uma política de chaves é usar a visualização padrão do AWS KMS console para políticas de chaves e tornar uma identidade (usuário ou função) do IAM um dos *principais usuários* da política de chaves apropriada. Para obter mais informações, consulte [Usando a visualização Console de gerenciamento da AWS padrão](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html#key-policy-modifying-how-to-console-default-view) no *Guia do AWS Key Management Service desenvolvedor*. 

**Atenção**  
As declarações de política de visualização padrão do console incluem permissões para realizar AWS KMS `Revoke` operações na chave gerenciada pelo cliente. Se você revogar uma concessão que deu Conta da AWS acesso a uma chave gerenciada pelo cliente em sua conta, os usuários dessa chave Conta da AWS perderão o acesso aos dados criptografados e à chave.