As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Criptografia de dados usando AWS KMS O Storage Gateway usa SSL/TLS (Secure Socket Layers/Transport Layer Security (segurança de camada) para criptografar dados que são transferidos entre o dispositivo de gateway e AWS o armazenamento. Por padrão, o Storage Gateway usa chaves de criptografia gerenciadas do Amazon S3 (SSE-S3) do lado do servidor para criptografar todos os dados armazenados no Amazon S3. Você tem a opção de usar a API Storage Gateway para configurar seu gateway para criptografar dados armazenados na nuvem usando criptografia do lado do servidor com chaves AWS Key Management Service (SSE-KMS). **Importante** Ao usar uma AWS KMS chave para criptografia do lado do servidor, você deve escolher uma chave simétrica. O Storage Gateway não é compatível com chaves assimétricas. Para obter mais informações, consulte [Como usar chaves simétricas e assimétricas](https://docs.aws.amazon.com/kms/latest/developerguide/symmetric-asymmetric.html) no *AWS Key Management Service Guia do desenvolvedor*. **Como criptografar um compartilhamento de arquivos** Para um compartilhamento de arquivos, é possível configurar seu gateway para criptografar seus objetos com chaves gerenciadas pelo AWS KMS usando o SSE-KMS. Para obter informações sobre como usar a API Storage Gateway para criptografar dados gravados em um compartilhamento de arquivos, consulte [Create NFSFile Share](https://docs.aws.amazon.com/storagegateway/latest/APIReference/API_CreateNFSFileShare.html) na *Referência da AWS Storage Gateway API*. **Como criptografar um volume** Para volumes em cache e armazenados, você pode configurar seu gateway para criptografar dados de volume armazenados na nuvem com chaves AWS KMS gerenciadas usando a API Storage Gateway. É possível especificar uma das chaves mestras de cliente como a chave do KMS. A chave que você usa para criptografar o volume não pode ser alterada depois que o volume for criado. Para obter informações sobre como usar a API Storage Gateway para criptografar dados gravados em um volume armazenado em cache ou em um volume armazenado, consulte [CreateCachediSCSIVolume](https://docs.aws.amazon.com/storagegateway/latest/APIReference/API_CreateCachediSCSIVolume.html)ou [CreateStorediSCSIVolume](https://docs.aws.amazon.com/storagegateway/latest/APIReference/API_CreateStorediSCSIVolume.html)na Referência da *AWS Storage Gateway API*. **Como criptografar uma fita** Para uma fita virtual, você pode configurar seu gateway para criptografar dados de fita armazenados na nuvem com chaves AWS KMS gerenciadas usando a API Storage Gateway. É possível especificar uma das chaves mestras de cliente como a chave do KMS. A chave que você usa para criptografar os dados da fita não pode ser alterada depois que a fita for criada. Para obter informações sobre como usar a API Storage Gateway para criptografar dados gravados [CreateTapes](https://docs.aws.amazon.com/storagegateway/latest/APIReference/API_CreateTapes.html)em uma fita virtual, consulte a *Referência da AWS Storage Gateway API*. Ao usar AWS KMS para criptografar seus dados*,* lembre-se do seguinte: + Seus dados estão criptografados em repouso na nuvem. Ou seja, os dados são criptografados no Amazon S3. + Os usuários do IAM devem ter as permissões necessárias para chamar as operações AWS KMS da API. Para obter mais informações, consulte [Como usar políticas do IAM com o AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies.html) no *Guia do desenvolvedor do AWS Key Management Service *. + Se você excluir ou desativar sua AWS AWS KMS chave ou revogar o token de concessão, não poderá acessar os dados no volume ou na fita. Para obter mais informações, consulte [Como excluir chaves do KMS](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html) no *Guia do desenvolvedor do AWS Key Management Service *. + Se você criar um snapshot de um volume criptografado pelo KMS, o snapshot será criptografado. O snapshot herdará a chave do KMS do volume. + Se você criar um novo volume de um snapshot criptografado pelo KMS, o volume será criptografado. Você poderá especificar outra chave do KMS para o novo volume. **nota** O Storage Gateway não é compatível com a criação de um volume não criptografado de um ponto de recuperação de um volume criptografado pelo KMS ou snapshot criptografado pelo KMS. Para obter mais informações sobre AWS KMS, consulte [O que é AWS Key Management Service?](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)