• O AWS Systems Manager CloudWatch Dashboard não estará mais disponível a partir de 30 de abril de 2026. Os clientes podem continuar usando o console do Amazon CloudWatch para visualizar, criar e gerenciar os painéis do Amazon CloudWatch exatamente como fazem hoje. Para obter mais informações, consulte a [documentação do Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html). 

# Mudar para uma chave gerenciada pelo cliente do AWS KMS para fornecer criptografia para recursos do S3
<a name="remediate-s3-bucket-encryption"></a>

Durante o processo de integração do console unificado do Systems Manager, a Quick Setup cria um bucket do Amazon Simple Storage Service (Amazon S3) na conta do administrador delegado. Esse bucket é usado para armazenar os dados de saída de diagnóstico gerados durante as execuções do runbook de correção. Por padrão, o bucket usa criptografia do lado do servidor com chaves de criptografia gerenciadas pelo Amazon S3 (SSE-S3).

Você pode revisar o conteúdo dessas políticas em [Políticas de bucket do S3 para o console unificado do Systems Manager](remediate-s3-bucket-policies.md).

No entanto, você pode usar a criptografia no lado do servidor com o AWS KMS keys (SSE-KMS) usando uma chave gerenciada pelo cliente (CMK) como alternativa a uma AWS KMS key.

Conclua as tarefas a seguir para configurar o Systems Manager para usar sua CMK.

## Tarefa 1: adicionar uma tag a uma CMK existente
<a name="remediate-s3-bucket-encryption-add-kms-tag"></a>

O AWS Systems Manager usará sua CMK somente se ela estiver marcada com o seguinte par de chave-valor:
+ Chave: `SystemsManagerManaged`
+ Valor:: `true`

Use o procedimento a seguir para fornecer acesso para criptografar o bucket do S3 com sua CMK.

**Para adicionar uma tag à sua CMK existente**

1. Abra o console do AWS KMS em [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Na navegação esquerda, escolha **Chaves gerenciadas pelo cliente**.

1. Selecione o AWS KMS key para usar com o AWS Systems Manager.

1. Selecione a guia **Etiquetas** e escolha **Editar**.

1. Escolha **Adicionar Tag**.

1. Faça o seguinte:

   1. Em **Tag Key (Chave de tags)**, digite **SystemsManagerManaged**.

   1. Em **Valor da tag**, insira **true**.

1. Escolha **Salvar**.

## Tarefa 2: modificar uma política de chave de CMK existente
<a name="remediate-s3-bucket-encryption-update-kms-policy"></a>

Use o procedimento a seguir para atualizar a [política de chave do KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) da sua CMK para permitir que os perfis do AWS Systems Manager criptografem o bucket do S3 em seu nome.

**Para modificar uma política de chave de CMK existente**

1. Abra o console do AWS KMS em [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Na navegação esquerda, escolha **Chaves gerenciadas pelo cliente**.

1. Selecione o AWS KMS key para usar com o AWS Systems Manager.

1. Na guia **Política de chave**, escolha **Editar**.

1. Adicione a instrução JSON a seguir ao campo `Statement` e substitua os *valores do espaço reservado* por suas próprias informações.

   Certifique-se de adicionar todas as IDs de Conta da AWS integradas em sua organização ao AWS Systems Manager no campo `Principal`.

   Para localizar o nome correto do bucket no console do Amazon S3, na conta do administrador delegado, localize o bucket no formato `do-not-delete-ssm-operational-account-id-home-region-disambiguator`.

   ```
   {
        "Sid": "EncryptionForSystemsManagerS3Bucket",
        "Effect": "Allow",
        "Principal": {
            "AWS": [
                "account-id-1",
                "account-id-2",
                ...
            ]
        },
        "Action": ["kms:Decrypt", "kms:GenerateDataKey"],
        "Resource": "*",
        "Condition": {
            "StringEquals": {
                "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::amzn-s3-demo-bucket"
            },
            "StringLike": {
                "kms:ViaService": "s3.*.amazonaws.com"
            },
            "ArnLike": {
                "aws:PrincipalArn": "arn:aws:iam::*:role/AWS-SSM-*"
            }
        }
    }
   ```

**dica**  
Como alternativa, é possível atualizar a política de chave de CMK usando a chave de condição [aws:PrincipalOrgID](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid) para conceder ao AWS Systems Manager acesso à sua CMK.

## Tarefa 3: especificar a CMK nas configurações do Systems Manager
<a name="remediate-s3-bucket-encryption-update-setting"></a>

Após concluir as duas tarefas anteriores, use o procedimento a seguir para alterar a criptografia do bucket do S3. Essa alteração garante que o processo de configuração da Quick Setup associado possa adicionar permissões para que o Systems Manager aceite sua CMK.

1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. No painel de navegação, selecione **Configurações**.

1. **Na guia **Diagnosticar e corrigir**, na seção **Atualizar criptografia do bucket S3**, escolha Editar**.

1. Marque a caixa de seleção **Personalizar configurações de criptografia (avançadas)**.

1. Na caixa de pesquisa (![\[The search icon\]](http://docs.aws.amazon.com/pt_br/systems-manager/latest/userguide/images/search-icon.png)), escolha o ID de uma chave existente ou cole o ARN de uma chave existente.

1. Escolha **Salvar**.