Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Paso 5: (Opcional) Cifrar los archivos de entrenamiento
Puede elegir una de las siguientes opciones para cifrar los archivos de manifiesto y los archivos de imagen de Etiquetas personalizadas de Amazon Rekognition que se encuentran en un bucket de consola o en un bucket externo de Amazon S3.
+ Utilice una clave Amazon S3 (SSE-S3).
+ Usa tu AWS KMS key.
**nota**
El proceso de llamada a la [entidad principal de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html#intro-structure-principal%23intro-structure-principal) necesita una serie de permisos para descifrar los archivos. Para obtener más información, consulte [Descifrar archivos cifrados con AWS Key Management Service](#su-kms-encryption).
Para obtener más información sobre el cifrado de un bucket de Amazon S3, consulte [Ajuste del comportamiento predeterminado del cifrado del servidor para buckets de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-encryption.html).
## Descifrar archivos cifrados con AWS Key Management Service
Si utiliza AWS Key Management Service (KMS) para cifrar los archivos de manifiesto y los archivos de imagen de Amazon Rekognition Custom Labels, añada el principal de IAM que denomina Amazon Rekognition Custom Labels a la política de claves de la clave de KMS. De este modo, Etiquetas personalizadas de Amazon Rekognition podrá descifrar los archivos de manifiesto y de imagen antes del entrenamiento. Para obtener más información, consulte [Mi bucket de Amazon S3 tiene cifrado predeterminado mediante una clave de AWS KMS personalizada. ¿Cómo puedo permitir que los usuarios descarguen y suban contenido al bucket?](https://aws.amazon.com/premiumsupport/knowledge-center/s3-bucket-access-default-encryption/)
La entidad principal de IAM necesita los siguientes permisos en la clave de KMS.
+ kms: GenerateDataKey
+ kms:Decrypt
Para obtener más información, consulte [Protección de datos mediante el Server-Side cifrado con claves de KMS almacenadas en AWS Key Management Service (SSE-KMS)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html).
## Cifrado de imágenes de entrenamiento y de prueba copiadas
Para entrenar el modelo, Etiquetas personalizadas de Amazon Rekognition hace una copia de las imágenes de entrenamiento y de prueba de origen. De forma predeterminada, las imágenes copiadas se cifran en reposo con una clave que AWS posee y administra. También puede optar por utilizar su propia AWS KMS key. Si usa su propia clave de KMS, necesitará los siguientes permisos en la clave de KMS.
+ kms: CreateGrant
+ km: DescribeKey
Si lo desea, puede indicar la clave de KMS cuando entrene el modelo con la consola o cuando llama a la operación `CreateProjectVersion`. La clave de KMS que utilice no tiene por qué ser la misma clave de KMS usada para cifrar los archivos de manifiesto y de imagen en el bucket de Amazon S3. Para obtener más información, consulte [Paso 5: (Opcional) Cifrar los archivos de entrenamiento](#su-encrypt-bucket).
Para obtener más información, consulte [Conceptos de AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#master_keys). Las imágenes de origen no se ven afectadas.
Para obtener más información sobre el entrenamiento de un modelo, consulte [Entrenamiento de un modelo de Etiquetas personalizadas de Amazon Rekognition](training-model.md).