# Proteção e criptografia de dados
<a name="s3-express-data-protection"></a>

 Consulte mais informações sobre como configurar a criptografia de buckets de diretório nos tópicos a seguir.

**Topics**
+ [Criptografia do lado do servidor](#s3-express-ecnryption)
+ [Definir e monitorar a criptografia padrão para buckets de diretório](s3-express-bucket-encryption.md)
+ [Usar a criptografia do lado do servidor com chaves do AWS KMS (SSE-KMS) em buckets de diretório](s3-express-UsingKMSEncryption.md)
+ [Criptografia em trânsito](#s3-express-ecnryption-transit)
+ [Exclusão de dados](#s3-express-data-deletion)

## Criptografia do lado do servidor
<a name="s3-express-ecnryption"></a>

Todos os buckets de diretório têm criptografia configurada por padrão, e todos os novos objetos carregados em buckets de diretório são automaticamente criptografados em repouso. A criptografia do lado do servidor com chaves gerenciadas pelo Amazon S3 (SSE-S3) é a configuração de criptografia padrão para todos os buckets de diretório. Se quiser especificar um tipo de criptografia diferente, você poderá usar a criptografia do lado do servidor com chaves do AWS Key Management Service (AWS KMS) (SSE-KMS), definindo a configuração de criptografia padrão do bucket. Para ter mais informações sobre SSE-KMS em buckets de diretório, consulte [Usar a criptografia do lado do servidor com chaves do AWS KMS (SSE-KMS) em buckets de diretório](s3-express-UsingKMSEncryption.md).

Recomendamos que a criptografia padrão do bucket use a configuração desejada e que você não a substitua em suas solicitações `CreateSession` ou de objetos `PUT`. Desse modo, os novos objetos são criptografados automaticamente com as configurações de criptografia desejadas. Para ter mais informações sobre os comportamentos de substituição de criptografia em buckets de diretório, consulte [Specifying server-side encryption with AWS KMS for new object uploads](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-express-specifying-kms-encryption.html).

A SSE-KMS com buckets de diretório difere da SSE-KMS em buckets de uso geral nos aspectos a seguir.
+ A configuração de SSE-KMS só comporta uma [chave gerenciada pelo cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) por bucket de diretório durante a vida útil do bucket. Não há suporte para [https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk) (`aws/s3`). Além disso, depois que você especifica uma chave gerenciada pelo cliente para SSE-KMS, não é possível substituí-la pela configuração de SSE-KMS do bucket.

  É possível identificar a chave gerenciada pelo cliente que você especificou para a configuração SSE-KMS do bucket, da seguinte forma:
  + Faça uma solicitação de operação de API `HeadObject` para encontrar o valor de `x-amz-server-side-encryption-aws-kms-key-id` em sua resposta.

  Para usar uma nova chave gerenciada pelo cliente em seus dados, recomendamos copiar os objetos existentes em um novo bucket de diretório com uma nova chave gerenciada pelo cliente.
+ Em [Operações de API de endpoint zonal (nível de objeto)](s3-express-differences.md#s3-express-differences-api-operations), com exceção de [CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html) e [UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html), autentique e autorize solicitações por meio de [CreateSession](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html) para ter baixa latência. Recomendamos que a criptografia padrão do bucket use a configuração desejada e que você não a substitua em suas solicitações `CreateSession` ou de objetos `PUT`. Desse modo, os novos objetos são criptografados automaticamente com as configurações de criptografia desejadas. Para criptografar novos objetos em um bucket de diretório com SSE-KMS, é necessário especificar SSE-KMS como a configuração de criptografia padrão do bucket de diretório com uma chave do KMS (especificamente, uma [chave gerenciada pelo cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)). Dessa forma, quando uma sessão é criada para operações de API de endpoint de zona, novos objetos são automaticamente criptografados e descriptografados com chaves de SSE-KMS e de bucket do S3 durante a sessão. Para ter mais informações sobre os comportamentos de substituição de criptografia em buckets de diretório, consulte [Specifying server-side encryption with AWS KMS for new object uploads](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-express-specifying-kms-encryption.html).

  Em chamadas de API de endpoint zonal (exceto [CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html) e [UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html)), não é possível substituir os valores de configuração de criptografia (`x-amz-server-side-encryption`, `x-amz-server-side-encryption-aws-kms-key-id`, `x-amz-server-side-encryption-context` e `x-amz-server-side-encryption-bucket-key-enabled`) da solicitação `CreateSession`. Não é necessário especificar explicitamente esses valores de configuração de criptografia em chamadas de API de endpoint de zona. O Amazon S3 usará os valores das configurações de criptografia da solicitação `CreateSession` para proteger novos objetos no bucket de diretório. 
**nota**  
Quando você usa a AWS CLI ou os SDKs da AWS, para `CreateSession`, o token da sessão é atualizado automaticamente para evitar interrupções no serviço quando uma sessão expira. A AWS CLI ou os SDKs da AWS usam a configuração de criptografia padrão do bucket para a solicitação `CreateSession`. A substituição dos valores de configuração de criptografia não é aceita na solicitação `CreateSession`. Além disso, nas chamadas de API de endpoint de zona (exceto [CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html) e [UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html)), não é possível substituir os valores de configuração de criptografia da solicitação `CreateSession`. 
+ Com relação a [CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html), para criptografar novas cópias de objetos em um bucket de diretório com SSE-KMS, é necessário especificar SSE-KMS como a configuração de criptografia padrão do bucket de diretório com uma chave do KMS (especificamente, uma [chave gerenciada pelo cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)). Depois, ao especificar as configurações de criptografia do lado do servidor para novas cópias de objetos com SSE-KMS, é necessário garantir que a chave de criptografia seja a mesma chave gerenciada pelo cliente que você especificou para a configuração de criptografia padrão do bucket de diretório. Quanto a [UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html), para criptografar novas cópias de partes de objetos em um bucket de diretório com SSE-KMS, é necessário especificar SSE-KMS como a configuração de criptografia padrão do bucket de diretório com uma chave do KMS (especificamente, uma [chave gerenciada pelo cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)). Não é possível especificar as configurações de criptografia do lado do servidor para novas cópias de partes do objeto com SSE-KMS nos cabeçalhos da solicitação [UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html). Além disso, as configurações de criptografia fornecidas na solicitação [CreateMultipartUpload](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateMultipartUpload.html) devem corresponder à configuração de criptografia padrão do bucket de destino. 
+ As chaves de bucket do S3 estão sempre habilitadas para operações `GET` e `PUT` em um bucket de diretório e não podem ser desabilitadas. Não são aceitas chaves de bucket do S3 quando você copia objetos criptografados por SSE-KMS de buckets de uso geral para buckets de diretório, de buckets de diretório para buckets de uso geral ou entre buckets de diretório, por meio de [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html), de [https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html), [da operação Copy em Operações em Lote](directory-buckets-objects-Batch-Ops.md) ou [de trabalhos de import](create-import-job.md). Nesse caso, o Amazon S3 faz uma chamada para o AWS KMS sempre que uma solicitação de cópia é feita para um objeto criptografado pelo KMS.
+ Ao especificar uma [chave do AWS KMS gerenciada pelo cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) para criptografia no bucket de diretório, use somente o ID ou o ARN da chave. O formato de alias da chave do KMS não é aceito.

Os buckets de diretório não são compatíveis com criptografia de camada dupla do lado do servidor com chaves do AWS Key Management Service (AWS KMS) (DSSE-KMS) ou com criptografia do lado do servidor com chaves fornecidas pelo cliente (SSE-C).

## Criptografia em trânsito
<a name="s3-express-ecnryption-transit"></a>

Os buckets de diretório usam endpoints de API regionais e zonais. Dependendo da operação de API do Amazon S3 usada, será necessário um endpoint regional ou zonal. Você pode acessar endpoints zonais e regionais por meio de um endpoint de nuvem privada virtual (VPC) do gateway. Não há cobrança adicional pelo uso de endpoints do gateway. Para saber mais sobre os endpoints de API regionais e zonais, consulte [Rede para buckets de diretório](s3-express-networking.md). 

## Exclusão de dados
<a name="s3-express-data-deletion"></a>

Você pode excluir um ou mais objetos diretamente dos buckets de diretório usando o console do Amazon S3, os AWS SDKs, a AWS Command Line Interface (AWS CLI) ou a API REST do Amazon S3. Como todos os objetos nos buckets de diretório incorrem em custos de armazenamento, recomendamos que você exclua os objetos de que não precisa mais.

A exclusão de um objeto armazenado em um bucket de diretório também exclui recursivamente todos os diretórios pai, desde que esses diretórios pai não contenham nenhum objeto além do objeto que está sendo excluído.

**nota**  
A exclusão de autenticação multifator (MFA) e a funcionalidade Versionamento do S3 não são compatíveis com a classe S3 Express One Zone.