# Usar uma AWS KMS key para criptografar suas exportações de métricas
<a name="storage_lens_encrypt_permissions"></a>

Para conceder permissão à Lente de Armazenamento do Amazon S3 para criptografar as exportações de métricas usando uma chave gerenciada pelo cliente, é necessário usar uma política de chaves. Para atualizar a política de chaves a fim de poder usar uma chave do KMS para criptografar as exportações de métricas da Lente de Armazenamento do S3, siga estas etapas. 

**Como conceder permissões à Lente de Armazenamento do S3 para criptografia usando a chave do KMS**

1. Faça login no Console de gerenciamento da AWS usando a Conta da AWS que é proprietária da chave gerenciada pelo cliente.

1. Abra o console do AWS KMS em [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Para alterar a Região da AWS, use o **Region selector** (Seletor de regiões) no canto superior direito da página.

1. No painel de navegação esquerdo, escolha **Customer managed keys** (Chaves gerenciadas pelo cliente).

1. Em **Customer managed keys** (Chaves gerenciadas pelo cliente), escolha a chave que você deseja usar para criptografar as exportações de métricas. As AWS KMS keys são específicas da região e devem estar na mesma região que o bucket S3 de destino de exportação de métricas.

1. Em **Key policy** (Política de chave), escolha **Switch to policy view** (Alternar para visualização de política).

1. Para atualizar a política de chave, escolha **Edit** (Editar).

1. Em **Edit key policy** (Editar política de chave), adicione a seguinte política de chave à existente. Para usar essa política, substitua os `user input placeholders` por suas próprias informações.

   ```
   {
       "Sid": "Allow Amazon S3 Storage Lens use of the KMS key",
        "Effect": "Allow",
       "Principal": {
           "Service": "storage-lens.s3.amazonaws.com"
       },
       "Action": [
           "kms:GenerateDataKey"
       ],
       "Resource": "*",
       "Condition": {
          "StringEquals": {
              "aws:SourceArn": "arn:aws:s3:us-east-1:source-account-id:storage-lens/your-dashboard-name",
              "aws:SourceAccount": "source-account-id"
           }
        }
   }
   ```

1. Escolha **Salvar alterações**.

Para obter mais informações sobre como criar chaves gerenciadas pelo cliente e usar políticas de chave, consulte os seguintes tópicos no * Guia do desenvolvedor do AWS Key Management Service*:
+ [Crie uma chave do KMS](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html)
+ [Key policies in AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)

Você também pode usar a operação de API `PUT` de política de chaves do AWS KMS ([https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html)) para copiar a política de chaves para as chaves gerenciadas pelo cliente que deseja usar para criptografar as exportações de métricas usando a API REST, a AWS CLI e SDKs.

## Permissões adicionais para exportações de buckets de tabela do S3
<a name="storage_lens_s3_tables_kms_permissions"></a>

Por padrão, todos os dados nas tabelas do S3, inclusive métricas da Lente de Armazenamento do S3, são criptografados com criptografia SSE-S3. Você pode optar por criptografar o relatório de métricas da Lente de Armazenamento com chaves do AWS KMS (SSE-KMS). Se optar por criptografar os relatórios de métricas da Lente de Armazenamento do S3 com chaves do KMS, você precisará de permissões adicionais.

1. O usuário ou o perfil do IAM precisa das permissões a seguir. É possível conceder essas permissões no console do IAM, em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
   + `kms:DescribeKey` na chave usada do AWS KMS.

1. Na política de chave para a chave do AWS KMS, as permissões a seguir são necessárias. É possível conceder essas permissões no console do AWS KMS, em [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms). Para usar essa política, substitua os `user input placeholders` por suas próprias informações.

   ```
   {
       "Version": "2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "EnableSystemTablesKeyUsage",
               "Effect": "Allow",
               "Principal": {
                   "Service": "systemtables.s3.amazonaws.com"
               },
               "Action": [
                   "kms:DescribeKey",
                   "kms:GenerateDataKey",
                   "kms:Decrypt"
               ],
               "Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id",
               "Condition": {
                   "StringEquals": {
                       "aws:SourceAccount": "111122223333"
                   }
               }
           },
           {
               "Sid": "EnableKeyUsage",
               "Effect": "Allow",
               "Principal": {
                   "Service": "maintenance.s3tables.amazonaws.com"
               },
               "Action": [
                   "kms:GenerateDataKey",
                   "kms:Decrypt"
               ],
               "Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id",
               "Condition": {
                   "StringLike": {
                       "kms:EncryptionContext:aws:s3:arn": "<table-bucket-arn>/*"
                   }
               }
           }
       ]
   }
   ```