As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Amazon EC2 Auto Scaling e proteção de dados
O modelo de [responsabilidade AWS compartilhada O modelo](https://aws.amazon.com/compliance/shared-responsibility-model/) se aplica à proteção de dados no Amazon EC2 Auto Scaling. Conforme descrito neste modelo, AWS é responsável por proteger a infraestrutura global que executa todos os Nuvem AWS. Você é responsável por manter o controle sobre o conteúdo hospedado nessa infraestrutura. Você também é responsável pelas tarefas de configuração e gerenciamento de segurança dos Serviços da AWS que usa. Para saber mais sobre a privacidade de dados, consulte as [Data Privacy FAQ](https://aws.amazon.com/compliance/data-privacy-faq/). Para saber mais sobre a proteção de dados na Europa, consulte a postagem do blog [AWS Shared Responsibility Model and RGPD](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) no *Blog de segurança da AWS *.
Para fins de proteção de dados, recomendamos que você proteja Conta da AWS as credenciais e configure usuários individuais com Centro de Identidade do AWS IAM ou AWS Identity and Access Management (IAM). Dessa maneira, cada usuário receberá apenas as permissões necessárias para cumprir suas obrigações de trabalho. Recomendamos também que você proteja seus dados das seguintes formas:
+ Use uma autenticação multifator (MFA) com cada conta.
+ Use SSL/TLS para se comunicar com AWS os recursos. Exigimos TLS 1.2 e recomendamos TLS 1.3.
+ Configure a API e o registro de atividades do usuário com AWS CloudTrail. Para obter informações sobre o uso de CloudTrail trilhas para capturar AWS atividades, consulte Como [trabalhar com CloudTrail trilhas](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) no *Guia AWS CloudTrail do usuário*.
+ Use soluções de AWS criptografia, juntamente com todos os controles de segurança padrão Serviços da AWS.
+ Use serviços gerenciados de segurança avançada, como o Amazon Macie, que ajuda a localizar e proteger dados sensíveis armazenados no Amazon S3.
+ Se você precisar de módulos criptográficos validados pelo FIPS 140-3 ao acessar AWS por meio de uma interface de linha de comando ou de uma API, use um endpoint FIPS. Para saber mais sobre os endpoints FIPS disponíveis, consulte [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
É altamente recomendável que nunca sejam colocadas informações confidenciais ou sensíveis, como endereços de e-mail de clientes, em tags ou campos de formato livre, como um campo **Nome**. Isso inclui quando você trabalha com o Amazon EC2 Auto Scaling Serviços da AWS ou outro usando o console, a AWS CLI API ou. AWS SDKs Quaisquer dados inseridos em tags ou em campos de texto de formato livre usados para nomes podem ser usados para logs de faturamento ou de diagnóstico. Se você fornecer um URL para um servidor externo, é fortemente recomendável que não sejam incluídas informações de credenciais no URL para validar a solicitação nesse servidor.
Ao iniciar uma instância no Amazon EC2, você tem a opção de passar dados do usuário para a instância para fazer configuração adicional quando as botas da instância. Também recomendamos que você nunca forneça informações confidenciais ou sigilosas nos dados do usuário que serão passados para uma instância.
## Use AWS KMS keys para criptografar volumes do Amazon EBS
Você pode configurar seu grupo do Auto Scaling para criptografar dados de volume do Amazon EBS armazenados na nuvem com o AWS KMS keys. O Amazon EC2 Auto AWS Scaling oferece suporte a chaves gerenciadas e gerenciadas pelo cliente para criptografar seus dados. Observe que a opção `KmsKeyId` para especificar uma chave gerenciada pelo cliente não está disponível quando você usa uma configuração de execução. Para especificar sua chave gerenciada pelo cliente, use um modelo de execução. Para obter mais informações, consulte [Criar um modelo de execução para um grupo do Auto Scaling](create-launch-template.md). Para obter informações sobre como criar, armazenar e gerenciar suas chaves de AWS KMS criptografia, consulte o [Guia do AWS Key Management Service desenvolvedor](https://docs.aws.amazon.com/kms/latest/developerguide/).
Também é possível configurar uma chave gerenciada pelo cliente na AMI baseada no EBS antes de configurar o modelo ou a configuração de execução, ou usar a criptografia por padrão para impor a criptografia dos novos volumes do EBS e cópias de snapshots que você criar. Para obter mais informações, consulte [Usar criptografia com suporte do EBS AMIs](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIEncryption.html) no Guia do usuário do *Amazon EC2 [e Criptografia por](https://docs.aws.amazon.com/ebs/latest/userguide/encryption-by-default.html) padrão no Guia do usuário* do *Amazon* EBS.
**nota**
Para obter informações sobre como configurar a política de chave necessária para iniciar instâncias do Auto Scaling ao usar uma chave gerenciada pelo cliente para criptografia, consulte [Política de AWS KMS chaves necessária para uso com volumes criptografados](key-policy-requirements-EBS-encryption.md).
## Recursos relacionados
Para obter as diretrizes de proteção de dados fornecidas pelo Amazon EBS, consulte [Proteção de dados no Amazon Elastic Block Store](https://docs.aws.amazon.com/ebs/latest/userguide/data-protection.html) no *Guia do Usuário do Amazon EBS*.
# Política de AWS KMS chaves necessária para uso com volumes criptografados
O Amazon EC2 Auto [Scaling usa funções vinculadas a serviços para](autoscaling-service-linked-role.md) delegar permissões a outras pessoas. Serviços da AWS As funções vinculadas ao serviço Amazon EC2 Auto Scaling são predefinidas e incluem permissões que o Amazon EC2 Auto Scaling exige para ligar para outras pessoas em seu nome. Serviços da AWS As permissões predefinidas também incluem acesso ao seu Chaves gerenciadas pela AWS. No entanto, elas não incluem acesso às chaves gerenciadas pelo cliente, permitindo que você mantenha o controle total sobre essas chaves.
Este tópico descreve como configurar a política de chaves de que você precisa para iniciar instâncias do Auto Scaling ao especificar uma chave gerenciada pelo cliente para a criptografia do Amazon EBS.
**nota**
O Amazon EC2 Auto Scaling não precisa de autorização adicional para usar a Chave gerenciada pela AWS padrão para proteger os volumes criptografados em sua conta.
**Contents**
+ [Visão geral do](#overview)
+ [Configurar políticas de chave](#configuring-key-policies)
+ [Exemplo 1: seções da política de chaves que permitem acesso à chave gerenciada pelo cliente](#policy-example-cmk-access)
+ [Exemplo 2: seções da política de chaves que permitem acesso entre contas à chave gerenciada pelo cliente](#policy-example-cmk-cross-account-access)
+ [Edite as principais políticas no AWS KMS console](#eding-key-policies-console)
## Visão geral do
O seguinte AWS KMS keys pode ser usado para a criptografia do Amazon EBS quando o Amazon EC2 Auto Scaling inicia instâncias:
+ [Chave gerenciada pela AWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk): uma chave de criptografia em sua conta que é criada por, pertencente a e gerenciada pelo Amazon EBS. Essa é a chave de criptografia padrão para uma nova conta. O Chave gerenciada pela AWS é usado para criptografia, a menos que você especifique uma chave gerenciada pelo cliente.
+ [Chave gerenciada pelo cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk): uma chave de criptografia personalizada que você cria, possui e gerencia. Para obter mais informações, consulte [Criação de chaves](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) *Guia do desenvolvedor do AWS Key Management Service *.
Observação: a chave deve ser simétrica. O Amazon EBS não oferece suporte a chaves gerenciadas pelo cliente assimétricas.
Você configura chaves gerenciadas pelo cliente ao criar snapshots criptografados ou um modelo de execução que especifica volumes criptografados ou ao habilitar a criptografia por padrão.
## Configurar políticas de chave
Suas chaves do KMS devem ter uma política de chaves que permita que o Amazon EC2 Auto Scaling execute instâncias com volumes do Amazon EBS criptografados com uma chave gerenciada pelo cliente.
Use os exemplos nesta página para configurar uma política de chaves para conceder ao Amazon EC2 Auto Scaling acesso à sua chave gerenciada pelo cliente. Você pode modificar a política de chaves da chave gerenciada pelo cliente no momento em que a chave é criada ou posteriormente.
É necessário adicionar, no mínimo, duas declarações de política à política de chaves para que ela funcione com o Amazon EC2 Auto Scaling.
+ A primeira declaração permite que a identidade do IAM especificada no elemento `Principal` use a chave gerenciada pelo cliente diretamente. Inclui permissões para realizar as `DescribeKey` operações AWS KMS `Encrypt` `Decrypt``ReEncrypt*`,`GenerateDataKey*`,, e na chave.
+ A segunda declaração permite que a identidade do IAM especificada no `Principal` elemento use a `CreateGrant` operação para gerar concessões que delegam um subconjunto de suas próprias permissões para aqueles Serviços da AWS que estão integrados com AWS KMS ou outro principal. Isso permite que eles usem a chave para criar recursos criptografados em seu nome.
Ao adicionar as novas declarações de política à sua política de chave, não altere as declarações existentes na política.
Para cada um dos exemplos a seguir, os argumentos que devem ser substituídos, como uma ID de chave ou o nome de uma função vinculada ao serviço, são mostrados como. *user placeholder text* Na maioria dos casos, você pode substituir o nome do perfil vinculado ao serviço pelo nome de um perfil vinculado ao serviço do Amazon EC2 Auto Scaling.
Para saber mais, consulte os seguintes recursos:
+ Para criar uma chave com o AWS CLI, consulte [create-key](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/kms/create-key.html).
+ Para atualizar uma política de chaves com o AWS CLI, consulte [put-key-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/kms/put-key-policy.html).
+ Para encontrar um nome do recurso da Amazon (ARN) e um ID de chave, consulte [Como encontrar o ID de chave e o ARN](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html) no *Guia do desenvolvedor do AWS Key Management Service *.
+ Para obter informações sobre os perfis vinculados ao serviço do Amazon EC2 Auto Scaling, consulte [Perfis vinculados ao serviço do Amazon EC2 Auto Scaling](autoscaling-service-linked-role.md).
+ Para obter informações sobre a criptografia do Amazon EBS e o KMS em geral, consulte a seção [Criptografia do Amazon EBS](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption.html) no *Guia do usuário do Amazon EBS* e no [Guia do desenvolvedor do AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/).
## Exemplo 1: seções da política de chaves que permitem acesso à chave gerenciada pelo cliente
Adicione as duas declarações de política a seguir à política de chaves da chave gerenciada pelo cliente, substituindo o ARN de exemplo pelo ARN da função vinculada ao serviço apropriada que tem permissão de acesso à chave. Neste exemplo, as seções da política concedem à função vinculada ao serviço chamada **AWSServiceRoleForAutoScaling** permissões para usar a chave gerenciada pelo cliente.
```
{
"Sid": "Allow service-linked role use of the customer managed key",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::account-id:role/aws-service-role/autoscaling.amazonaws.com/AWSServiceRoleForAutoScaling"
]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
}
```
```
{
"Sid": "Allow attachment of persistent resources",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::account-id:role/aws-service-role/autoscaling.amazonaws.com/AWSServiceRoleForAutoScaling"
]
},
"Action": [
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": true
}
}
}
```
## Exemplo 2: seções da política de chaves que permitem acesso entre contas à chave gerenciada pelo cliente
Se você criar uma chave gerenciada pelo cliente em uma conta diferente da conta usada pelo grupo do Auto Scaling, será necessário usar uma concessão em combinação com a política de chaves para permitir o acesso entre contas à chave.
É necessário concluir duas etapas na seguinte ordem:
1. Em primeiro lugar, adicione as duas seguintes instruções de política à política de chaves da chave gerenciada pelo cliente. Substitua o ARN de exemplo pelo ARN da outra conta, certificando-se de *111122223333* substituí-lo pelo ID real da conta na qual você deseja criar Conta da AWS o grupo Auto Scaling. Isso permite que você conceda permissão para que um usuário ou um perfil do IAM na conta especificada crie uma concessão para a chave usando o seguinte comando da CLI. No entanto, isso por si só não dá a nenhum usuário acesso à chave.
```
{
"Sid": "Allow external account 111122223333 use of the customer managed key",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:root"
]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
}
```
```
{
"Sid": "Allow attachment of persistent resources in external account 111122223333",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:root"
]
},
"Action": [
"kms:CreateGrant"
],
"Resource": "*"
}
```
1. Em seguida, usando a conta na qual deseja criar o grupo do Auto Scaling, crie uma concessão que delegue as permissões relevantes para a função adequada vinculada ao serviço. O elemento `Grantee Principal` da concessão é o ARN do perfil vinculado ao serviço apropriado. O `key-id` é o ARN da chave.
Veja a seguir um exemplo de comando da CLI [create-grant](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/kms/create-grant.html) que dá à função vinculada ao serviço **AWSServiceRoleForAutoScaling**nomeada na *111122223333* conta permissões para usar a chave gerenciada pelo cliente na conta. *444455556666*
```
aws kms create-grant \
--region us-west-2 \
--key-id arn:aws:kms:us-west-2:444455556666:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d \
--grantee-principal arn:aws:iam::111122223333:role/aws-service-role/autoscaling.amazonaws.com/AWSServiceRoleForAutoScaling \
--operations "Encrypt" "Decrypt" "ReEncryptFrom" "ReEncryptTo" "GenerateDataKey" "GenerateDataKeyWithoutPlaintext" "DescribeKey" "CreateGrant"
```
Para que esse comando seja bem-sucedido, o usuário que faz a solicitação deve ter permissões para a ação `CreateGrant`.
O exemplo de política do IAM a seguir permite que uma identidade do IAM (usuário ou função) na conta *111122223333* crie uma concessão para a chave gerenciada pelo cliente na conta*444455556666*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCreationOfGrantForTheKMSKeyinExternalAccount444455556666",
"Effect": "Allow",
"Action": "kms:CreateGrant",
"Resource": "arn:aws:kms:us-west-2:444455556666:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d"
}
]
}
```
------
Para obter mais informações sobre como criar uma concessão para uma chave do KMS em uma Conta da AWS diferente, consulte [Concessões no AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) no *Guia do desenvolvedor do AWS Key Management Service *.
**Importante**
O nome do perfil vinculado ao serviço especificado como a entidade principal do beneficiário deve ser o nome de um perfil existente. Depois de criar a concessão, para garantir que a concessão permita que o Amazon EC2 Auto Scaling use a chave especificada do KMS, não exclua e recrie o perfil vinculado ao serviço.
## Edite as principais políticas no AWS KMS console
Os exemplos nas seções anteriores mostram apenas como adicionar declarações a uma política de chaves, que é apenas uma maneira de alterar uma política de chaves. A maneira mais fácil de alterar uma política de chaves é usar a visualização padrão do AWS KMS console para políticas de chaves e tornar uma identidade (usuário ou função) do IAM um dos *principais usuários* da política de chaves apropriada. Para obter mais informações, consulte [Usando a visualização Console de gerenciamento da AWS padrão](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html#key-policy-modifying-how-to-console-default-view) no *Guia do AWS Key Management Service desenvolvedor*.
**Importante**
Tenha cuidado. As declarações de política de visualização padrão do console incluem permissões para realizar AWS KMS `Revoke` operações na chave gerenciada pelo cliente. Se você conceder Conta da AWS acesso a uma chave gerenciada pelo cliente em sua conta e acidentalmente revogar a concessão que lhes deu essa permissão, os usuários externos não poderão mais acessar seus dados criptografados ou a chave que foi usada para criptografar seus dados.