As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Habilitar a criptografia do lado do servidor para um bucket do Amazon S3 para pipelines de captura de mídia do SDK do Amazon Chime
<a name="sse-kms"></a>

Para habilitar a criptografia do lado do servidor para um bucket do Amazon Simple Storage Service (Amazon S3), você pode usar esses tipos de chaves de criptografia:
+ Uma chave gerenciada pelo Amazon S3
+ Uma chave gerenciada pelo cliente no AWS Key Management Service (KMS)
**nota**  
O Key Management Service oferece suporte a dois tipos de chaves: chaves gerenciadas pelo cliente e chaves AWS gerenciadas. As reuniões do SDK do Amazon Chime oferecem suporte somente a chaves gerenciadas pelo cliente. 

## Usando uma chave gerenciada pelo Amazon S3
<a name="s3-keys"></a>

Você usa o console do Amazon S3, a CLI ou a API REST para habilitar a criptografia do lado do servidor para um bucket do Amazon S3. Em ambos os casos, escolha **Chave do Amazon S3** como tipo de chave de criptografia. Nenhuma outra ação é necessária. Quando você usa o bucket para captura de mídia, os artefatos são carregados e criptografados no lado do servidor. Para mais informações, consulte [Como especificar a criptografia do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/specifying-s3-encryption.html) no *Manual do usuário do Amazon S3*. 

## Como usar uma chave que você possui
<a name="customer-key"></a>

Para habilitar a criptografia com uma chave que você gerencia, você precisa habilitar a criptografia do lado do servidor do bucket do Amazon S3 com uma chave gerenciada pelo cliente e, em seguida, adicionar uma declaração à política de chaves que permita ao Amazon Chime usar a chave e criptografar qualquer artefato carregado.

1. Crie uma chave gerenciada pelo cliente no KMS. *Para obter informações sobre como fazer isso, consulte [Especificação da criptografia do lado do servidor com AWS KMS (SSE-KMS) no Guia do usuário do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/specifying-kms-encryption.html).*

1. Adicione uma instrução à política de chave que permita que a ação `GenerateDataKey` gere uma chave para uso pela entidade principal do serviço do SDK do Amazon Chime, `mediapipelines.chime.amazonaws.com`.

   Este exemplo mostra uma instrução típica.

   ```
   ...
   {
       "Sid": "MediaPipelineSSEKMS",
       "Effect": "Allow",
       "Principal": {
           "Service": "mediapipelines.chime.amazonaws.com"
       },
       "Action": "kms:GenerateDataKey",
       "Resource": "*",
       "Condition": {
           "StringEquals": {
              "aws:SourceAccount": "Account_Id"
           },
           "ArnLike": {
               "aws:SourceArn": "arn:aws:chime:*:Account_Id:*"
           }
       }
   }
   ...
   ```

1. Se você usar um pipeline de concatenação de mídia, adicione uma instrução à política de chave que permita que a entidade principal do serviço do SDK do Amazon Chime, `mediapipelines.chime.amazonaws.com`, use a ação `kms:Decrypt`.

1. Configure o bucket do Amazon S3 para habilitar a criptografia do lado do servidor com a chave.