As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Criptografia do KMS no Amazon Comprehend O Amazon Comprehend trabalha AWS Key Management Service com AWS KMS() para fornecer criptografia aprimorada para seus dados. O Amazon S3 já permite que você criptografe seus documentos de entrada ao criar uma análise de texto, modelagem de tópicos ou trabalho personalizado do Amazon Comprehend. A integração com AWS KMS permite criptografar os dados no volume de armazenamento das tarefas Start\* e Create\*, além de criptografar os resultados de saída das tarefas Start\* usando sua própria chave KMS. Para o Console de gerenciamento da AWS, o Amazon Comprehend criptografa modelos personalizados com sua própria chave KMS. Para o AWS CLI, o Amazon Comprehend pode criptografar modelos personalizados usando sua própria chave KMS ou uma chave gerenciada pelo cliente (CMK) fornecida. **Criptografia KMS usando o Console de gerenciamento da AWS** Há duas opções de criptografia disponíveis ao usar o console: + Criptografia de volumes + Criptografia do resultado de saída **Para habilitar a criptografia de volume** 1. Em **Configurações do trabalho**, escolha a opção **Criptografia do trabalho**. ![Criptografia do KMS Job no Console de gerenciamento da AWS](http://docs.aws.amazon.com/pt_br/comprehend/latest/dg/images/kms-1.png) 1. Escolha se a chave gerenciada pelo cliente (CMK) KMS é da conta que você está usando no momento ou de uma conta diferente. Se desejar usar uma chave da conta atual, escolha a alias da chave de **ID da chave KMS**. Se estiver usando uma chave de uma conta diferente, você deverá inserir o ARN da chave. **Para habilitar a criptografia de resultado de saída** 1. Em **Configurações de saída**, escolha a opção **Criptografia**. ![Criptografia do resultado da saída KMS no Console de gerenciamento da AWS](http://docs.aws.amazon.com/pt_br/comprehend/latest/dg/images/kms-2.png) 1. Escolha se a chave gerenciada pelo cliente (CMK) é da conta que você está usando no momento ou de uma conta diferente. Se desejar usar uma chave da conta atual, escolha a chave de **ID da chave KMS**. Se estiver usando uma chave de uma conta diferente, você deverá inserir o ARN da chave. Se você já configurou a criptografia usando SSE-KMS seus documentos de entrada do S3, isso pode fornecer segurança adicional. No entanto, se você fizer isso, o perfil do IAM usado deverá ter a permissão `kms:Decrypt` para a chave do KMS com a qual os documentos de entrada são criptografados. Para obter mais informações, consulte [Permissões necessárias para usar a criptografia KMS](security_iam_id-based-policy-examples.md#auth-kms-permissions). **Criptografia do KMS com operações de API** Todas as operações de API `Start*` e `Create*` do Amazon Comprehend são compatíveis com documentos de entrada criptografados do KMS. As operações de API `Describe*` e `List*` retornam o `KmsKeyId` no `OutputDataConfig` se o trabalho original tiver recebido `KmsKeyId` como entrada. Caso contrário, esse parâmetro não será retornado. Isso pode ser visto no seguinte exemplo de AWS CLI usando a [StartEntitiesDetectionJob](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_StartEntitiesDetectionJob.html)operação: ``` aws comprehend start-entities-detection-job \ --region {{region}} \ --data-access-role-arn "{{data access role arn}}" \ --entity-recognizer-arn "{{entity recognizer arn}}" \ --input-data-config "S3Uri=s3://{{Bucket Name}}/{{Bucket Path}}" \ --job-name {{job name}} \ --language-code en \ --output-data-config "KmsKeyId={{Output S3 KMS key ID}}" "S3Uri=s3://{{Bucket Name}}/{{Bucket Path}}/" \ --volumekmskeyid "{{Volume KMS key ID}}" ``` **nota** Este exemplo é formatado para Unix, Linux e macOS. Para Windows, substitua o caractere de continuação Unix de barra invertida (\\) no final de cada linha por um circunflexo (^). **Criptografia de chave gerenciada pelo cliente (CMK) com operações de API** Operações de API de modelo personalizado do Amazon Comprehend,,, `CreateEndpoint` e `CreateEntityRecognizer``CreateDocumentClassifier`, oferecem suporte à criptografia usando chaves gerenciadas pelo cliente por meio do. AWS CLI É necessário usar uma política do IAM para permitir que uma entidade principal use ou gerencie chaves gerenciadas pelo cliente. Essas chaves são especificadas no elemento `Resource` da instrução de política. Como prática recomendada, limite as chaves gerenciadas pelo cliente somente àquelas que as entidades principais devem usar em sua declaração de política. O exemplo de AWS CLI a seguir cria um reconhecedor de entidade personalizado com criptografia de modelo usando a operação: [CreateEntityRecognizer](https://docs.aws.amazon.com/comprehend/latest/APIReference/API_CreateEntityRecognizer.html) ``` aws comprehend create-entity-recognizer \ --recognizer-name {{name}} \ --data-access-role-arn {{data access role arn}} \ --language-code en \ --model-kms-key-id {{Model KMS Key ID}} \ --input-data-config file:///path/input-data-config.json ``` **nota** Este exemplo é formatado para Unix, Linux e macOS. Para Windows, substitua o caractere de continuação Unix de barra invertida (\\) no final de cada linha por um circunflexo (^).