As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Criptografar dados em repouso do Amazon DocumentDB
<a name="encryption-at-rest"></a>

**nota**  
AWS KMS está substituindo o termo *chave mestra do cliente (CMK)* por uma *AWS KMS key*chave *KMS.* O conceito não mudou. Para evitar alterações significativas, AWS KMS está mantendo algumas variações desse termo.

Você criptografa os dados em repouso em seu cluster do Amazon DocumentDB especificando a opção de criptografia de armazenamento ao criar o cluster. A criptografia de armazenamento é ativada em todo o cluster e é aplicada a todas as instâncias, incluindo a instância principal e todas as réplicas. Ela também é aplicada a volumes de armazenamento, dados, índices, logs, backups automatizados e snapshots do cluster. 

O Amazon DocumentDB usa o Advanced Encryption Standard (AES-256) de 256 bits para criptografar seus dados usando chaves de criptografia armazenadas em (). AWS Key Management Service AWS KMS Ao usar um cluster Amazon DocumentDB com criptografia em repouso ativada, você não precisa modificar a lógica da aplicação ou a conexão do cliente. O Amazon DocumentDB lida de forma transparente com a descriptografia de seus dados com um impacto mínimo sobre o desempenho.

O Amazon DocumentDB se integra AWS KMS e usa um método conhecido como criptografia de envelope para proteger seus dados. Quando um cluster do Amazon DocumentDB é criptografado com um AWS KMS, o Amazon DocumentDB AWS KMS solicita o uso da sua chave KMS para [gerar uma chave de dados de texto cifrado para](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html) criptografar o volume de armazenamento. A chave de dados de texto cifrado é criptografada usando a chave KMS definida e armazenada com os dados criptografados e os metadados de armazenamento. Quando o Amazon DocumentDB precisa acessar seus dados criptografados, ele solicita AWS KMS a descriptografia da chave de dados de texto cifrado usando sua chave KMS e armazena em cache a chave de dados de texto simples na memória para criptografar e descriptografar com eficiência os dados no volume de armazenamento.

O recurso de criptografia de armazenamento no Amazon DocumentDB está disponível para todos os tamanhos de instância compatíveis e em todos os Regiões da AWS lugares onde o Amazon DocumentDB está disponível.

## Ativar a criptografia em repouso para um cluster do Amazon DocumentDB
<a name="encryption-at-rest-enabling"></a>

Você pode ativar ou desativar a criptografia em repouso em um cluster Amazon DocumentDB quando o cluster é provisionado usando o Console de gerenciamento da AWS ou o (). AWS Command Line Interface AWS CLI Os clusters criados usando o console têm a criptografia em repouso habilitada por padrão. Os clusters que você cria usando o AWS CLI têm a criptografia em repouso desativada por padrão. Portanto, você deve explicitamente habilitar a criptografia em repouso usando o parâmetro `--storage-encrypted`. Em ambos os casos, após o cluster ser criado, não é possível alterar a opção de criptografia em repouso.

O Amazon DocumentDB usa AWS KMS para recuperar e gerenciar chaves de criptografia e definir as políticas que controlam como essas chaves podem ser usadas. Se você não especificar um identificador de AWS KMS chave, o Amazon DocumentDB usa a chave KMS de serviço AWS gerenciado padrão. O Amazon DocumentDB cria uma chave KMS separada para cada Região da AWS uma em sua. Conta da AWS Para obter mais informações, consulte [Conceitos do AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html). 

Para começar a criar sua própria chave KMS, consulte [Conceitos básicos](https://docs.aws.amazon.com/kms/latest/developerguide/getting-started.html) no *Guia do Desenvolvedor da AWS Key Management Service *. 

**Importante**  
É necessário usar uma chave do KMS de criptografia simétrica para criptografar seu cluster, pois o Amazon DocumentDB só oferece suporte a chaves KMS de criptografia simétrica. Não use uma chave KMS assimétrica para tentar criptografar os dados nos clusters do Amazon DocumentDB. Para ter mais informações, consulte [Chaves assimétricas do AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/symmetric-asymmetric.html) no *Guia do desenvolvedor do AWS Key Management Service *. 

Se o Amazon DocumentDB não puder mais acessar a chave KMS de um cluster — por exemplo, quando o proprietário da chave é suspenso, a chave é desativada, a chave é programada para exclusão ou a política ou concessão de chaves da Conta da AWS qual o Amazon DocumentDB depende é removida — o cluster primeiro faz a transição para o status. `inaccessible-encryption-credentials-recoverable` Enquanto o cluster está nesse status, o Amazon DocumentDB interrompe as instâncias do cluster e você não pode ler ou gravar no cluster, mas o cluster ainda pode ser recuperado se o acesso à chave KMS for restaurado em 7 dias. Se o acesso não for restaurado em 7 dias, o cluster passará para o `inaccessible-encryption-credentials` status de terminal. A partir do status do terminal, o cluster não está mais disponível e o estado atual do banco de dados não pode ser recuperado — você só pode restaurar a partir de um backup ou realizar uma restauração pontual usando a chave KMS original. Para o Amazon DocumentDB, os backups estão sempre habilitados por pelo menos 1 dia.

**nota**  
Os clusters que fazem parte de um cluster global se comportam de forma diferente. Quando o Amazon DocumentDB detecta que não pode mais acessar a chave KMS, todos os clusters no cluster global passam diretamente para o status do terminal, ignorando o `inaccessible-encryption-credentials` status recuperável. Isso ocorre porque um cluster que faz parte de um cluster global só pode ser interrompido e iniciado quando for o único cluster no cluster global. Para se recuperar, você deve restaurar a partir de um snapshot ou realizar uma restauração pontual. Para excluir os clusters originais, você deve primeiro remover cada cluster do cluster global e depois excluí-lo.

**Importante**  
Não é possível alterar a chave KMS para um cluster criptografado depois de já tê-lo criado. Certifique-se de determinar seus requisitos de chave de criptografia antes de criar seu cluster criptografado.

------
#### [ Using the Console de gerenciamento da AWS ]

Especifique a opção de criptografia em repouso ao criar um cluster. A criptografia em repouso é habilitada por padrão quando você cria um cluster usando o Console de gerenciamento da AWS. Não é possível alterá-la após criar o cluster. 

**Para especificar a opção de criptografia em repouso ao criar o cluster**

1. Crie um cluster do Amazon DocumentDB conforme descrito na seção [Conceitos básicos](https://docs.aws.amazon.com/documentdb/latest/developerguide/connect-ec2.launch-cluster.html). No entanto, na etapa 6, não selecione **Criar cluster**. 

1. Abaixo da seção **Autenticação**, escolha **Mostrar configurações avançadas**.

1. Role para baixo até a seção **Encryption-at-rest**.

1. Escolha a opção que deseja para a criptografia em repouso. Seja qual for a opção que escolher, não será possível alterá-la após criar o cluster.
   + Para criptografar dados em repouso nesse cluster, selecione **Habilitar criptografia**.
   + Caso não queira criptografar dados em repouso nesse cluster, selecione **Desabilitar criptografia**. 

1. Escolha a chave primária que você deseja. O Amazon DocumentDB usa o AWS Key Management Service (AWS KMS) para recuperar e gerenciar chaves de criptografia e definir as políticas que controlam como essas chaves podem ser usadas. Se você não especificar um identificador de AWS KMS chave, o Amazon DocumentDB usa a chave KMS de serviço AWS gerenciado padrão. Para obter mais informações, consulte [Conceitos do AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html). 
**nota**  
Depois de criar um cluster criptografado, não é possível alterar a chave KMS para esse cluster. Certifique-se de determinar seus requisitos de chave de criptografia antes de criar seu cluster criptografado.

1. Complete as outras seções conforme o necessário e crie o cluster.

------
#### [ Using the AWS CLI ]

Para criptografar um cluster do Amazon DocumentDB usando AWS CLI o, execute o comando e especifique [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/describe-db-clusters.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/describe-db-clusters.html)`--storage-encrypted`a opção. Os clusters do Amazon DocumentDB criados usando o AWS CLI não habilitam a criptografia de armazenamento por padrão.

Veja a seguir um exemplo de como criar um cluster do Amazon DocumentDB com a criptografia de armazenamento ativada.

Nos exemplos a seguir, substitua cada um {{user input placeholder}} pelas informações do seu cluster.

**Example**  
Para Linux, macOS ou Unix:  

```
aws docdb create-db-cluster \
  --db-cluster-identifier {{mydocdbcluster}} \
  --port 27017 \
  --engine docdb \
  --master-username {{SampleUser1}} \
  --master-user-password {{primaryPassword}} \
  --storage-encrypted
```
Para Windows:  

```
aws docdb create-db-cluster ^
  --db-cluster-identifier {{SampleUser1}} ^
  --port 27017 ^
  --engine docdb ^
  --master-username {{SampleUser1}} ^
  --master-user-password {{primaryPassword}} ^
  --storage-encrypted
```

Ao criar um cluster criptografado do Amazon DocumentDB, você pode especificar um identificador de AWS KMS chave, como no exemplo a seguir.

**Example**  
Para Linux, macOS ou Unix:  

```
aws docdb create-db-cluster \
  --db-cluster-identifier {{SampleUser1}} \
  --port 27017 \
  --engine docdb \
  --master-username {{primaryUsername}} \
  --master-user-password {{yourPrimaryPassword}} \
  --storage-encrypted \
  --kms-key-id {{key-arn-or-alias}}
```
Para Windows:  

```
aws docdb create-db-cluster ^
  --db-cluster-identifier {{SampleUser1}} ^
  --port 27017 ^
  --engine docdb ^
  --master-username {{SampleUser1}} ^
  --master-user-password {{primaryPassword}} ^
  --storage-encrypted ^
  --kms-key-id {{key-arn-or-alias}}
```

**nota**  
Depois de criar um cluster criptografado, não é possível alterar a chave KMS para esse cluster. Certifique-se de determinar seus requisitos de chave de criptografia antes de criar seu cluster criptografado.

------

## Resolvendo um cluster Amazon DocumentDB em um estado de criptografia inacessível
<a name="encryption-at-rest-inaccessible"></a>

Um cluster do Amazon DocumentDB passa para um status de criptografia inacessível quando o Amazon DocumentDB não consegue acessar a chave KMS com a qual o cluster foi criptografado. Existem dois desses status, e o caminho de recuperação depende de qual deles o cluster está.

### Status do `inaccessible-encryption-credentials-recoverable`
<a name="encryption-at-rest-inaccessible-recoverable"></a>

Enquanto o cluster estiver no `inaccessible-encryption-credentials-recoverable` status, você pode retornar o cluster `available` restaurando o acesso do Amazon DocumentDB à chave KMS e, em seguida, iniciando o cluster. Para resolver esse status, faça o seguinte:

1. Confirme se Conta da AWS o proprietário da chave KMS está ativo. Se a conta for suspensa, reative-a.

1. Confirme se a chave KMS está ativada. Para obter mais informações, consulte [Habilitar e desabilitar chaves](https://docs.aws.amazon.com/kms/latest/developerguide/enabling-keys.html) no *AWS Key Management Service Guia do desenvolvedor do *.

1. Verifique se a chave KMS está programada para ser excluída. Se estiver, cancele a exclusão programada da chave. *Para obter mais informações, consulte [Agendamento e cancelamento da exclusão de chaves no Guia](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys-scheduling-key-deletion.html) do AWS Key Management Service desenvolvedor.*

1. Confirme se a política de chaves do KMS e quaisquer concessões das quais o Amazon DocumentDB depende ainda permitem que o Amazon DocumentDB use a chave.

1. Depois que o acesso à chave KMS for restaurado, inicie o cluster usando Console de gerenciamento da AWS ou executando o `start-db-cluster` AWS CLI comando.  
**Example**  

   Para Linux, macOS ou Unix:

   ```
   aws docdb start-db-cluster \
     --db-cluster-identifier {{example-cluster}}
   ```

   Para Windows:

   ```
   aws docdb start-db-cluster ^
     --db-cluster-identifier {{example-cluster}}
   ```

**Importante**  
Se o acesso à chave KMS não for restaurado em 7 dias, o cluster passará para o `inaccessible-encryption-credentials` status do terminal, a partir do qual não poderá ser iniciado.

### Status do `inaccessible-encryption-credentials`
<a name="encryption-at-rest-inaccessible-terminal"></a>

O `inaccessible-encryption-credentials` status é terminal. O cluster não pode ser iniciado e o estado de execução do banco de dados não pode ser recuperado. Para recuperar seus dados, restaure a partir de um snapshot ou execute uma restauração pontual em um novo cluster. Você ainda deve ter acesso à chave KMS original para realizar a restauração. Se a chave KMS foi excluída, os dados não poderão ser recuperados.

Para obter mais informações, consulte [Restauração de um snapshot de cluster](backup_restore-restore_from_snapshot.md) e [Restauração para um ponto no tempo](backup_restore-point_in_time_recovery.md).

**nota**  
Os clusters que fazem parte de um cluster global passam diretamente para o `inaccessible-encryption-credentials` status quando o acesso à chave KMS é perdido, porque um cluster que faz parte de um cluster global só pode ser interrompido e iniciado quando é o único cluster no cluster global. Para excluir um cluster com esse status, primeiro remova cada cluster do cluster global e, em seguida, exclua os clusters individualmente.

Se você não conseguir excluir um cluster que está no `inaccessible-encryption-credentials` status porque a proteção contra exclusão está ativada, desative a proteção contra exclusão usando o AWS CLI antes de tentar a exclusão novamente.

**Example**  
Para Linux, macOS ou Unix:  

```
aws docdb modify-db-cluster \
  --db-cluster-identifier {{example-cluster}} \
  --no-deletion-protection
```
Para Windows:  

```
aws docdb modify-db-cluster ^
  --db-cluster-identifier {{example-cluster}} ^
  --no-deletion-protection
```

Em seguida, você pode excluir o cluster usando o `delete-db-cluster` comando.

**Example**  
Para Linux, macOS ou Unix:  

```
aws docdb delete-db-cluster \
  --db-cluster-identifier {{example-cluster}} \
  --skip-final-snapshot
```
Para Windows:  

```
aws docdb delete-db-cluster ^
  --db-cluster-identifier {{example-cluster}} ^
  --skip-final-snapshot
```

Se o cluster não for excluído após a execução dos comandos anteriores, entre em contato com o [AWS Support](https://aws.amazon.com/support).

## Limitações para clusters criptografados do Amazon DocumentDB
<a name="encryption-at-rest-limits"></a>

As seguintes limitações existem para clusters criptografados do Amazon DocumentDB.
+ É possível habilitar ou desabilitar a criptografia em repouso para um cluster do Amazon DocumentDB somente no momento em que ele é criado, e não após a criação ser concluída. No entanto, é possível criar uma cópia criptografada de um cluster decriptografado criando um snapshot do cluster decriptografado e, em seguida, restaure o snapshot decriptografado como um novo cluster ao especificar a opção de criptografia em repouso.

  Para saber mais, consulte os seguintes tópicos:
  + [Criação de um snapshot manual de cluster](backup_restore-create_manual_cluster_snapshot.md)
  + [Restauração de um snapshot de cluster](backup_restore-restore_from_snapshot.md)
  + [Cópia de snapshots de cluster do Amazon DocumentDB](backup_restore-copy_cluster_snapshot.md)
+ Os clusters do Amazon DocumentDB com criptografia de armazenamento habilitada não podem ser modificados para desabilitar a criptografia.
+ Todas as instâncias, os backups automatizados, os snapshots e os índices em um cluster do Amazon DocumentDB são criptografados com a mesma chave KMS.