As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Criptografia em repouso usando uma chave do KMS do cliente para o serviço EMR WAL
<a name="encryption-at-rest-kms"></a>

Os logs de gravação antecipada (WAL) do EMR oferecem suporte à criptografia de chaves do KMS em repouso. A seguir, detalhamos em alto nível como o recurso de WAL do Amazon EMR WAL é integrado ao AWS KMS:

Os registros de gravação antecipada (WAL) do EMR interagem AWS durante as seguintes operações:`CreateWAL`,,,,,, `AppendEdit` `ArchiveWALCheckPoint` `CompleteWALFlush` `DeleteWAL` `GetCurrentWALTime``ReplayEdits`, `TrimWAL` `EMR_EC2_DefaultRole` por padrão. Quando qualquer uma das operações anteriores listadas é invocada, o EMR WAL cria e com base na chave KMS. `Decrypt` `GenerateDataKey`

## Considerações
<a name="encryption-at-rest-considerations"></a>

Considere o seguinte ao usar a criptografia AWS KMS baseada para EMR WAL:
+ Não é possível alterar a configuração de criptografia após a criação de um WAL do EMR.
+ Ao usar a criptografia KMS com sua própria chave do KMS, a chave deve existir na mesma região que seu cluster do Amazon EMR.
+ Você é responsável por manter todas as permissões necessárias do IAM e é recomendável não revogar as permissões necessárias durante a vida útil do WAL. Caso contrário, isso causará cenários de falha inesperados, como a incapacidade de excluir o WAL do EMR, pois a chave de criptografia associada não existe.
+ Há um custo associado ao uso de AWS KMS chaves. Para obter mais informações, consulte [Preços do AWS Key Management Service](https://aws.amazon.com/kms/pricing/).

## Permissões obrigatórias do IAM
<a name="encryption-at-rest-required-iam-permissions"></a>

Para usar a chave do KMS do cliente para criptografar o WAL do EMR em repouso, você precisa ter certeza de definir a permissão adequada para o perfil de cliente do WAL do EMR e para a entidade principal `emrwal.amazonaws.com` do serviço WAL do EMR.

### Permissões para o perfil de cliente WAL do EMR
<a name="encryption-at-rest-permissions-client-role"></a>

Abaixo está a política do IAM necessária para o perfil de cliente WAL do EMR:

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey*"
      ],
      "Resource": [
        "*"
      ],
      "Sid": "AllowKMSDecrypt"
    }
  ]
}
```

------

O cliente WAL do EMR no cluster do EMR usará `EMR_EC2_DefaultRole` por padrão. Se você usar um perfil diferente para o perfil de instância no cluster do EMR, certifique-se de que cada perfil tenha permissões apropriadas.

Para obter informações sobre gerenciamento da política de perfil, consulte [Adicionar e remover permissões de identidade do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html).

### Permissões para a política de chave do KMS
<a name="encryption-at-rest-permissions-kms-key-policy"></a>

Você precisa conceder o perfil do cliente WAL do EMR e as permissões `Decrypt` e `GenerateDataKey*` do serviço WAL do EMR na sua política do KMS. Para obter mais informações sobre o gerenciamento de políticas de chaves, consulte [Política de chaves do KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html).

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey*"
      ],
      "Resource": [
        "arn:aws:kms:*:123456789012:key/*"
      ],
      "Sid": "AllowKMSDecrypt"
    }
  ]
}
```

------

O perfil especificado no snippet pode mudar se você alterar o perfil padrão.

## Monitorando a interação do Amazon EMR WAL com AWS KMS
<a name="encryption-at-rest-monitoring-emr-wal-kms"></a>

### Contexto de criptografia de WAL do Amazon EMR
<a name="encryption-at-rest-encryption-context"></a>

Um contexto de criptografia é um conjunto de pares de chave-valor que contêm dados arbitrários não secretos. Quando você inclui um contexto de criptografia em uma solicitação para criptografar dados, vincula AWS KMS criptograficamente o contexto de criptografia aos dados criptografados. Para descriptografar os dados, é necessário passar o mesmo contexto de criptografia.

Em suas solicitações [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)e [Decrypt para](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html), o AWS KMS Amazon EMR WAL usa um contexto de criptografia com pares de um nome e valor que identificam o nome WAL do EMR.

```
"encryptionContext": {
    "aws:emrwal:walname": "111222333444555-testworkspace-emrwalclustertest-emrwaltestwalname"
}
```

Você pode usar o contexto de criptografia para identificar essas operações criptográficas em registros e registros de auditoria, como AWS CloudTrail [Amazon CloudWatch Logs](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html), e como condição para autorização em políticas e concessões.