As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Criptografia de dados em repouso
<a name="encryption-at-rest"></a>

Todos os sistemas de arquivos do Amazon FSx são criptografados em repouso com chaves gerenciadas usando o AWS Key Management Service (AWS KMS). Os dados são criptografados automaticamente antes de serem gravados no sistema de arquivos e automaticamente decriptografados à medida que são lidos. Esses processos são tratados de maneira transparente pelo Amazon FSx. Portanto, não é necessário modificar as aplicações.

O Amazon FSx usa um AES-256 algoritmo de criptografia padrão do setor para criptografar dados e metadados do Amazon FSx em repouso. Para obter mais informações, consulte [Conceitos básicos de criptografia](https://docs.aws.amazon.com/kms/latest/developerguide/crypto-intro.html) no *Guia do desenvolvedor do AWS Key Management Service *.

**nota**  
A infraestrutura de gerenciamento de AWS chaves usa algoritmos criptográficos aprovados pelo Federal Information Processing Standards (FIPS) 140-2. A infraestrutura é consistente com as recomendações 800-57 do National Institute of Standards and Technology (NIST).

## Como o Amazon FSx usa AWS KMS
<a name="EFSKMS"></a>

O Amazon FSx se integra ao gerenciamento de chaves AWS KMS . O Amazon FSx usa um AWS KMS key para criptografar seu sistema de arquivos. Você escolhe a chave do KMS usada para criptografar e decriptografar sistemas de arquivos (dados e metadados). É possível habilitar, desabilitar ou revogar as concessões nessa chave do KMS. Essa chave do KMS pode ser de um dos seguintes dois tipos:
+ **Chave gerenciada pela AWS**: essa é a chave padrão do KMS e seu uso é gratuito.
+ **Chave gerenciada pelo cliente**: essa é a chave do KMS mais flexível para usar, pois é possível configurar suas políticas de chaves e concessões para diversos usuários ou serviços. Para obter mais informações sobre a criação de chaves gerenciadas pelo cliente, consulte [Criação de chaves](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) no *Guia do AWS Key Management Service desenvolvedor*.

Se você usar uma chave gerenciada pelo cliente como a chave do KMS para descriptografia e criptografia de dados de arquivos, poderá habilitar a rotação de chaves. Ao habilitar a rotação de chaves, o AWS KMS gira sua chave automaticamente uma vez por ano. Além disso, com uma chave gerenciada pelo cliente, você pode escolher quando desativar, reativar, excluir ou revogar o acesso à sua chave do KMS a qualquer momento. Para obter mais informações, consulte [Rotação AWS KMS keys](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html) no *Guia do AWS Key Management Service desenvolvedor*.

## Políticas-chave do Amazon FSx para AWS KMS
<a name="FSxKMSPolicy"></a>

Políticas de chaves são a principal maneira de controlar o acesso a chaves do KMS. Para obter mais informações sobre as políticas de chaves, consulte [Using key policies in AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) no *Guia do desenvolvedor do AWS Key Management Service *.A lista a seguir descreve todas as permissões AWS KMS relacionadas suportadas pelo Amazon FSx para sistemas de arquivos criptografados em repouso:
+ **kms:Encrypt**: (opcional) criptografa texto não criptografado em texto cifrado. Essa permissão está incluída na política de chaves padrão.
+ **kms:Decrypt** - (Obrigatório) Descriptografa texto cifrado. O texto cifrado é o texto não criptografado que já foi criptografado. Essa permissão está incluída na política de chaves padrão.
+ **kms: ReEncrypt** — (Opcional) Criptografa dados no lado do servidor com uma nova chave KMS, sem expor o texto simples dos dados no lado do cliente. Primeiro os dados são descriptografados e, depois, recriptografados. Essa permissão está incluída na política de chaves padrão.
+ **kms: GenerateDataKeyWithoutPlaintext** — (Obrigatório) Retorna uma chave de criptografia de dados criptografada sob uma chave KMS. Essa permissão está incluída na política de chaves padrão em **kms: GenerateDataKey \***.
+ **kms: CreateGrant** — (Obrigatório) Adiciona uma concessão a uma chave para especificar quem pode usar a chave e sob quais condições. Concessões são mecanismos de permissão alternativos para políticas de chaves. Para obter mais informações sobre subsídios, consulte [Como usar subsídios](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) no Guia do AWS Key Management Service desenvolvedor. Essa permissão está incluída na política de chaves padrão.
+ **kms: DescribeKey** — (Obrigatório) Fornece informações detalhadas sobre a chave KMS especificada. Essa permissão está incluída na política de chaves padrão.
+ **kms: ListAliases** — (Opcional) Lista todos os aliases de chave na conta. Quando você usa o console para criar um sistema de arquivos criptografado, essa permissão preenche a lista de chaves do KMS. Recomendamos usar essa permissão para proporcionar a melhor experiência do usuário. Essa permissão está incluída na política de chaves padrão.