As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Criptografia inativa
Por padrão, o Amazon Managed Grafana fornece automaticamente a criptografia em repouso e faz isso usando chaves de criptografia AWS próprias.
+ **AWS chaves próprias** — O Amazon Managed Grafana usa essas chaves para criptografar automaticamente os dados do seu espaço de trabalho. Você não pode visualizar, gerenciar ou usar chaves AWS próprias nem auditar seu uso. No entanto, não é necessário realizar nenhuma ação nem alterar qualquer programa para proteger as chaves que criptografam seus dados. Para obter mais informações, consulte [AWS-owned keys](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) no *Guia do AWS KMS desenvolvedor*.
A criptografia de dados em repouso ajuda a reduzir a sobrecarga operacional e a complexidade da proteção de dados confidenciais do cliente, como informações de identificação pessoal. Isso permite que você crie aplicações seguras que atendam aos rigorosos requisitos regulatórios e de conformidade de criptografia.
Como alternativa, é possível usar uma chave gerenciada pelo cliente ao criar o espaço de trabalho:
+ **Chaves gerenciadas pelo cliente** — O Amazon Managed Grafana oferece suporte ao uso de uma chave simétrica gerenciada pelo cliente que você cria, possui e gerencia para criptografar os dados em seu espaço de trabalho. Como você tem controle total dessa criptografia, é possível realizar tarefas como:
+ Estabelecer e manter as políticas de chave
+ Estabelecer e manter subsídios e IAM policies
+ Habilitar e desabilitar políticas de chaves
+ Alternar os materiais de criptografia de chave
+ Adicionar etiquetas
+ Criar réplicas de chaves
+ Chaves de agendamento para exclusão
Para obter mais informações, consulte [chaves gerenciadas pelo cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) no *Guia do AWS KMS desenvolvedor* e [O que é AWS KMS?](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)
Escolha se deseja usar as chaves gerenciadas pelo cliente ou as chaves AWS próprias com cuidado. Os espaços de trabalho criados com chaves gerenciadas pelo cliente não podem ser convertidos para usar chaves AWS próprias posteriormente (e vice-versa).
**nota**
O Amazon Managed Grafana habilita automaticamente a criptografia em repouso usando chaves AWS próprias para proteger seus dados sem nenhum custo.
No entanto, AWS KMS cobranças são cobradas pelo uso de uma chave gerenciada pelo cliente. Para saber mais sobre preços, consulte [Preços do AWS KMS](https://aws.amazon.com/kms/pricing/).
**Importante**
Se você desativar a chave gerenciada pelo cliente ou remover o acesso ao Amazon Managed Grafana na política de chaves, seu espaço de trabalho ficará inacessível. O espaço de trabalho permanecerá em um `ACTIVE` estado, mas estará funcionalmente indisponível. Você tem 7 dias para restaurar o acesso reativando a chave ou restaurando a política de chaves. Após 7 dias, o espaço de trabalho passará para um `FAILED` estado e só poderá ser excluído.
O agendamento de uma chave para exclusão AWS KMS tem um período mínimo de espera de 7 dias antes que a chave seja excluída. Depois que uma chave é excluída, ela não pode ser restaurada e qualquer espaço de trabalho criptografado com essa chave perderá permanentemente o acesso aos seus dados.
A criptografia de chave gerenciada pelo cliente só está disponível ao criar novos espaços de trabalho. Os espaços de trabalho existentes não podem ser convertidos para usar chaves gerenciadas pelo cliente.
Você não pode modificar a chave gerenciada pelo cliente de um espaço de trabalho após a criação.
## Como o Amazon Managed Grafana usa subsídios em AWS KMS
O Amazon Managed Grafana exige doações para usar sua chave gerenciada pelo cliente.
Quando você cria um espaço de trabalho do Amazon Managed Grafana criptografado com uma chave gerenciada pelo cliente, o Amazon Managed Grafana cria doações em seu nome enviando solicitações para. [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) AWS KMS As concessões AWS KMS são usadas para dar à Amazon Managed Grafana acesso à chave KMS em sua conta, mesmo quando não é chamada diretamente em seu nome (por exemplo, ao armazenar dados do painel ou configurações do usuário).
O Amazon Managed Grafana exige que os subsídios usem sua chave gerenciada pelo cliente para as seguintes operações internas:
+ Envie [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)solicitações para AWS KMS criar subsídios adicionais conforme necessário.
+ Envie [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)solicitações AWS KMS para verificar se a chave KMS simétrica gerenciada pelo cliente fornecida ao criar um espaço de trabalho é válida.
+ Envie [ReEncryptTo e ReEncryptFrom](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html) solicite que os dados AWS KMS sejam recriptografados ao alternar entre diferentes contextos de criptografia.
+ Envie solicitações do [Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html) AWS KMS para criptografar dados diretamente com sua chave gerenciada pelo cliente.
+ Envie solicitações de [descriptografia para AWS KMS descriptografar](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) as chaves de dados criptografadas para que elas possam ser usadas para criptografar seus dados.
+ Envie [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)solicitações AWS KMS para gerar chaves de dados criptografadas pela chave gerenciada pelo cliente.
+ Envie [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)solicitações AWS KMS para gerar chaves de dados criptografadas sem retornar a versão em texto simples.
+ Envie [RetireGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html)solicitações AWS KMS para bolsas de aposentadoria que não sejam mais necessárias.
O Amazon Managed Grafana cria concessões para a AWS KMS chave que permitem que o Amazon Managed Grafana use a chave em seu nome. É possível remover o acesso à chave alterando a política de chaves, desabilitando a chave ou revogando a concessão. É necessário entender as consequências dessas ações antes de executá-las. Isso pode causar perda de dados no espaço de trabalho.
Se você remover o acesso a qualquer uma das concessões de alguma forma, o Amazon Managed Grafana não poderá acessar nenhum dado criptografado pela chave gerenciada pelo cliente, nem armazenar novos dados enviados para o espaço de trabalho, o que afeta as operações que dependem desses dados. Novas atualizações no espaço de trabalho não estarão acessíveis e poderão ser perdidas permanentemente.
**Atenção**
Se você desativar a chave ou remover o acesso ao Amazon Managed Grafana na política de chaves, os dados do espaço de trabalho não estarão mais acessíveis. O espaço de trabalho permanecerá em um `ACTIVE` estado, mas estará funcionalmente indisponível. As novas atualizações enviadas para o espaço de trabalho não estarão acessíveis e poderão ser perdidas permanentemente. Você pode restaurar o acesso aos dados do espaço de trabalho e continuar recebendo novos dados reativando a chave ou restaurando o acesso do Amazon Managed Grafana à chave em 7 dias. Após 7 dias sem acesso, o espaço de trabalho passará para um `FAILED` estado.
Se você programar a chave para exclusão em AWS KMS, a chave será excluída após o período de espera obrigatório de 7 dias. Depois de excluída, a chave não pode ser restaurada e os dados do espaço de trabalho ficarão permanentemente inacessíveis.
Se você *revogar* uma concessão, ela não poderá ser recriada e os dados no espaço de trabalho serão perdidos permanentemente.
O Amazon Managed Grafana cria bolsas adicionais para crianças por meio do Amazon RDS devido à sua dependência do RDS para armazenamento de dados. A revogação dessas concessões relacionadas ao RDS terá o mesmo efeito permanente de perda de dados que a revogação das concessões primárias da Grafana.
## Etapa 1: criar uma chave gerenciada pelo cliente
Você pode criar uma chave simétrica gerenciada pelo cliente usando o AWS Management Console ou o. AWS KMS APIs A chave deve estar na mesma região do espaço de trabalho Amazon Managed Grafana e deve ser uma chave simétrica com o uso da chave. `ENCRYPT_DECRYPT`
**Para criar uma chave simétrica gerenciada pelo cliente**
+ Siga as etapas de [Criar uma chave simétrica gerenciada pelo cliente](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) no *Guia do desenvolvedor do AWS KMS *.
As políticas de chaves controlam o acesso à chave gerenciada pelo cliente. Cada chave gerenciada pelo cliente deve ter exatamente uma política de chaves, que contém declarações que determinam quem pode usar a chave e como pode usá-la. Ao criar a chave gerenciada pelo cliente, você pode especificar uma política de chaves. Para obter mais informações, consulte [Gerenciamento do acesso às chaves gerenciadas pelo cliente](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html#managing-access) no *Guia do desenvolvedor do AWS KMS *.
Para usar sua chave gerenciada pelo cliente com seus espaços de trabalho Amazon Managed Grafana, as seguintes operações de API devem ser permitidas na política de chaves:
+ [kms: CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) — Adiciona uma concessão a uma chave gerenciada pelo cliente. Concede acesso de controle a uma chave KMS especificada, que permite o acesso às [operações de concessão](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html#terms-grant-operations) exigidas pelo Amazon Managed Grafana. Para obter mais informações, consulte [Uso de concessões](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) no *Guia do desenvolvedor do AWS KMS *. Isso permite que o Amazon Managed Grafana faça o seguinte:
+ Ligue `GenerateDataKey` para gerar uma chave de dados criptografada e armazená-la.
+ Ligar para `Decrypt` para usar a chave de dados criptografada armazenada para acessar os dados criptografados.
+ [kms: DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) — Fornece os detalhes da chave gerenciada pelo cliente para permitir que o Amazon Managed Grafana valide a chave.
A seguir estão exemplos de declarações de política que você pode adicionar ao Amazon Managed Grafana:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Allow IAM Users and Roles to validate KMS key",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/root"
},
"Action": [
"kms:DescribeKey",
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": [
"grafana..amazonaws.com"
]
}
}
},
{
"Sid": "Allow IAM Users and Roles to create grant on KMS key",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/root"
},
"Action": "kms:CreateGrant",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": [
"grafana..amazonaws.com"
],
"kms:GrantConstraintType": "EncryptionContextSubset"
},
"ForAllValues:StringEquals": {
"kms:GrantOperations": [
"CreateGrant",
"RetireGrant",
"Decrypt",
"Encrypt",
"GenerateDataKey",
"GenerateDataKeyWithoutPlaintext",
"ReEncryptFrom",
"ReEncryptTo"
]
}
}
}
]
}
```
+ Para obter mais informações sobre a especificação de permissões em uma política, consulte o [Guia do desenvolvedor do AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/).
+ Para obter mais informações sobre como solucionar problemas de acesso à chave, consulte o [Guia do desenvolvedor do AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/).
## Etapa 2: Especificar uma chave gerenciada pelo cliente para o Amazon Managed Grafana
Ao criar um espaço de trabalho, você pode especificar a chave gerenciada pelo cliente inserindo um ARN da chave KMS, que o Amazon Managed Grafana usa para criptografar os dados armazenados pelo espaço de trabalho.
1. Abra o console do Amazon Managed Grafana em [https://console.aws.amazon.com/grafana/](https://console.aws.amazon.com/grafana/).
1. Selecione **Criar espaço de trabalho**.
1. Na seção **Criptografia**, selecione **Chave gerenciada pelo cliente**.
1. Insira o ARN da sua chave gerenciada pelo cliente no campo **ARN da chave KMS**.
1. Conclua a configuração restante do espaço de trabalho e escolha **Criar espaço de trabalho**.
Você pode especificar uma chave gerenciada pelo cliente ao criar um espaço de trabalho usando o `--kms-key-id` parâmetro:
```
aws grafana create-workspace \
--workspace-name "my-encrypted-workspace" \
--workspace-description "Workspace with customer managed encryption" \
--account-access-type "CURRENT_ACCOUNT" \
--authentication-providers "AWS_SSO" \
--permission-type "SERVICE_MANAGED" \
--kms-key-id "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
```
## Monitorando suas chaves de criptografia para Amazon Managed Grafana
Ao usar uma chave gerenciada pelo AWS KMS cliente com seus espaços de trabalho do Amazon Managed Grafana, você pode usar o AWS CloudTrail Amazon CloudWatch Logs para rastrear solicitações enviadas para o Amazon Managed Grafana. AWS KMS
Os exemplos a seguir são AWS CloudTrail eventos para`CreateGrant`, `DescribeKey``GenerateDataKey`, e `Decrypt` para monitorar operações KMS chamadas pelo Amazon Managed Grafana para acessar dados criptografados pela chave gerenciada pelo cliente:
Quando você usa uma chave gerenciada pelo AWS KMS cliente para criptografar seu espaço de trabalho, o Amazon Managed Grafana envia `CreateGrant` solicitações em seu nome para acessar a chave KMS que você especificou. As concessões que o Amazon Managed Grafana cria são específicas para o recurso associado à chave gerenciada pelo AWS KMS cliente.
O evento de exemplo a seguir registra uma operação `CreateGrant`:
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE-KEY-ID1",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-22T17:02:00Z"
}
},
"invokedBy": "grafana.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"retiringPrincipal": "grafana.amazonaws.com",
"operations": [
"CreateGrant",
"DescribeKey",
"ReEncryptTo",
"ReEncryptFrom",
"Encrypt",
"Decrypt",
"GenerateDataKey",
"GenerateDataKeyWithoutPlaintext",
"RetireGrant"
],
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"granteePrincipal": "grafana.amazonaws.com"
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```
O Amazon Managed Grafana usa a `DescribeKey` operação para verificar se a chave gerenciada pelo AWS KMS cliente associada ao seu espaço de trabalho existe na conta e na região.
O evento de exemplo a seguir registra a operação `DescribeKey`:
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE-KEY-ID1",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-22T17:02:00Z"
}
},
"invokedBy": "grafana.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DescribeKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"keyId": "00dd0db0-0000-0000-ac00-b0c000SAMPLE"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```
O Amazon Managed Grafana usa a `GenerateDataKey` operação para gerar chaves de dados que são usadas para criptografar dados do espaço de trabalho.
O evento de exemplo a seguir registra a operação `GenerateDataKey`:
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE-KEY-ID1",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-22T17:02:00Z"
}
},
"invokedBy": "grafana.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"keySpec": "AES_256"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```
O Amazon Managed Grafana usa a `Decrypt` operação para descriptografar chaves de dados criptografadas para que elas possam ser usadas para descriptografar dados do espaço de trabalho.
O evento de exemplo a seguir registra a operação `Decrypt`:
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLE-KEY-ID1",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "TESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-22T17:02:00Z"
}
},
"invokedBy": "grafana.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"encryptionContext": {
"aws:grafana:workspace-id": "g-1234567890abcdef0"
}
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```
## Saiba mais
Os recursos a seguir fornecem mais informações sobre a criptografia de dados em repouso.
+ Para obter mais informações sobre conceitos AWS KMS básicos, consulte o [Guia do AWS KMS desenvolvedor](https://docs.aws.amazon.com/kms/latest/developerguide/).
+ Para obter mais informações sobre as melhores práticas de segurança para AWS KMS, consulte o [Guia do AWS KMS desenvolvedor](https://docs.aws.amazon.com/kms/latest/developerguide/).