As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Como o Amazon Elastic Block Store (Amazon EBS) usa AWS KMS
<a name="services-ebs"></a>

Este tópico discute em detalhes como o [Amazon Elastic Block Store (Amazon EBS) usa AWS KMS para criptografar volumes](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AmazonEBS.html) e snapshots. Para obter instruções básicas sobre a criptografia de volumes do Amazon EBS, consulte [Criptografia do Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html).

**Topics**
+ [Criptografia de Amazon EBS](#ebs-encrypt)
+ [Usar chaves do KMS e chaves de dados](#ebs-cmk)
+ [Contexto de criptografia do Amazon EBS](#ebs-encryption-context)
+ [Detectar falhas do Amazon EBS](#ebs-failures)
+ [Usando AWS CloudFormation para criar volumes criptografados do Amazon EBS](#ebs-encryption-using-cloudformation)

## Criptografia de Amazon EBS
<a name="ebs-encrypt"></a>

Quando você anexa um volume do Amazon EBS criptografado a um [tipo de instância do Amazon Elastic Compute Cloud (Amazon EC2) com suporte](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption-requirements.html#ebs-encryption_supported_instances), os dados são armazenados em repouso no volume, E/S de disco e snapshots criados do volume são todos criptografados. A criptografia ocorre nos servidores que hospedam instâncias do Amazon EC2.

Esse recurso tem suporte em todos os [tipos de volume do Amazon EBS](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption-requirements.html#ebs-encryption-volume-types). Você acessa os volumes criptografados da mesma forma que acessa outros volumes; a criptografia e a descriptografia são manipuladas de forma transparente e elas não exigem ações adicionais de você, sua instância do EC2 ou sua aplicação. Snapshots de volumes criptografados são criptografados automaticamente, e os volumes que são criados dos snapshots criptografados também são criptografados automaticamente.

O status da criptografia de um volume do EBS é determinado quando você cria o volume. Não é possível alterar o status de criptografia de um volume existente. No entanto, você pode [migrar dados](https://docs.aws.amazon.com//ebs/latest/userguide/how-ebs-encryption-works.html) entre os volumes criptografados e não criptografados, e aplicar um novo status de criptografia enquanto copia um snapshot.

Por padrão, o Amazon EBS é compatível com criptografia opcional. Você pode ativar a criptografia automaticamente em todos os novos volumes e cópias de snapshot do EBS na sua região Conta da AWS . Essa configuração não afeta volumes ou snapshots existentes. Para obter mais informações, consulte [Amazon EBS encryption](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default) no *Amazon EBS User Guide*.

## Usar chaves do KMS e chaves de dados
<a name="ebs-cmk"></a>

Ao [criar um volume do Amazon EBS criptografado](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-creating-volume.html), você especifica uma AWS KMS key. Por padrão, o Amazon EBS usa a [Chave gerenciada pela AWS](concepts.md#aws-managed-key) para o Amazon EBS na sua conta (`aws/ebs`). No entanto, você pode especificar uma [chave gerenciada pelo cliente](concepts.md#customer-mgn-key) que você cria e gerencia. 

Para usar uma chave gerenciada pelo cliente, você deve dar ao Amazon EBS a permissão para usar a chave do KMS em seu nome. Para obter mais informações, consulte [How Amazon EBS encryption works](https://docs.aws.amazon.com//ebs/latest/userguide/how-ebs-encryption-works.html) no *Amazon EBS User Guide*.

**Importante**  
O Amazon EBS oferece suporte somente para [chaves do KMS simétricas](symm-asymm-choose-key-spec.md#symmetric-cmks). Não é possível usar uma [chave do KMS assimétrica](symmetric-asymmetric.md) para criptografar um volume do Amazon EBS. Para obter ajuda para determinar se uma chave do KMS é simétrica ou assimétrica, consulte [Identificar diferentes tipos de chaves](identify-key-types.md).

Para cada volume, o Amazon EBS solicita AWS KMS a geração de uma chave de dados exclusiva criptografada sob a chave KMS que você especificar. O Amazon EBS armazena a chave de dados criptografada com o volume. Então, quando você anexa o volume a uma instância do Amazon EC2, o Amazon EBS liga AWS KMS para descriptografar a chave de dados. O Amazon EBS usa a chave de dados de texto simples na memória do hipervisor para criptografar todo o disco no volume. I/O Para obter detalhes, consulte *Funcionamento da criptografia do EBS* no [Guia do usuário do Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#how-ebs-encryption-works) ou no [Guia do usuário do Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EBSEncryption.html#how-ebs-encryption-works).

## Contexto de criptografia do Amazon EBS
<a name="ebs-encryption-context"></a>

Em suas solicitações [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext)e [Decrypt para](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html), o AWS KMS Amazon EBS usa um contexto de criptografia com um par de nome-valor que identifica o volume ou o snapshot na solicitação. O nome no contexto de criptografia não varia.

Um [contexto de criptografia](encrypt_context.md) é um conjunto de pares de chave-valor que contêm dados arbitrários não secretos. Quando você inclui um contexto de criptografia em uma solicitação para criptografar dados, vincula AWS KMS criptograficamente o contexto de criptografia aos dados criptografados. Para descriptografar os dados, é necessário passar o mesmo contexto de criptografia.

Para todos os volumes e para snapshots criptografados criados com a [CreateSnapshot](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateSnapshot.html)operação do Amazon EBS, o Amazon EBS usa o ID do volume como valor do contexto de criptografia. No campo `requestParameters` de uma entrada de log do CloudTrail, o contexto de criptografia é parecido com o seguinte:

```
"encryptionContext": {
  "aws:ebs:id": "vol-0cfb133e847d28be9"
}
```

Para snapshots criptografados criados com a operação do Amazon [CopySnapshot](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CopySnapshot.html)EC2, o Amazon EBS usa o ID do snapshot como valor de contexto de criptografia. No campo `requestParameters` de uma entrada de log do CloudTrail, o contexto de criptografia é parecido com o seguinte:

```
"encryptionContext": {
  "aws:ebs:id": "snap-069a655b568de654f"
}
```

## Detectar falhas do Amazon EBS
<a name="ebs-failures"></a>

Para criar um volume do EBS criptografado ou anexar o volume a uma instância do EC2, o Amazon EBS e a infraestrutura do Amazon EC2 devem poder usar a chave do KMS especificada para a criptografia de volume do EBS. Quando a chave do KMS não pode ser utilizada, por exemplo, quando seu [estado de chave](key-state.md) não está `Enabled`, há falha na criação ou na anexação do volume.

 Nesse caso, o Amazon EBS envia um *evento* para a Amazon EventBridge (antigo CloudWatch Events) para notificá-lo sobre a falha. Em EventBridge, você pode estabelecer regras que acionam ações automáticas em resposta a esses eventos. Para obter mais informações, consulte [ CloudWatch Eventos da Amazon para Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-cloud-watch-events.html) no *Guia do usuário do Amazon EBS*, especialmente nas seguintes seções:
+ [Chave de criptografia inválida em Anexar ou reanexar volume](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-cloud-watch-events.html#attach-fail-key)
+ [Chave de criptografia inválida em Criar volume](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-cloud-watch-events.html#create-fail-key)

Para corrigir essas falhas, verifique se a chave do KMS especificada para criptografia do volume do EBS está habilitada. Para fazer isso, primeiro [visualize a chave KMS](viewing-keys.md) para determinar o estado atual da chave (a coluna **Status** no Console de gerenciamento da AWS). Veja as informações em um dos links a seguir:
+ Se o estado da chave do KMS estiver desabilitado, [habilite-o](enabling-keys.md).
+ Se o estado da chave do KMS for importação pendente, [importe material de chave](importing-keys.md).
+ Se o estado de chave da chave do KMS for exclusão pendente, [cancele a exclusão da chave](deleting-keys-scheduling-key-deletion.md).

## Usando AWS CloudFormation para criar volumes criptografados do Amazon EBS
<a name="ebs-encryption-using-cloudformation"></a>

Você pode usar o [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/) para criar volumes criptografados do Amazon EBS. Consulte mais informações em [AWS::EC2::Volume](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-ec2-ebs-volume.html) no *Guia de Usuário AWS CloudFormation *.