As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Criptografe automaticamente volumes novos e existentes do Amazon EBS
<a name="automatically-encrypt-existing-and-new-amazon-ebs-volumes"></a>

*Tony DeMarco e Josh Joy, Amazon Web Services*

## Resumo
<a name="automatically-encrypt-existing-and-new-amazon-ebs-volumes-summary"></a>

A criptografia de volumes do Amazon Elastic Block Store (Amazon EBS) é importante para a estratégia de proteção de dados de uma organização. É uma etapa importante no estabelecimento de um ambiente bem arquitetado. Embora não haja uma maneira direta de criptografar um volume ou um snapshot não criptografado existente, é possível criptografá-los criando um volume ou um snapshot. Para obter mais informações, consulte [Criptografar recursos do EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-parameters) na documentação da Amazon EC2 . Esse padrão fornece controles preventivos e de detecção para criptografar seus volumes do EBS, tanto novos quanto existentes. Nesse padrão, você define as configurações da conta, cria processos automatizados de remediação e implementa controles de acesso.

## Pré-requisitos e limitações
<a name="automatically-encrypt-existing-and-new-amazon-ebs-volumes-prereqs"></a>

**Pré-requisitos **
+ Uma conta ativa da Amazon Web Services (AWS)
+ [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) instalado e configurado em macOS, Linux ou Windows
+ [jq](https://stedolan.github.io/jq/download/), instalado e configurado em macOS, Linux ou Windows
+ As permissões do AWS Identity and Access Management (IAM) são provisionadas para ter acesso de leitura e gravação à AWS, CloudFormation Amazon Elastic Compute Cloud (Amazon EC2), AWS Systems Manager, AWS Config e AWS Key Management Service (AWS KMS)
+ O AWS Organizations está configurado com todos os atributos habilitados, um requisito para políticas de controle de serviços
+ O AWS Config está habilitado nas contas de destino

**Limitações**
+ Não deve haver regras do AWS Config denominadas **encrypted-volumes** em sua conta de destino da AWS. Essa solução implanta uma regra com esse nome. Regras preexistentes com esse nome podem causar falhas na implantação e resultar em cobranças desnecessárias relacionadas ao processamento da mesma regra mais de uma vez.
+ Essa solução criptografa todos os volumes do EBS com a mesma chave do AWS KMS.
+ Se você habilitar a criptografia de volumes do EBS para a conta, essa configuração será específica da região. Se você habilitá-lo para uma região da AWS, não poderá desabilitá-lo para volumes ou snapshots individuais nessa região. Para obter mais informações, consulte [Criptografia por padrão](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default) na EC2 documentação da Amazon.
+ Ao corrigir volumes do EBS existentes e não criptografados, certifique-se de que a EC2 instância não esteja em uso. Essa automação desativa a instância para separar o volume não criptografado e anexar o volume criptografado. Um tempo de inatividade ocorre enquanto a remediação está em andamento. Se essa for uma parte essencial da infraestrutura da sua organização, certifique-se de que as configurações [manuais](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/scenarios-enis.html#create-a-low-budget-high-availability-solution) ou [automáticas](https://docs.aws.amazon.com/autoscaling/ec2/userguide/what-is-amazon-ec2-auto-scaling.html) de alta disponibilidade estejam em vigor para não afetar a disponibilidade de nenhum aplicativo em execução na instância. Recomendamos que você corrija os recursos essenciais somente durante as janelas de manutenção padrão.

## Arquitetura
<a name="automatically-encrypt-existing-and-new-amazon-ebs-volumes-architecture"></a>

**Fluxo de trabalho de automação**

![\[Diagrama de arquitetura de alto nível mostrando o processo e os serviços de automação\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/images/pattern-img/484fd5fe-e10a-41f6-aafe-260ea824883b/images/483f551c-ca1d-4c1e-b3c7-989df7d3b059.png)


1. O AWS Config detecta um volume não criptografado do EBS.

1. Um administrador usa o AWS Config para enviar um comando de remediação ao Systems Manager.

1. A automação do Systems Manager cria um snapshot (instantâneo) do volume EBS não criptografado.

1. A automação do Systems Manager usa o AWS KMS para criar uma cópia criptografada do snapshot.

1. A automação do Systems Manager faz o seguinte:

   1. Interrompe a EC2 instância afetada se ela estiver em execução

   1. Anexa a nova cópia criptografada do volume à instância EC2 

   1. Retorna a EC2 instância ao seu estado original

## Ferramentas
<a name="automatically-encrypt-existing-and-new-amazon-ebs-volumes-tools"></a>

**Serviços da AWS**
+ [AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) — A AWS Command Line Interface (AWS CLI) fornece acesso direto às interfaces públicas de programação de aplicativos (APIs) dos serviços da AWS. Você pode explorar os recursos de um serviço com a AWS CLI e desenvolver scripts de shell para gerenciar seus recursos. Além dos comandos equivalentes à API de baixo nível, vários serviços da AWS fornecem personalizações para a AWS CLI. As personalizações podem incluir comandos de nível mais elevado que simplificam o uso de um serviço com uma API complexa.
+ [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html) — CloudFormation A AWS é um serviço que ajuda você a modelar e configurar seus recursos da AWS. Você cria um modelo que descreve todos os recursos da AWS que você deseja (como EC2 instâncias da Amazon) e CloudFormation provisiona e configura esses recursos para você.
+ [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html): o AWS Config oferece uma exibição detalhada da configuração dos recursos da AWS em sua conta da AWS. Isso inclui como os recursos estão relacionados um com o outro e como eles foram configurados no passado, de modo que você possa ver como os relacionamentos e as configurações foram alterados ao longo do tempo.
+ [Amazon EC2](https://docs.aws.amazon.com/ec2/?id=docs_gateway) — O Amazon Elastic Compute Cloud (Amazon EC2) é um serviço web que fornece capacidade de computação redimensionável que você usa para criar e hospedar seus sistemas de software.
+ [AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html): o AWS Key Management Service (AWS KMS) é um serviço de criptografia e gerenciamento de chave com escalabilidade para a nuvem. As chaves e funcionalidades do AWS KMS são usadas por outros serviços da AWS e você pode usá-las para proteger dados em seu ambiente da AWS.
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html): o AWS Organizations é um serviço de gerenciamento de contas que permite consolidar várias contas da AWS em uma organização que você cria e gerencia centralmente.
+ [AWS Systems Manager Automation](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html) — A automação do Systems Manager simplifica tarefas comuns de manutenção e implantação para EC2 instâncias da Amazon e outros recursos da AWS.

**Outros serviços**
+ [jq](https://stedolan.github.io/jq/download/): o jq é um processador JSON de linha de comando leve e flexível. Você usa essa ferramenta para extrair informações importantes da saída da AWS CLI.

**Código **
+ O código desse padrão está disponível no repositório de chaves GitHub [KMS do cliente para corrigir automaticamente volumes do EBS não criptografados](https://github.com/aws-samples/aws-system-manager-automation-unencrypted-to-encrypted-resources/tree/main/ebs).

## Épicos
<a name="automatically-encrypt-existing-and-new-amazon-ebs-volumes-epics"></a>

### Automatize a remediação de volumes não criptografados
<a name="automate-remediation-of-unencrypted-volumes"></a>


| Tarefa | Description | Habilidades necessárias | 
| --- | --- | --- | 
| Baixe scripts e CloudFormation modelos. | Baixe o script de shell, o arquivo JSON e os CloudFormation modelos do repositório de chaves KMS do [cliente para corrigir GitHub automaticamente volumes do EBS não criptografados](https://github.com/aws-samples/aws-system-manager-automation-unencrypted-to-encrypted-resources/tree/main/ebs). | Administrador AWS, Geral AWS | 
| Identifique o administrador da chave do AWS KMS. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/automatically-encrypt-existing-and-new-amazon-ebs-volumes.html) | Administrador AWS, Geral AWS | 
| Implante o modelo Stack1 CloudFormation . | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/automatically-encrypt-existing-and-new-amazon-ebs-volumes.html)Para obter mais informações sobre a implantação de um CloudFormation modelo, consulte Como [trabalhar com CloudFormation modelos da AWS](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/template-guide.html) na CloudFormation documentação. | Administrador AWS, Geral AWS | 
| Implante o modelo Stack2 CloudFormation . | Em CloudFormation, implante o `Stack2.yaml` modelo. Observe os seguintes detalhes de implantação:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/automatically-encrypt-existing-and-new-amazon-ebs-volumes.html) | Administrador AWS, Geral AWS | 
| Crie um volume não criptografado para testes. | Crie uma EC2 instância com um volume EBS não criptografado. Para obter instruções, consulte [Criar um volume do Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-creating-volume.html) na EC2 documentação da Amazon. O tipo de instância não importa e o acesso à instância não é necessário. Você pode criar uma instância t2.micro para permanecer no nível gratuito e não precisa criar um par de chaves. | Administrador AWS, Geral AWS | 
| Teste a regra do AWS Config. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/automatically-encrypt-existing-and-new-amazon-ebs-volumes.html)Você pode visualizar o progresso e o status da remediação no Systems Manager da seguinte forma:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/automatically-encrypt-existing-and-new-amazon-ebs-volumes.html) | Administrador AWS, Geral AWS | 
| Configure contas adicionais ou regiões da AWS. | Conforme necessário para seu caso de uso, repita esse épico para qualquer conta adicional ou região da AWS. | Administrador AWS, Geral AWS | 

### Habilite a criptografia em nível de conta dos volumes do EBS
<a name="enable-account-level-encryption-of-ebs-volumes"></a>


| Tarefa | Description | Habilidades necessárias | 
| --- | --- | --- | 
| Execute o script de habilitação. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/automatically-encrypt-existing-and-new-amazon-ebs-volumes.html) | Administrador AWS, Geral AWS, bash | 
| Confirme se as configurações estão atualizadas. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/automatically-encrypt-existing-and-new-amazon-ebs-volumes.html) | Administrador AWS, Geral AWS | 
| Configure contas adicionais ou regiões da AWS. | Conforme necessário para seu caso de uso, repita esse épico para qualquer conta adicional ou região da AWS. | Administrador AWS, Geral AWS | 

### Evite a criação de instâncias não criptografadas
<a name="prevent-creation-of-unencrypted-instances"></a>


| Tarefa | Description | Habilidades necessárias | 
| --- | --- | --- | 
| Crie uma política de controle de serviço. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/automatically-encrypt-existing-and-new-amazon-ebs-volumes.html) | Administrador AWS, Geral AWS | 

## Recursos relacionados
<a name="automatically-encrypt-existing-and-new-amazon-ebs-volumes-resources"></a>

**Documentação do serviço AWS**
+ [CLI da AWS](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html)
+ [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)
+ [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)
+ [Amazon EC2](https://docs.aws.amazon.com/ec2/?id=docs_gateway)
+ [AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)
+ [AWS Systems Manager Automation](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html)

**Outros recursos**
+ [manual do jq](https://stedolan.github.io/jq/manual/) (site jq)
+ [download jq](https://github.com/stedolan/jq) () GitHub