As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Crie um AWS Cloud9 IDE que usa volumes do Amazon EBS com criptografia padrão
<a name="create-an-aws-cloud9-ide-that-uses-amazon-ebs-volumes-with-default-encryption"></a>

*Janardhan Malyala e Dhrubajyoti Mukherjee, Amazon Web Services*

## Resumo
<a name="create-an-aws-cloud9-ide-that-uses-amazon-ebs-volumes-with-default-encryption-summary"></a>

**Aviso**: não AWS Cloud9 está mais disponível para novos clientes. Os clientes existentes do AWS Cloud9 podem continuar usando o serviço normalmente. [Saiba mais](https://aws.amazon.com/blogs/devops/how-to-migrate-from-aws-cloud9-to-aws-ide-toolkits-or-aws-cloudshell/)

É possível usar [criptografia por padrão](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default) para aplicar a criptografia de seus volumes e cópias de snapshots do Amazon Elastic Block Store (Amazon EBS) na Nuvem Amazon Web Services (AWS). 

Você pode criar um ambiente de desenvolvimento integrado (IDE) do AWS Cloud9 que usa volumes do EBS criptografados por padrão. No entanto, a [função vinculada ao serviço](https://docs.aws.amazon.com/cloud9/latest/user-guide/using-service-linked-roles.html) do AWS Identity and Access Management (IAM) para o AWS Cloud9 exige acesso à chave do AWS Key Management Service (AWS KMS) para esses volumes do EBS. Se o acesso não for fornecido, o IDE do AWS Cloud9 pode falhar ao iniciar e a depuração poderá ser difícil. 

Esse padrão fornece as etapas para adicionar a função vinculada ao serviço para AWS Cloud9 e para a chave do AWS KMS usada pelos volumes do EBS. A configuração descrita por esse padrão ajuda você a criar e iniciar com êxito um IDE que usa volumes do EBS com criptografia por padrão.

## Pré-requisitos e limitações
<a name="create-an-aws-cloud9-ide-that-uses-amazon-ebs-volumes-with-default-encryption-prereqs"></a>

**Pré-requisitos **
+ Uma conta AWS ativa
+ Criptografia padrão ativada para volumes do EBS. Para obter mais informações sobre criptografia por padrão, consulte a [criptografia do Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html) na documentação do Amazon Elastic Compute Cloud EC2 (Amazon).
+ Uma [chave KMS existente gerenciada pelo cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) para criptografar seus volumes do EBS.

**nota**  
Não é necessário criar o perfil associado ao serviço para o AWS Cloud9. Quando você cria um ambiente de desenvolvimento do AWS Cloud9, o AWS Cloud9 cria uma função vinculada ao serviço para você.

## Arquitetura
<a name="create-an-aws-cloud9-ide-that-uses-amazon-ebs-volumes-with-default-encryption-architecture"></a>

![\[Com o IDE do AWS Cloud9, é possível aplicar a criptografia de volumes e snapshots do EBS.\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/images/pattern-img/dd98fbb4-0949-4299-b701-bc857e13049c/images/6b22b8d1-75d9-4f06-b5d6-5fff7397f22d.png)


**Pilha de tecnologia**
+ AWS Cloud9
+ IAM
+ AWS KMS

## Ferramentas
<a name="create-an-aws-cloud9-ide-that-uses-amazon-ebs-volumes-with-default-encryption-tools"></a>
+ O [AWS Cloud9](https://docs.aws.amazon.com/cloud9/latest/user-guide/welcome.html) é um ambiente de desenvolvimento integrado (IDE) que ajuda você a codificar, criar, executar, testar e depurar software. Ele também ajuda você a lançar software na Nuvem AWS.
+ [O Amazon Elastic Block Store (Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AmazonEBS.html)) fornece volumes de armazenamento em nível de bloco para uso com instâncias do Amazon Elastic Compute Cloud (Amazon). EC2
+ O [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) ajuda você a gerenciar com segurança o acesso aos seus recursos da AWS, controlando quem está autenticado e autorizado a usá-los.
+ O [AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) ajuda você a criar e controlar chaves criptográficas para proteger seus dados.

## Épicos
<a name="create-an-aws-cloud9-ide-that-uses-amazon-ebs-volumes-with-default-encryption-epics"></a>

### Encontre o valor da chave de criptografia padrão
<a name="find-the-default-encryption-key-value"></a>


| Tarefa | Description | Habilidades necessárias | 
| --- | --- | --- | 
| Registre o valor da chave de criptografia padrão para os volumes do EBS.  | Faça login no AWS Management Console e abra o EC2 console da Amazon. Escolha **EC2 painel** e, em seguida, escolha **Proteção e segurança de dados** em **Atributos da conta**. Na seção **Criptografia do EBS**, copie e registre o valor da **Chave de criptografia padrão**. | Arquiteto de nuvem, DevOps engenheiro | 

### Forneça acesso à chave do AWS KMS
<a name="provide-access-to-the-aws-kms-key"></a>


| Tarefa | Description | Habilidades necessárias | 
| --- | --- | --- | 
| Forneça ao AWS Cloud9 acesso à chave KMS para volumes do EBS. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/create-an-aws-cloud9-ide-that-uses-amazon-ebs-volumes-with-default-encryption.html)Para obter mais informações sobre a atualização de uma política de chaves, consulte [Como alterar uma política de chaves](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html#key-policy-modifying-how-to) (documentação do AWS KMS).O perfil vinculado ao serviço para o AWS Cloud9 é criado automaticamente quando você inicia seu primeiro IDE. Para obter mais informações, consulte [Criar uma função vinculada ao serviço](https://docs.aws.amazon.com/cloud9/latest/user-guide/using-service-linked-roles.html#create-service-linked-role) na documentação do AWS Cloud9.  | Arquiteto de nuvem, DevOps engenheiro | 

### Crie e inicie o IDE
<a name="create-and-launch-the-ide"></a>


| Tarefa | Description | Habilidades necessárias | 
| --- | --- | --- | 
| Crie e inicie o IDE do AWS Cloud9. | **Abra o console do AWS Cloud9 e escolha Criar ambiente.** ****Configure o IDE de acordo com seus requisitos seguindo as etapas de [Criação de um EC2 ambiente](https://docs.aws.amazon.com/cloud9/latest/user-guide/create-environment-main.html) na documentação do AWS Cloud9.  | Arquiteto de nuvem, DevOps engenheiro | 

## Recursos relacionados
<a name="create-an-aws-cloud9-ide-that-uses-amazon-ebs-volumes-with-default-encryption-resources"></a>
+ [Criptografe volumes do EBS usados pelo AWS Cloud9](https://docs.aws.amazon.com/cloud9/latest/user-guide/move-environment.html#encrypting-volumes)
+ [Criar um perfil vinculado a serviço para o AWS Cloud9](https://docs.aws.amazon.com/cloud9/latest/user-guide/using-service-linked-roles.html#create-service-linked-role)
+ [Crie um EC2 ambiente no AWS Cloud9](https://docs.aws.amazon.com/cloud9/latest/user-guide/create-environment-main.html)

## Mais informações
<a name="create-an-aws-cloud9-ide-that-uses-amazon-ebs-volumes-with-default-encryption-additional"></a>

**Atualizações da política de chave do AWS KMS**

Substitua `<aws_accountid>` pelo seu ID de conta da AWS.

```
{
            "Sid": "Allow use of the key",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::<aws_accountid>:role/aws-service-role/cloud9.amazonaws.com/AWSServiceRoleForAWSCloud9"
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        },
        {
            "Sid": "Allow attachment of persistent resources",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::<aws_accountid>:role/aws-service-role/cloud9.amazonaws.com/AWSServiceRoleForAWSCloud9"
            },
            "Action": [
                "kms:CreateGrant",
                "kms:ListGrants",
                "kms:RevokeGrant"
            ],
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "kms:GrantIsForAWSResource": "true"
                }
            }
        }
```

**Como usar uma chave entre contas**

Se você desejar usar uma chave do KMS entre contas, deve empregar uma concessão em combinação com a política de chave do KMS. Isso permite o acesso entre contas à chave. Na mesma conta que você usou para criar o ambiente do Cloud9, execute o comando apresentado a seguir no terminal.

```
aws kms create-grant \
 --region <Region where Cloud9 environment is created> \
 --key-id <The cross-account KMS key ARN> \
 --grantee-principal arn:aws:iam::<The account where Cloud9 environment is created>:role/aws-service-role/cloud9.amazonaws.com/AWSServiceRoleForAWSCloud9 \
 --operations "Encrypt" "Decrypt" "ReEncryptFrom" "ReEncryptTo" "GenerateDataKey" "GenerateDataKeyWithoutPlaintext" "DescribeKey" "CreateGrant"
```

Após executar este comando, será possível criar ambientes do Cloud9 usando a criptografia do EBS com uma chave pertencente a outra conta.