As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Etapa 5: (opcional) criptografe os arquivos de treinamento
<a name="su-encrypt-bucket"></a>

É possível escolher uma das seguintes opções para criptografar os arquivos de manifesto e os arquivos de imagem do Amazon Rekognition Custom Labels que estão em um bucket de console ou em um bucket externo do Amazon S3.
+ Use uma chave Amazon S3 ()SSE-S3.
+ Use o seu AWS KMS key. 
**nota**  
A [entidade principal do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html#intro-structure-principal%23intro-structure-principal) chamada precisa de permissões para descriptografar os arquivos. Para obter mais informações, consulte [Descriptografando arquivos criptografados com AWS Key Management Service](#su-kms-encryption).

Para obter informações sobre como criptografar um bucket do Amazon S3, consulte [Definir o comportamento da criptografia padrão do lado do servidor para os buckets do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-encryption.html).

## Descriptografando arquivos criptografados com AWS Key Management Service
<a name="su-kms-encryption"></a>

Se você usa AWS Key Management Service (KMS) para criptografar seus arquivos de manifesto e arquivos de imagem do Amazon Rekognition Custom Labels, adicione o principal do IAM que chama Amazon Rekognition Custom Labels à política de chaves da chave KMS. Isso permite que o Amazon Rekognition Custom Labels descriptografe seus arquivos de manifesto e de imagem antes do treinamento. Para obter mais informações, consulte [Meu bucket do Amazon S3 tem criptografia padrão usando uma chave do AWS KMS personalizada. Como permitir que os usuários baixem e façam upload para o bucket?](https://aws.amazon.com/premiumsupport/knowledge-center/s3-bucket-access-default-encryption/)

A entidade principal do IAM precisa das permissões a seguir na chave do KMS.
+ kms:GenerateDataKey
+ kms:Decrypt

Para obter mais informações, consulte [Proteção de dados usando Server-Side criptografia com chaves KMS armazenadas no AWS Key Management Service (SSE-KMS)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html).

## Como criptografar imagens copiadas de treinamento e teste
<a name="w2aab8c21c11"></a>

Para treinar seu modelo, o Amazon Rekognition Custom Labels faz uma cópia das imagens originais de treinamento e teste. Por padrão, as imagens copiadas são criptografadas em repouso com uma chave que a AWS possui e gerencia. Também é possível optar por usar a sua própria AWS KMS key. Se usa sua própria chave do KMS, precisará das permissões a seguir na chave do KMS.
+ kms:CreateGrant
+ kms:DescribeKey

Opcionalmente, especifique a chave KMS ao treinar o modelo com o console ou ao chamar a operação `CreateProjectVersion`. A chave KMS que você usa não precisa ser a mesma chave KMS que você usa para criptografar arquivos de manifesto e imagem em seu bucket do Amazon S3. Para obter mais informações, consulte [Etapa 5: (opcional) criptografe os arquivos de treinamento](#su-encrypt-bucket). 

Para obter mais informações, consulte [Conceitos do AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#master_keys). Suas imagens de origem não são afetadas.

Para obter informações sobre como treinar um modelo, consulte [Como treinar um modelo do Amazon Rekognition Custom Labels](training-model.md).