As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Configuração da criptografia de tópicos do Amazon SNS com assinatura criptografada de filas do Amazon SQS
<a name="sns-enable-encryption-for-topic-sqs-queue-subscriptions"></a>

Você pode habilitar a criptografia no lado do servidor (SSE) para um tópico com o intuito de proteger seus dados. Para permitir que o Amazon SNS envie mensagens para filas do Amazon SQS criptografadas, a chave mestra de cliente (CMK) associada à fila do Amazon SQS deve ter uma declaração de política que conceda ao Amazon SNS o acesso principal ao serviço para as ações da API do AWS KMS , `GenerateDataKey` e `Decrypt`. Para obter mais informações sobre como usar a SSE, consulte [Segurança dos dados do Amazon SNS com a criptografia do lado do servidor](sns-server-side-encryption.md).

Este tópico explica como é possível habilitar o SSE para um tópico do Amazon SNS com uma fila criptografada do Amazon SQS usando o Console de gerenciamento da AWS.

## Etapa 1: como criar uma chave do KMS
<a name="create-custom-cmk"></a>

1. Faça login no [console do AWS KMS](https://console.aws.amazon.com/kms/) com um usuário que tenha pelo menos a política `AWSKeyManagementServicePowerUser`.

1. Escolha **Criar uma chave**.

1. Para criar uma chave do KMS de criptografia simétrica, em **Tipo de chave**, selecione **Simétrica**.

   Para obter informações sobre como criar uma chave do KMS assimétrica no console do AWS KMS , consulte [Criar chaves do KMS assimétricas (console)](https://docs.aws.amazon.com/kms/latest/developerguide/asymm-create-key.html#create-asymmetric-keys-console).

1. Em **Uso da chave**, a opção **Criptografar e descriptografar** é selecionada para você.

   Para obter informações sobre como criar chaves do KMS que geram e verificam códigos MAC, consulte [Criar chaves do KMS de HMAC](https://docs.aws.amazon.com/kms/latest/developerguide/hmac-create-key.html).

   Para obter mais informações sobre as **opções avançadas**, consulte [Chaves para fins especiais](https://docs.aws.amazon.com/kms/latest/developerguide/key-types.html).

1. Escolha **Próximo**.

1. Digite um alias para a chave do KMS. O nome do alias não pode começar com **aws/**. O **aws/** prefixo é reservado pela Amazon Web Services para representar Chaves gerenciadas pela AWS em sua conta.
**nota**  
Adicionar, excluir ou atualizar um alias pode conceder ou negar uma permissão à chave do KMS. Para obter detalhes, consulte [ABAC para AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/abac.html) e [Uso de aliases para controlar o acesso às chaves do KMS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#hmac-key-concept).

   Um alias é um nome de exibição que identifica a chave do KMS. Recomendamos que você escolha um alias que indique o tipo de dados que pretende proteger ou a aplicação a ser usada com a chave do KMS.

   Aliases são necessários ao criar uma chave do KMS no Console de gerenciamento da AWS. Eles são opcionais quando você usa a [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operação.

1. (Opcional) Digite uma descrição para a chave do KMS.

   Você pode adicionar uma descrição agora ou atualizá-la a qualquer momento, a não ser que o [estado da chave](https://docs.aws.amazon.com/kms/latest/developerguide/key-state.html) seja `Pending Deletion` ou `Pending Replica Deletion`. Para adicionar, alterar ou excluir a descrição de uma chave gerenciada pelo cliente existente, [edite a descrição](https://docs.aws.amazon.com/kms/latest/developerguide/editing-keys.html) na operação Console de gerenciamento da AWS ou use a [UpdateKeyDescription](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateKeyDescription.html)operação.

1. (Opcional) Digite uma chave de tag e um valor de tag opcional. Para adicionar mais de uma etiqueta à chave do KMS, selecione **Adicionar tag**.
**nota**  
Marcar ou desmarcar uma chave do KMS pode conceder ou negar uma permissão a essa chave do KMS. Para obter detalhes, consulte [ABAC para AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/abac.html) e [Uso de tags para controlar o acesso às chaves do KMS](https://docs.aws.amazon.com/kms/latest/developerguide/tag-authorization.html).

   Quando você adiciona tags aos seus AWS recursos, AWS gera um relatório de alocação de custos com uso e custos agregados por tags. Tags também podem ser utilizadas para controlar o acesso a uma chave do KMS. Para informações sobre marcação de chaves do KMS, consulte [Marcação de chaves](https://docs.aws.amazon.com/kms/latest/developerguide/tagging-keys.html) e [ABAC para AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/abac.html).

1. Escolha **Próximo**.

1. Selecione os usuários e as funções do IAM que podem administrar a chave do KMS.
**nota**  
Essa política de chaves dá o controle Conta da AWS total dessa chave KMS. Ela permite que os administradores de conta usem políticas do IAM para conceder a outras entidades principais a permissão para gerenciar a chave do KMS. Para obter mais detalhes, consulte [Política de chaves padrão](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-default.html).  
   
As práticas recomendadas do IAM não encorajam o uso de usuários do IAM com credenciais de longo prazo. Sempre que possível, use os perfis do IAM, por fornecerem credenciais temporárias. Para obter detalhes, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no Guia do usuário do IAM.

1. (Opcional) Para evitar que os usuários e funções do IAM selecionados excluam essa chave do KMS, na seção **Exclusão de chaves** na parte inferior da página, desmarque a caixa de seleção **Permitir que os administradores de chaves excluam essa chave**.

1. Escolha **Próximo**.

1. Selecione os usuários e os perfis do IAM que podem usar a chave em [operações de criptografia](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#cryptographic-operations). Escolha **Próximo**.

1. Na página **Revisar e editar política de chaves**, adicione a seguinte instrução à política de chaves e, em seguida, escolha **Concluir**.

   ```
   {
       "Sid": "Allow Amazon SNS to use this key",
       "Effect": "Allow",
       "Principal": {
           "Service": "sns.amazonaws.com"
       },
       "Action": [
           "kms:Decrypt",
           "kms:GenerateDataKey*"
       ],
       "Resource": "*"
   }
   ```

Sua nova chave gerenciada pelo cliente será exibida na lista de chaves.

## Etapa 2: como criar um tópico do Amazon SNS criptografado
<a name="create-encrypted-topic"></a>

1. Faça login no [console do Amazon SNS](https://console.aws.amazon.com/sns/home).

1. No painel de navegação, escolha **Tópicos**.

1. Escolha **Criar tópico**.

1. Na página **Criar novo tópico**, em **Nome**, digite um nome para o tópico (por exemplo, `MyEncryptedTopic`) e escolha **Criar tópico**.

1. Expanda a seção **Criptografia** e faça o seguinte: 

   1. Escolha **Habilitar criptografia no lado do servidor**.

   1. Especifique a chave gerenciada pelo cliente. Para obter mais informações, consulte [Principais termos](sns-server-side-encryption.md#sse-key-terms).

      Para cada tipo de chave gerenciada pelo cliente, a **Descrição**, a **Conta** e o **ARN** da chave gerenciada pelo cliente são exibidos.
**Importante**  
Se você não for o proprietário da chave gerenciada pelo cliente ou se fizer login com uma conta que não tenha as permissões `kms:ListAliases` e `kms:DescribeKey`, não será possível visualizar as informações sobre a chave gerenciada pelo cliente no console do Amazon SNS.  
Peça ao proprietário da chave gerenciada pelo cliente para conceder essas permissões a você. Para obter mais informações, consulte [Permissões da API do KMS: referência de ações e recursos do AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/kms-api-permissions-reference.html) no *Guia do desenvolvedor do AWS Key Management Service *.

   1. Para a **chave gerenciada pelo cliente**, escolha a **MyCustomKey**[que você criou anteriormente](#create-custom-cmk) e, em seguida, escolha **Ativar criptografia do lado do servidor**.

1. Escolha **Salvar alterações**.

   O SSE está ativado para seu tópico e a **MyTopic**página é exibida.

   O status de **Criptografia**, a **Conta da AWS **, a **Chave mestra do cliente**, o **ARN** e a **Descrição** do tópico são exibidos na guia **Criptografia**.

Seu novo tópico criptografado será exibido na lista de tópicos.

## Etapa 3: como criar e se inscrever em filas criptografadas do Amazon SQS
<a name="create-encrypted-queue"></a>

1. Faça login no [console do Amazon SQS](https://console.aws.amazon.com/sqs/).

1. Selecione **Criar nova fila**.

1. Na página **Create New Queue (Criar nova fila)**, faça o seguinte:

   1. Insira um **Queue Name (Nome da fila)** (por exemplo, `MyEncryptedQueue1`).

   1. Escolha **Standard Queue (Fila padrão)** e, em seguida, escolha **Configure Queue (Configurar fila)**.

   1. Selecione **Use SSE (Usar SSE)**.

   1. Para **AWS KMS key**, escolha **MyCustomKey**[o que você criou anteriormente](#create-custom-cmk) e, em seguida, escolha **Criar fila**.

1. Repita o processo para criar uma segunda fila (por exemplo, chamada `MyEncryptedQueue2`).

   Suas novas filas criptografadas serão exibidas na lista de filas.

1. No console do Amazon SQS, selecione `MyEncryptedQueue1` e `MyEncryptedQueue2`, e escolha **Queue Actions** (Ações da fila), **Subscribe Queues to SNS Topic** (Inscrever filas em um tópico do SNS).

1. Na caixa de diálogo **Inscrever-se em um tópico**, em **Escolher um tópico **MyEncryptedTopic****, selecione e, em seguida, escolha **Inscrever-se**.

   Suas inscrições das filas criptografadas para o seu tópico criptografado são exibidas na caixa de diálogo **Resultado de inscrição do tópico**.

1. Escolha **OK**.

## Etapa 4: como publicar uma mensagem no seu tópico criptografado
<a name="publish-to-encrypted-topic"></a>

1. Faça login no [console do Amazon SNS](https://console.aws.amazon.com/sns/home).

1. No painel de navegação, escolha **Tópicos**.

1. Na lista de tópicos, escolha **MyEncryptedTopic**e, em seguida, escolha **Publicar mensagem**.

1. Na página **Publicar uma mensagem**, faça o seguinte:

   1. (Opcional) Na seção **Detalhes da mensagem**, insira o **Assunto** (por exemplo, `Testing message publishing`).

   1. Na seção **Corpo da mensagem**, insira o corpo da mensagem (por exemplo, `My message body is encrypted at rest.`).

   1. Selecione **Publish message (Publicar mensagem)**.

Sua mensagem será publicada nas suas filas criptografadas inscritas.

## Etapa 5: como verificar entrega de mensagens
<a name="verify-message-delivery"></a>

1. Faça login no [console do Amazon SQS](https://console.aws.amazon.com/sqs/).

1. Na lista de filas, escolha **MyEncryptedQueue1** e, em seguida, escolha **Enviar e receber mensagens**.

1. Na página **Enviar e receber mensagens em MyEncryptedQueue 1**, escolha **Sondagem de mensagens**.

   A mensagem [que você enviou anteriormente](#publish-to-encrypted-topic) será exibida.

1. Escolha **Mais detalhes** para visualizar sua mensagem.

1. Quando terminar, escolha **Fechar**.

1. Repita o processo para **MyEncryptedQueue2**.