# Usar o Operações em Lote para habilitar chaves de bucket do S3 para SSE-KMS
<a name="batch-ops-copy-example-bucket-key"></a>

As chaves de bucket do S3 reduzem o custo da criptografia do lado do servidor com o AWS Key Management Service (AWS KMS) (SSE-KMS), diminuindo assim o tráfego de solicitações do Amazon S3 para o AWS KMS. Para obter mais informações, consulte [Redução do custo do SSE-KMS com chaves de bucket do Amazon S3](bucket-key.md) e [Configurando seu bucket para usar uma chave de bucket do S3 com SSE-KMS para novos objetos](configuring-bucket-key.md). Ao executar uma operação `CopyObject` usando a API REST, SDKs da AWS ou a AWS CLI, você pode habilitar ou desabilitar uma chave de bucket do S3 no nível do objeto adicionando o cabeçalho de solicitação `x-amz-server-side-encryption-bucket-key-enabled` com um valor `true` ou `false`. 

Quando você configura uma chave de bucket do S3 para um objeto usando uma operação `CopyObject`, o Amazon S3 atualiza somente as configurações para esse objeto. As configurações da chave de bucket S3 para o bucket de destino não são alteradas. Se você enviar uma solicitação `CopyObject` para um objeto criptografado pelo AWS KMS em um bucket com as chaves de bucket do S3 habilitadas, as operações no nível do objeto vão usar automaticamente as chaves de bucket do S3, a menos que você desabilite as chaves no cabeçalho da solicitação. Se você não especificar uma chave de bucket do S3 para seu objeto, o Amazon S3 aplicará as configurações da chave de bucket do S3 para o bucket de destino ao objeto.

Para criptografar objetos existentes do Amazon S3, você pode usar o Operações em Lote do S3. É possível usar a **operação Copy do Batch Operations** para copiar objetos não criptografados existentes e gravá-los de volta no mesmo bucket que os objetos criptografados. Consulte mais informações em [Encrypting objects with Amazon S3 Batch Operations](https://aws.amazon.com/blogs/storage/encrypting-objects-with-amazon-s3-batch-operations/) no Blog de armazenamento da AWS.

No exemplo a seguir, você usa a operação **Copiar** do Operações em Lote para habilitar chaves de bucket do S3 em objetos existentes. Para ter mais informações, consulte [Configurar uma chave de bucket do S3 no nível de objeto](configuring-bucket-key-object.md).

**Topics**
+ [Considerações sobre o uso do Operações em Lote do S3 para criptografar objetos com chaves de bucket do S3 habilitadas](#bucket-key-ex-things-to-note)
+ [Pré-requisitos](#bucket-key-ex-prerequisites)
+ [Etapa 1: obter a lista de objetos usando o Amazon S3 Inventory](#bucket-key-ex-get-list-of-objects)
+ [Etapa 2: Filtrar sua lista de objetos com S3 Select](#bucket-key-ex-filter-object-list-with-s3-select)
+ [Etapa 3: Configurar e executar o trabalho do S3 Batch Operations](#bucket-key-ex-setup-and-run-job)

## Considerações sobre o uso do Operações em Lote do S3 para criptografar objetos com chaves de bucket do S3 habilitadas
<a name="bucket-key-ex-things-to-note"></a>

Considere os seguintes problemas ao usar o Operações em Lote do S3 para criptografar objetos com chaves de bucket do S3 habilitadas:
+ Você será cobrado por trabalhos, objetos e solicitações das Operações em Lote do S3, além de quaisquer encargos associados à operação que as Operações em Lote do S3 executa em seu nome, como transferência de dados, solicitações e outras cobranças. Para obter mais informações, consulte [Definição de preço do Amazon S3](https://aws.amazon.com/s3/pricing).
+ Se você usar um bucket versionado, cada trabalho do S3 Batch Operations executado criará novas versões criptografadas de seus objetos. Ele também mantém as versões anteriores sem chave do bucket do S3 configurada. Para excluir as versões antigas, configure uma política de expiração do ciclo de vida do S3 para versões não atuais, conforme descrito em [Elementos de configuração do ciclo de vida](intro-lifecycle-rules.md).
+ A operação de cópia cria novos objetos com novas datas de criação, o que pode afetar ações do ciclo de vida, como arquivamento. Se você copiar todos os objetos em seu bucket, todas as novas cópias terão datas de criação idênticas ou semelhantes. Para identificar esses objetos e criar regras de ciclo de vida diferentes para vários subconjuntos de dados, considere o uso de tags de objeto. 

## Pré-requisitos
<a name="bucket-key-ex-prerequisites"></a>

Antes de configurar os objetos para usar uma chave de bucket do S3, consulte [Alterações na observação antes de habilitar uma chave de bucket do S3](bucket-key.md#bucket-key-changes). 

Para usar esse exemplo, é necessário ter uma Conta da AWS e pelo menos um bucket do S3 para manter os arquivos de trabalho e os resultados criptografados. Você também pode achar grande parte da documentação existente do S3 Batch Operations útil, incluindo os seguintes tópicos:
+ [Conceitos básicos sobre operações em lote do S3](batch-ops.md#batch-ops-basics)
+ [Criar um trabalho de operações em lote do S3](batch-ops-create-job.md)
+ [Operações suportadas pelo S3 Batch Operations](batch-ops-operations.md)
+ [Gerenciar trabalhos de operações em lote do S3](batch-ops-managing-jobs.md)

## Etapa 1: obter a lista de objetos usando o Amazon S3 Inventory
<a name="bucket-key-ex-get-list-of-objects"></a>

Para começar, identifique o bucket do S3 que contém os objetos a serem criptografados e obtenha uma lista de seu conteúdo. Um relatório do Amazon S3 Inventory é a maneira mais conveniente e acessível de fazer isso. O relatório fornece a lista dos objetos em um bucket, juntamente com os metadados associados. Nessa etapa, o bucket de origem é o bucket inventariado, e o bucket de destino é o bucket onde você armazena o arquivo de relatório de inventário. Para obter mais informações sobre os buckets de origem e destino do inventário do Amazon S3, consulte [Catalogar e analisar seus dados com o Inventário S3](storage-inventory.md).

A maneira mais fácil de configurar um inventário é usando o Console de gerenciamento da AWS. Mas você também pode usar a API REST, AWS Command Line Interface (AWS CLI) ou AWS SDKs. Antes de seguir essas etapas, faça login no console e abra o console do Amazon S3 em [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/). Se você encontrar erros de permissão negada, adicione uma política de bucket ao bucket de destino. Para ter mais informações, consulte [Conceder permissões para o Inventário do S3 e análises do S3](example-bucket-policies.md#example-bucket-policies-s3-inventory-1).

**Para obter uma lista de objetos usando o S3 Inventory**

1. Abra o console do Amazon S3, em [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).

1. No painel de navegação à esquerda, selecione **Buckets** e escolha um bucket que contém objetos para criptografar.

1. Na guia **Management** (Gerenciamento), navegue para a seção **Inventory configurations** (Configurações de inventário) e escolha **Create inventory configuration** (Criar configuração de inventário).

1. Dê um nome ao seu novo inventário, insira o nome do bucket S3 de destino e, opcionalmente, crie um prefixo de destino para que o Amazon S3 atribua objetos nesse bucket.

1. Em **Output format** (Formato de saída), escolha **CSV**.

1. (Opcional) Na seção **Campos adicionais: *opcional***, selecione **Criptografia** e quaisquer outros campos de relatórios de seu interesse. Defina a frequência das entregas de relatório como **Daily** (Diariamente) para que o primeiro relatório seja entregue ao seu bucket mais cedo.

1. Selecione **Create** (Criar) para salvar suas configurações.

O Amazon S3 pode demorar até 48 horas para entregar o primeiro relatório, portanto, verifique quando o primeiro relatório chegar. Depois de receber seu primeiro relatório, vá para a próxima etapa para filtrar o conteúdo do relatório do Inventário S3. Se não desejar mais receber relatórios de inventário para esse bucket, exclua a configuração do S3 Inventory. Caso contrário, o Amazon S3 continuará entregando relatórios em uma programação diária ou semanal.

Uma lista de inventário não é uma única visualização point-in-time de todos os objetos. As listas de inventário são um snapshot de contínuo de itens do bucket que são consistentes no final (ou seja, a lista pode não incluir os objetos adicionados ou excluídos recentemente). A combinação do S3 Inventory e S3 Batch Operations funciona melhor quando você trabalha com objetos estáticos ou com um conjunto de objetos criado há dois ou mais dias. Para trabalhar com dados mais recentes, use a operação de API [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html) (`GET` bucket) para criar a lista de objetos manualmente. Se necessário, repita o processo nos próximos dias ou até que o relatório de inventário mostre o status desejado para todos os objetos.

## Etapa 2: Filtrar sua lista de objetos com S3 Select
<a name="bucket-key-ex-filter-object-list-with-s3-select"></a>

Depois de receber o relatório do Inventário S3, você poderá filtrar o conteúdo do relatório para listar somente os objetos que não estão criptografados com chaves de bucket do S3 habilitadas. Se quiser que todos os objetos do bucket sejam criptografados com chaves de bucket do S3 habilitadas, você poderá ignorar esta etapa. No entanto, filtrar seu relatório do Inventário S3 nessa fase economiza o tempo e as despesas de criptografar novamente os objetos que já foram criptografados com chaves de bucket do S3 habilitadas.

Embora as etapas a seguir mostrem como filtrar usando o [Amazon S3 Select](https://aws.amazon.com/blogs/aws/s3-glacier-select/), você também pode usar o [Amazon Athena](https://aws.amazon.com/athena). Para decidir qual ferramenta usar, consulte o arquivo `manifest.json` de relatório do S3 Inventory. Esse arquivo lista o número de arquivos de dados associados a esse relatório. Se o número for grande, use o Amazon Athena porque ele é executado em vários objetos do S3, enquanto o S3 Select funciona em um objeto de cada vez. Consulte mais informações sobre como usar o Amazon S3 e o Athena em conjunto em [Consulta do Amazon S3 Inventory com o Amazon Athena](storage-inventory-athena-query.md) e “Using Athena” na publicação [Encrypting objects with Amazon S3 Batch Operations](https://aws.amazon.com/blogs/storage/encrypting-objects-with-amazon-s3-batch-operations) do Blog de armazenamento da AWS.

**Como filtrar o relatório do Inventário S3 usando o S3 Select**

1. Abra o arquivo `manifest.json` do seu relatório de inventário e observe a seção `fileSchema` do JSON. Isso informa a consulta que você executa nos dados. 

   O seguinte JSON é um arquivo `manifest.json` de exemplo para um inventário em formato CSV em um bucket com versionamento habilitado. Dependendo de como você configurou seu relatório de inventário, seu manifesto pode parecer diferente.

   ```
     {
       "sourceBucket": "batchoperationsdemo",
       "destinationBucket": "arn:aws:s3:::amzn-s3-demo-destination-bucket",
       "version": "2021-05-22",
       "creationTimestamp": "1558656000000",
       "fileFormat": "CSV",
       "fileSchema": "Bucket, Key, VersionId, IsLatest, IsDeleteMarker, BucketKeyStatus",
       "files": [
         {
           "key": "demoinv/batchoperationsdemo/DemoInventory/data/009a40e4-f053-4c16-8c75-6100f8892202.csv.gz",
           "size": 72691,
           "MD5checksum": "c24c831717a099f0ebe4a9d1c5d3935c"
         }
       ]
     }
   ```

   Se o versionamento não estiver ativado no bucket, ou se você optar por executar o relatório para as versões mais recentes, o `fileSchema` é `Bucket`, `Key` e `BucketKeyStatus`. 

   Se o versionamento *estiver* habilitado, dependendo de como você configurou o relatório de inventário, o `fileSchema` poderá incluir o seguinte: `Bucket`, `Key`, `VersionId`, `IsLatest`, `IsDeleteMarker`, `BucketKeyStatus`. Portanto, preste atenção às colunas 1, 2, 3 e 6 ao executar a consulta. 

   As Operações em Lote do S3 precisam do bucket, da chave e do ID da versão como entradas para executar o trabalho, além do campo pelo qual pesquisar, que é o `BucketKeyStatus`. Você não precisa do campo `VersionID`, mas é útil especificar o campo `VersionID` quando você opera em um bucket com versionamento. Para ter mais informações, consulte [Trabalhar com objetos em um bucket com versionamento habilitado](manage-objects-versioned-bucket.md).

1. Localize os arquivos de dados para o relatório de inventário. O objeto `manifest.json` lista os arquivos de dados em **files** (arquivos).

1. Depois de localizar e selecionar o arquivo de dados no console do S3, escolha **Actions** (Ações) e, em seguida, **Query with S3 Select** (Consulta com o S3 Select).

1. Mantenha os campos predefinidos **CSV**, **Comma** (Vírgula) e **GZIP** selecionados e escolha **Next** (Avançar).

1. Para revisar o formato do relatório de inventário antes de prosseguir, escolha **Show file preview** (Mostrar visualização do arquivo).

1. Insira as colunas a serem referenciadas no campo de expressão SQL. Depois, escolha **Run SQL** (Executar SQL). A expressão a seguir retorna as colunas 1 a 3 para todos os objetos sem chave de bucket do S3 configurada.

   `select s._1, s._2, s._3 from s3object s where s._6 = 'DISABLED'`

   Estes são resultados de exemplo.

   ```
         batchoperationsdemo,0100059%7Ethumb.jpg,lsrtIxksLu0R0ZkYPL.LhgD5caTYn6vu
         batchoperationsdemo,0100074%7Ethumb.jpg,sd2M60g6Fdazoi6D5kNARIE7KzUibmHR
         batchoperationsdemo,0100075%7Ethumb.jpg,TLYESLnl1mXD5c4BwiOIinqFrktddkoL
         batchoperationsdemo,0200147%7Ethumb.jpg,amufzfMi_fEw0Rs99rxR_HrDFlE.l3Y0
         batchoperationsdemo,0301420%7Ethumb.jpg,9qGU2SEscL.C.c_sK89trmXYIwooABSh
         batchoperationsdemo,0401524%7Ethumb.jpg,ORnEWNuB1QhHrrYAGFsZhbyvEYJ3DUor
         batchoperationsdemo,200907200065HQ%7Ethumb.jpg,d8LgvIVjbDR5mUVwW6pu9ahTfReyn5V4
         batchoperationsdemo,200907200076HQ%7Ethumb.jpg,XUT25d7.gK40u_GmnupdaZg3BVx2jN40
         batchoperationsdemo,201103190002HQ%7Ethumb.jpg,z.2sVRh0myqVi0BuIrngWlsRPQdb7qOS
   ```

1. Faça download dos resultados, salve-os em um formato CSV e faça seu upload para o Amazon S3 como sua lista de objetos para o trabalho do S3 Batch Operations.

1. Se você tiver vários arquivos de manifesto, execute **Query woth S3 Select** (Consulta com o S3 Select) neles também. Dependendo do tamanho dos resultados, você pode combinar as listas e executar um único trabalho do S3 Batch Operations ou executar cada lista como um trabalho separado. Para decidir o número de trabalhos a executar, considere o [preço](https://aws.amazon.com/s3/pricing/) de executar cada trabalho do Operações em Lote do S3.

## Etapa 3: Configurar e executar o trabalho do S3 Batch Operations
<a name="bucket-key-ex-setup-and-run-job"></a>

Agora que tem suas listas CSV filtradas de objetos do S3, você pode iniciar o trabalho do Operações em Lote do S3 para criptografar os objetos com chaves de bucket do S3 habilitadas.

Um *trabalho* refere-se coletivamente à lista (manifesto) de objetos fornecidos, à operação executada e aos parâmetros especificados. A maneira mais fácil de criptografar esse conjunto de objetos com chaves de bucket do S3 habilitadas é usando a operação **Copiar** e especificando o mesmo prefixo de destino dos objetos listados no manifesto. Em um bucket sem versionamento, essa operação substitui os objetos existentes. Em um bucket com o versionamento ativado, essa operação cria uma versão mais recente e criptografada dos objetos.

Como parte da cópia dos objetos, especifique se o Amazon S3 deve criptografar os objetos com a criptografia SSE-KMS. Esse trabalho copia os objetos para que todos os objetos mostrem uma data de criação atualizada após a conclusão, independentemente de quando você os adicionou originalmente ao Amazon S3. Especifique também as outras propriedades do seu conjunto de objetos como parte do trabalho do S3 Batch Operations, incluindo tags de objeto e classe de armazenamento.

**Topics**
+ [Definir sua política do IAM](#bucket-key-ex-set-up-iam-policy)
+ [Configurar sua função do IAM do Batch Operations](#bucket-key-ex-set-up-iam-role)
+ [Habilitar chaves de bucket do S3 para um bucket existente](#bucket-key-ex-enable-s3-bucket-key-on-a-bucket)
+ [Criar seu trabalho do Batch Operations](#bucket-key-ex-create-job)
+ [Executar seu trabalho do Batch Operations](#bucket-key-ex-run-job)

### Definir sua política do IAM
<a name="bucket-key-ex-set-up-iam-policy"></a>

1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação à esquerda, escolha **Política** e **Criar política**.

1. Selecione a guia **JSON**. Selecione**Edit policy** (Editar política) e adicione a política do IAM de exemplo que aparece no bloco de código a seguir. 

   Depois de copiar o exemplo de política no [console do IAM](https://console.aws.amazon.com/iam/), substitua o seguinte:

   1. Substitua `amzn-s3-demo-source-bucket` pelo nome do bucket de origem para copiar objetos dele.

   1. Substitua `amzn-s3-demo-destination-bucket` pelo nome do bucket de destino para copiar objetos nele.

   1. Substitua `amzn-s3-demo-manifest-bucket/manifest-key` pelo nome do objeto de manifesto.

   1. Substitua `amzn-s3-demo-completion-report-bucket` pelo nome do bucket onde deseja salvar os relatórios de conclusão.

------
#### [ JSON ]

****  

   ```
     {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
         {
           "Sid": "CopyObjectsToEncrypt",
           "Effect": "Allow",
           "Action": [
             "s3:PutObject",
             "s3:PutObjectTagging",
             "s3:PutObjectAcl",
             "s3:PutObjectVersionTagging",
             "s3:PutObjectVersionAcl",
             "s3:GetObject",
             "s3:GetObjectAcl",
             "s3:GetObjectTagging",
             "s3:GetObjectVersion",
             "s3:GetObjectVersionAcl",
             "s3:GetObjectVersionTagging"
           ],
           "Resource": [
             "arn:aws:s3:::amzn-s3-demo-source-bucket/*",
             "arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
           ]
         },
         {
           "Sid": "ReadManifest",
           "Effect": "Allow",
           "Action": [
             "s3:GetObject",
             "s3:GetObjectVersion"
           ],
           "Resource": "arn:aws:s3:::amzn-s3-demo-manifest-bucket/manifest-key"
         },
         {
           "Sid": "WriteReport",
           "Effect": "Allow",
           "Action": [
             "s3:PutObject"
           ],
           "Resource": "arn:aws:s3:::amzn-s3-demo-completion-report-bucket/*"
         }
       ]
     }
   ```

------

1. Escolha **Next: Tags (Próximo: tags)**.

1. Adicione quaisquer tags desejadas (opcional) e escolha **Next: Review** (Próximo: Revisão).

1. Adicione um nome para a política e, opcionalmente, uma descrição. Em seguida, escolha **Create policy** (Criar política).

1. Selecione **Review policy** (Revisar política) e, em seguida, escolha, **Save changes** (Salvar alterações).

1. Com sua política do S3 Batch Operations agora concluída, o console retorna você à página **Policies** (Políticas) do IAM. Filtre o nome da política, escolha o botão à esquerda do nome da política, escolha o botão **Policy actions** (Ações da política) e escolha **Attach** (Anexar). 

   Para anexar a política recém-criada a uma função do IAM, selecione os usuários, grupos ou funções apropriados em sua conta e escolha **Attach policy** (Anexar política). Isso levará você de volta ao console do IAM.

### Configurar sua função do IAM do Batch Operations
<a name="bucket-key-ex-set-up-iam-role"></a>

1. No painel de navegação do [console do IAM](https://console.aws.amazon.com/iam/), selecione **Perfis** e escolha **Criar perfil**.

1. Selecione **AWS service (Serviço da AWS)**, **S3** e **Operações em Lote do S3)**. Então, escolha **Próximo: Permissões**.

1. Comece a inserir o nome da **política** do IAM que acabou de criar. Marque a caixa de seleção ao lado do nome da política quando ela for exibida e escolha **Next: Tags** (Próximo: Tags).

1. (Opcional) Adicione tags ou mantenha os campos de chave e valor em branco para este exercício. Selecione **Next: Review**.

1. Insira um nome de função e aceite a descrição padrão ou adicione a sua própria. Selecione **Create role**.

1. Certifique-se de que o usuário que está criando o trabalho tenha as permissões no exemplo a seguir. 

   Substitua `account-id` por seu ID da Conta da AWS e `IAM-role-name` pelo nome que você planeja aplicar ao perfil do IAM que você criará na etapa de criação do trabalho das Operações em Lote posteriormente. Para ter mais informações, consulte [Conceder permissões para operações em lote](batch-ops-iam-role-policies.md).

   ```
               {
               "Sid": "AddIamPermissions",
               "Effect": "Allow",
               "Action": [
               "iam:GetRole",
               "iam:PassRole"
               ],
               "Resource": "arn:aws:iam::account-id:role/IAM-role-name"
               }
   ```

### Habilitar chaves de bucket do S3 para um bucket existente
<a name="bucket-key-ex-enable-s3-bucket-key-on-a-bucket"></a>

1. Abra o console do Amazon S3, em [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).

1. Na lista **Buckets**, escolha o bucket para o qual você deseja ativar uma chave de bucket do S3.

1. Escolha **Properties (Propriedades)**.

1. Em **Default encryption (Criptografia padrão)**, escolha **Edit (Editar)**.

1. Em **Tipo de criptografia**, você pode escolher entre **Chaves gerenciadas do Amazon S3 (SSE-S3)** e **Chave do AWS Key Management Service (SSE-KMS)**. 

1. Se você escolheu **Chave do AWS Key Management Service (SSE-KMS)**, em **AWS KMS key**, poderá especificar a chave do AWS KMS por meio de uma das opções a seguir.
   + Para selecionar entre uma lista de chaves do KMS disponíveis, selecione **Escolher entre suas chaves do AWS KMS**. Na lista de chaves disponíveis, selecione uma chave do KMS de criptografia simétrica na mesma região que seu bucket. A chave gerenciada pela AWS (`aws/s3`) e as chaves gerenciadas pelo cliente são exibidas na lista.
   + Para inserir o ARN da chave do KMS, selecione **Inserir ARN da chave do AWS KMS** e insira o ARN da chave do KMS no campo exibido.
   + Para criar uma chave gerenciada pelo cliente no console do AWS KMS, selecione **Criar uma chave do KMS**.

1. Em **Bucket key** (Chave do bucket), escolha **Enable** (Habilitar) e, em seguida, escolha **Save changes** (Salvar alterações).

Agora que a chave de bucket do S3 está habilitada no nível do bucket, os objetos carregados, modificados ou copiados nesse bucket herdarão essa configuração de criptografia por padrão. Isso inclui objetos copiados usando Operações em Lote do Amazon S3.

### Criar seu trabalho do Batch Operations
<a name="bucket-key-ex-create-job"></a>

1. Abra o console do Amazon S3 em [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).

1. No painel de navegação, escolha **S3 Batch Operations** e, em seguida, escolha **Create Job** (Criar trabalho).

1. Selecione a **Region** (Região) onde você armazena seus objetos e escolha **CSV** como o tipo de manifesto.

1. Insira o caminho ou navegue para o arquivo de manifesto CSV criado anteriormente a partir dos resultados do S3 Select (ou Athena). Se o manifesto contiver IDs de versão, marque essa caixa. Escolha **Next (Próximo)**.

1. Selecione a operação **Copy** (Copiar) e escolha o bucket de destino da cópia. Você pode manter a criptografia no lado do servidor desabilitada. Desde que o destino do bucket tenha o recurso de chaves de bucket do S3 habilitado, a operação de cópia aplicará chaves de bucket do S3 no bucket de destino.

1. (Opcional) Escolha uma classe de armazenamento e os outros parâmetros conforme desejado. Os parâmetros especificados nesta etapa se aplicam a todas as operações executadas nos objetos listados no manifesto. Escolha **Próximo**.

1. Para a criptografia no lado do servidor, siga estas etapas: 

   1. Em **Criptografia do lado do servidor**, selecione uma das seguintes opções:
      + Para manter as configurações de bucket para a criptografia padrão de objetos no lado do servidor ao armazená-los no Amazon S3, selecione **Não especificar uma chave de criptografia**. Desde que o destino do bucket tenha o recurso de chaves de bucket do S3 ativado, a operação de cópia aplicará uma chave de bucket do S3 ao bucket de destino.
**nota**  
Se a política de bucket para o destino especificado exigir que os objetos sejam criptografados antes de armazená-los no Amazon S3, você deverá especificar uma chave de criptografia. Caso contrário, ocorrerá uma falha na cópia de objetos no destino.
      + Para criptografar objetos antes de armazená-los no Amazon S3, selecione **Especificar uma chave de criptografia**.

   1. Em **Configurações de criptografia**, se você selecionar **Especificar uma chave de criptografia**, deverá escolher **Usar configurações do bucket de destino para criptografia padrão** ou **Substituir configurações do bucket de destino para criptografia padrão**.

   1. Se você selecionar **Substituir configurações do bucket de destino para criptografia padrão**, deverá definir as configurações de criptografia a seguir.

      1. Em **Tipo de criptografia**, você deve escolher **Chaves gerenciadas do Amazon S3 (SSE-S3)** ou **Chave do AWS Key Management Service (SSE-KMS)**. A SSE-S3 usa uma das criptografias de bloco mais fortes: o padrão de criptografia avançada de 256 bits (AES-256) para criptografar cada objeto. A SSE-KMS oferece mais controle sobre sua chave. Para obter mais informações, consulte [Usar a criptografia do lado do servidor com chaves gerenciadas pelo Amazon S3 (SSE-S3)](UsingServerSideEncryption.md) e [Usar criptografia do lado do servidor com o AWS KMS (SSE-KMS)](UsingKMSEncryption.md).

      1. Se você selecionar **Chave do AWS Key Management Service (SSE-KMS)**, em **AWS KMS key**, poderá especificar sua AWS KMS key por meio de uma das opções a seguir.
         + Para escolher em uma lista de chaves do KMS disponíveis, selecione **Escolher entre suas AWS KMS keys** e, depois, escolha uma chave do KMS de criptografia simétrica na mesma região que seu bucket. A chave gerenciada pela AWS (`aws/s3`) e as chaves gerenciadas pelo cliente são exibidas na lista.
         + Para inserir o ARN da chave do KMS, selecione **Inserir ARN da chave do AWS KMS** e insira o ARN da chave do KMS no campo exibido.
         + Para criar uma chave gerenciada pelo cliente no console do AWS KMS, selecione **Criar uma chave do KMS**.

      1. Em **Bucket key** (Chave do bucket), escolha **Enable** (Ativar). A operação de cópia aplicará uma chave do bucket do S3 no bucket de destino.

1. Dê uma descrição ao seu trabalho (ou mantenha o padrão), defina seu nível de prioridade, escolha um tipo de relatório e especifique o **Path to completion report destination** (Caminho para destino do relatório de conclusão).

1. Na seção **Permissions** (Permissões), certifique-se de escolher a função do IAM do Batch Operations definida anteriormente. Escolha **Next (Próximo)**.

1. Em **Review** (Revisão), verifique as configurações. Se precisar fazer alterações, escolha **Previous** (Anterior). Depois de confirmar as configurações do Batch Operations, escolha **Create job** (Criar trabalho). 

   Para obter mais informações, consulte [Criar um trabalho de operações em lote do S3](batch-ops-create-job.md).

### Executar seu trabalho do Batch Operations
<a name="bucket-key-ex-run-job"></a>

O assistente de configuração retorna você automaticamente à seção S3 Batch Operations do console do Amazon S3. Suas novas transições de trabalho do estado **New** (Novo) para o estado **Preparing** (Preparação) como S3 inicia o processo. Durante o estado de preparação, o S3 lê o manifesto do trabalho, verifica se há erros e calcula o número de objetos.

1. Escolha o botão de atualização no console do Amazon S3 para verificar o progresso. Dependendo do tamanho do manifesto, a leitura pode levar minutos ou horas.

1. Quando o S3 termina de ler o manifesto do trabalho, o trabalho é movido para o estado **Awaiting your confirmation** (Aguardando sua confirmação). Escolha o botão de opção à esquerda da ID do trabalho e escolha **Run job** (Executar trabalho).

1. Verifique as configurações do trabalho e escolha **Run job** (Executar trabalho) no canto inferior direito.

   Depois que o trabalho começar a ser executado, você poderá escolher o botão de atualizar para verificar o andamento na exibição do painel do console ou selecionando o trabalho específico.

1. Quando o trabalho é concluído, você pode exibir as contagens de objetos **Successful** (Com êxito) e **Failed** (Com falha) para confirmar que tudo foi executado conforme esperado. Se você ativou relatórios de trabalhos, verifique o relatório do trabalho para saber a causa exata de qualquer operação com falha.

   Você também pode executar essas etapas usando a AWS CLI, AWS SDKs ou a API REST do Amazon S3. Para obter mais informações sobre como rastrear o status de um trabalho e os relatórios de conclusão, consulte [Monitoramento de relatórios de status e conclusão](batch-ops-job-status.md).