# Criptografia em repouso do DAX
<a name="DAXEncryptionAtRest"></a>

A criptografia em repouso do Amazon DynamoDB Accelerator (DAX) fornece uma camada adicional de proteção de dados, ajudando a proteger os dados contra acesso não autorizado ao armazenamento subjacente. O uso de criptografia em repouso para proteção de dados pode ser requerida por políticas organizacionais, regulamentações setoriais ou governamentais e exigências de conformidade. Você pode usar criptografia para aumentar a segurança dos dados dos aplicativos que são implantados na nuvem. 

Com a criptografia em repouso, os dados persistentes do DAX em disco são criptografados usando Advanced Encryption Standard de 256 bits, também conhecida como AES-256. O DAX grava dados ao disco como parte das alterações de propagação do nó primário para as réplicas de leitura. 

A criptografia em repouso do DAX integra-se automaticamente ao AWS Key Management Service (AWS KMS) para gerenciar a chave única de serviço padrão usada para criptografar seus clusters. Se uma chave de serviço padrão não existir quando você criar seu cluster do DAX criptografado, o AWS KMS criará automaticamente uma nova chave gerenciada pela AWS para você. Essa chave é usada com clusters criptografados que são criados no futuro. O AWS KMS integra hardware e software seguros e altamente disponíveis para oferecer um sistema de gerenciamento de chaves escalonado para a nuvem. 

Assim que seus dados são criptografadas, o DAX lida de forma transparente com a descriptografia dos dados com um impacto mínimo sobre a performance. Você não precisa modificar seus aplicativos para usar a criptografia. 

**nota**  
O DAX não chama o AWS KMS para cada operação própria. O DAX usa a chave somente ao iniciar o cluster. Mesmo que o acesso seja revogado, o DAX ainda poderá acessar os dados até que o cluster seja desativado. As chaves AWS KMS especificadas pelo cliente não são aceitas. 

A criptografia em repouso do DAX está disponível para os seguintes tipos de nó de cluster:


| Família | Tipo de nó | 
| --- | --- | 
| Otimizado para memória (R4, R5 e R7) |  dax.r4.large dax.r4.xlarge dax.r4.2xlarge dax.r4.4xlarge dax.r4.8xlarge dax.r4.16xlarge dax.r5.large dax.r5.xlarge dax.r5.2xlarge dax.r5.4xlarge dax.r5.8xlarge dax.r5.12xlarge dax.r5.16xlarge dax.r5.24xlarge dax.r7i.large dax.r7i.xlarge dax.r7i.2xlarge dax.r7i.4xlarge dax.r7i.8xlarge dax.r7i.12xlarge dax.r7i.16xlarge dax.r7i.24xlarge  | 
| Uso geral (T2) |  dax.t2.small dax.t2.medium  | 
| Uso geral (T3) |  dax.t3.small dax.t3.medium  | 

**Importante**  
A criptografia em repouso do DAX não é compatível com tipos de nós `dax.r3.*`. 

Não é possível ativar ou desativar a criptografia em repouso após a criação e um cluster. Você deve recriar o cluster para ativar a criptografia em repouso caso não tenha sido ativada na criação. 

A criptografia em repouso do DAX é fornecida sem custo adicional (cobranças de uso da chave de criptografia AWS KMS se aplicam). Para obter informações sobre preços, consulte [Preços do Amazon DynamoDB](https://aws.amazon.com/dynamodb/pricing).

## Habilitar a criptografia em repouso usando o Console de gerenciamento da AWS
<a name="dax.encryption.tutorial-console"></a>

Siga estas etapas para habilitar a criptografia em repouso do DAX em uma tabela usando o console.

**Para habilitar a criptografia em repouso do DAX**

1. Faça login no Console de gerenciamento da AWS e abra o console do DynamoDB em [https://console.aws.amazon.com/dynamodb/](https://console.aws.amazon.com/dynamodb/).

1.  No painel de navegação no lado esquerdo do console, em **DAX**, selecione **Clusters**.

1.  Selecione **Criar cluster**.

1. Em **Cluster name (Nome do cluster)**, insira um nome curto para o seu cluster. Selecione o **node type (tipo de nó)** para todos os nós no cluster e, para o tamanho do cluster, use **3** nós.

1. Em **Encryption (Criptografia)**, selecione **Enable encryption (Habilitar criptografia)**.  
![\[Captura de tela de configurações de cluster no console mostrando a configuração de criptografia ativada.\]](http://docs.aws.amazon.com/pt_br/amazondynamodb/latest/developerguide/images/dax_encrypt.PNG)

1. Após selecionar a função do IAM, o grupo de sub-rede, os grupos de segurança e as configurações do cluster, selecione **Launch cluster (Iniciar cluster)**. 

Para confirmar se o cluster está criptografado, verifique os detalhes dele no painel **Clusters**. O status da criptografia deve ser **ENABLED (ATIVADA)**.