As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Criptografia de dados em trânsito
É possível usar o Transport Layer Security (TLS) para criptografar a conexão entre sua aplicação e um cluster do Amazon DocumentDB. Por padrão, a criptografia em trânsito é ativada para clusters recém-criados do Amazon DocumentDB. É possível desabilitá-la ao criar o cluster ou depois da criação ser concluída. Ao habilitar a criptografia em trânsito, as conexões seguras usando o TLS são obrigatórias para se conectar ao cluster. Para obter mais informações sobre como se conectar ao Amazon DocumentDB usando TLS, consulte [Conectar-se de forma programática ao Amazon DocumentDB](connect_programmatically.md).
## Gerenciar configurações de TLS de cluster do Amazon DocumentDB
A criptografia em trânsito para um cluster do Amazon DocumentDB é gerenciada por meio do parâmetro TLS em um [grupo de parâmetros de cluster](https://docs.aws.amazon.com/documentdb/latest/developerguide/cluster_parameter_groups.html). É possível gerenciar as configurações de TLS do seu cluster do Amazon DocumentDB usando o Console de gerenciamento da AWS ou a AWS Command Line Interface (AWS CLI). Consulte as seções a seguir para saber como verificar e modificar suas configurações de TLS atuais.
------
#### [ Using the Console de gerenciamento da AWS ]
Para gerenciar a criptografia usando TLS e o , como identificar grupos de parâmetros, verificar o valor de TLS e fazer as modificações necessárias, use as etapas a seguir.
**nota**
A menos que você especifique de outra forma ao criar o cluster, ele será criado com o grupo de parâmetros de cluster padrão. Os parâmetros no grupo de parâmetros de cluster `default` não podem ser modificados (por exemplo, `tls` habilitado/desabilitado). Portanto, se o cluster estiver usando um grupo de parâmetros de cluster `default`, será necessário modificar o cluster para usar um grupo de parâmetros de cluster que não seja padrão. Primeiro, será necessário criar um grupo de parâmetros de cluster personalizado. Para obter mais informações, consulte [Criando grupos de parâmetros de cluster do Amazon DocumentDB](cluster_parameter_groups-create.md).
1. **Determine o grupo de parâmetros de cluster usado pelo cluster.**
1. Abra o console do Amazon DocumentDB em [https://console.aws.amazon.com/docdb](https://console.aws.amazon.com/docdb).
1. No painel de navegação, escolha **Clusters**.
**dica**
Caso não visualize o painel de navegação à esquerda da tela, selecione o ícone do menu (![\[Hamburger menu icon with three horizontal lines.\]](http://docs.aws.amazon.com/pt_br/documentdb/latest/developerguide/images/docdb-menu-icon.png)) no canto superior esquerdo da página.
1. Observe que na caixa de navegação **Clusters**, a coluna **Identificador do cluster** mostra clusters e instâncias. As instâncias estão listadas abaixo dos clusters. Veja o snapshot abaixo para referência.
![\[Imagem da caixa de navegação Clusters mostrando uma lista de links de cluster existentes e seus links de instância correspondentes.\]](http://docs.aws.amazon.com/pt_br/documentdb/latest/developerguide/images/clusters.png)
1. Escolha o cluster que você deseja usar.
1. Escolha a guia **Configuração** e role para baixo até a parte inferior dos **Detalhes do cluster** e localize o **Grupo de parâmetros do cluster.**. Anote o nome do grupo de parâmetros de cluster.
Se o nome do grupo de parâmetros do cluster para `default` (por exemplo `default.docdb3.6`), será necessário criar um grupo de parâmetros de cluster personalizado e defini-lo como o grupo de parâmetros do cluster antes de continuar. Para obter mais informações, consulte:
1. [Criando grupos de parâmetros de cluster do Amazon DocumentDB](cluster_parameter_groups-create.md) — Se você não tiver um grupo de parâmetros de cluster personalizado para usar, crie um.
1. [Modificar um cluster do Amazon DocumentDB](db-cluster-modify.md) — Modifique seu cluster para usar o grupo de parâmetros de cluster personalizado.
1. **Determine o valor atual do parâmetro `tls` do cluster.**
1. Abra o console do Amazon DocumentDB em [https://console.aws.amazon.com/docdb](https://console.aws.amazon.com/docdb).
1. No painel de navegação, escolha **Grupos de parâmetros**.
1. Na lista de grupos de parâmetros, selecione o nome do grupo de parâmetros de cluster desejado.
1. Localize a seção **Parâmetros do cluster**. Na lista de parâmetros de cluster, localize a linha do parâmetro de cluster `tls`. Nesse momento, as quatro colunas a seguir são importantes:
+ **Nome do parâmetro de cluster** — O nome dos parâmetros do cluster. Para gerenciar TLS, você está interessado no parâmetro de cluster `tls`.
+ **Valores** — O valor atual de cada parâmetro do cluster.
+ **Valores permitidos** — Uma lista de valores que podem ser aplicados a um parâmetro de cluster.
+ **Aplicar tipo** — **estático** ou **dinâmico**. As alterações em parâmetros de cluster estáticos poderão ser aplicadas somente quando as instâncias forem reiniciadas. As alterações feitas em parâmetros de cluster dinâmicos podem ser aplicadas imediatamente ou quando as instâncias são reiniciadas.
1. **Modifique o valor do parâmetro `tls` do cluster.**
Se o valor de `tls` não for o que é necessário, modifique o valor para esse grupo de parâmetros de cluster. Para alterar o valor do parâmetro de cluster `tls`, continue na seção anterior seguindo estas etapas.
1. Escolha o botão à esquerda do nome do parâmetro de cluster (`tls`).
1. Escolha **Editar**.
1. Para alterar o valor de `tls`, na caixa de diálogo **Modificar `tls`**, escolha o valor desejado para o parâmetro do cluster na lista suspensa.
Os valores válidos são:
+ **desabilitado** — Desativa o TLS
+ **habilitado**: habilita as versões de 1.0 a 1.3 do TLS.
+ **fips-140-3** — Ativa o TLS com FIPS. O cluster só aceita conexões seguras de acordo com os requisitos da publicação 140-3 do Federal Information Processing Standards (FIPS). Isso só é suportado a partir dos clusters do Amazon DocumentDB 5.0 (versão do motor 3.0.3727) nas seguintes regiões: ca-central-1, us-west-2, us-east-1, us-east-2, us-gov-east-1, us-gov-west-1.
+ **tls1.2\$1**: habilita as versões 1.2 e posteriores do TLS. Só há suporte para isso a partir do Amazon DocumentDB 4.0 (versão de mecanismo 2.0.10980) e do Amazon DocumentDB (versão de mecanismo 3.0.11051).
+ **tls1.3\$1**: habilita as versões 1.3 e posteriores do TLS. Só há suporte para isso a partir do Amazon DocumentDB 4.0 (versão de mecanismo 2.0.10980) e do Amazon DocumentDB (versão de mecanismo 3.0.11051).
![\[Imagem de uma caixa de diálogo Modificar TLS específica de cluster.\]](http://docs.aws.amazon.com/pt_br/documentdb/latest/developerguide/images/modify-tls.png)
1. Escolha **Modificar parâmetro de cluster**. A alteração será aplicada a cada instância do cluster quando ela for reinicializada.
1. **Reinicie a instância do Amazon DocumentDB.**
Reinicialize cada instância do cluster para que a alteração seja aplicada a todas as instâncias no cluster.
1. Abra o console do Amazon DocumentDB em [https://console.aws.amazon.com/docdb](https://console.aws.amazon.com/docdb).
1. No painel de navegação, escolha **Instâncias**.
1. Para especificar a reinicialização de uma instância, localize a instância na lista de instâncias e escolha o botão à esquerda de seu nome.
1. Escolha **Ações** e **Reiniciar**. Confirme se deseja reinicializar, selecionando **Reiniciar**.
------
#### [ Using the AWS CLI ]
Para gerenciar a criptografia usando TLS e o AWS CLI, como identificar grupos de parâmetros, verificar o valor de TLS e fazer as modificações necessárias, use as etapas a seguir.
**nota**
A menos que você especifique de outra forma ao criar o cluster, ele será criado com o grupo de parâmetros de cluster padrão. Os parâmetros no grupo de parâmetros de cluster `default` não podem ser modificados (por exemplo, `tls` habilitado/desabilitado). Portanto, se o cluster estiver usando um grupo de parâmetros de cluster `default`, será necessário modificar o cluster para usar um grupo de parâmetros de cluster que não seja padrão. Pode ser necessário primeiro criar um grupo de parâmetros de cluster personalizado. Para obter mais informações, consulte [Criando grupos de parâmetros de cluster do Amazon DocumentDB](cluster_parameter_groups-create.md).
1. **Determine o grupo de parâmetros de cluster usado pelo cluster.**
Execute o comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/describe-db-clusters.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/describe-db-clusters.html) com as opções a seguir:
+ `--db-cluster-identifier`
+ `--query`
No exemplo a seguir, substitua cada *espaço reservado ao usuário* pelas informações do seu cluster.
```
aws docdb describe-db-clusters \
--db-cluster-identifier mydocdbcluster \
--query 'DBClusters[*].[DBClusterIdentifier,DBClusterParameterGroup]'
```
A saída dessa operação é semelhante ao seguinte (formato JSON):
```
[
[
"mydocdbcluster",
"myparametergroup"
]
]
```
Se o nome do grupo de parâmetros do cluster for `default` (por exemplo, `default.docdb3.6`), será necessário ter um grupo de parâmetros de cluster personalizado e defini-lo como o grupo de parâmetros do cluster antes de continuar. Para obter mais informações, consulte os tópicos a seguir.
1. [Criando grupos de parâmetros de cluster do Amazon DocumentDB](cluster_parameter_groups-create.md) — Se você não tiver um grupo de parâmetros de cluster personalizado para usar, crie um.
1. [Modificar um cluster do Amazon DocumentDB](db-cluster-modify.md) — Modifique seu cluster para usar o grupo de parâmetros de cluster personalizado.
1. **Determine o valor atual do parâmetro `tls` de cluster.**
Para obter mais informações sobre esse grupo de parâmetros de cluster, execute o comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/describe-db-cluster-parameters.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/describe-db-cluster-parameters.html) com as opções a seguir:
+ `--db-cluster-parameter-group-name`
+ `--query`
Limita a saída apenas aos campos de interesse: `ParameterName`, `ParameterValue`, `AllowedValues` e `ApplyType`.
No exemplo a seguir, substitua cada *espaço reservado ao usuário* pelas informações do seu cluster.
```
aws docdb describe-db-cluster-parameters \
--db-cluster-parameter-group-name myparametergroup \
--query 'Parameters[*].[ParameterName,ParameterValue,AllowedValues,ApplyType]'
```
A saída dessa operação é semelhante ao seguinte (formato JSON):
```
[
[
"audit_logs",
"disabled",
"enabled,disabled",
"dynamic"
],
[
"tls",
"disabled",
"disabled,enabled,fips-140-3,tls1.2+,tls1.3+",
"static"
],
[
"ttl_monitor",
"enabled",
"disabled,enabled",
"dynamic"
]
]
```
1. **Modifique o valor do parâmetro `tls` do cluster.**
Se o valor de `tls` for o que ele precisa ser, modifique seu valor para este grupo de parâmetros de cluster. Para alterar o valor do parâmetro de cluster `tls`, execute o comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/modify-db-cluster-parameter-group.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/modify-db-cluster-parameter-group.html) com as opções a seguir:
+ `--db-cluster-parameter-group-name` — Obrigatório. O nome do grupo de parâmetros de cluster a ser modificado. Não pode ser um grupo de parâmetros de cluster `default.*`.
+ `--parameters` — Obrigatório. Uma lista de parâmetros do grupo de parâmetros de cluster para modificar.
+ `ParameterName` — Obrigatório. O nome do parâmetro do cluster a ser modificado.
+ `ParameterValue` — Obrigatório. O novo valor desse parâmetro de cluster. Deve ser um dos `AllowedValues` do parâmetro de cluster.
+ `enabled`: o cluster aceita conexões seguras usando TLS versões de 1.0 a 1.3.
+ `disabled` — O cluster não aceita conexões seguras usando o TLS.
+ `fips-140-3`— O cluster só aceita conexões seguras de acordo com os requisitos da publicação 140-3 do Federal Information Processing Standards (FIPS). Isso só tem suporte a partir dos clusters do Amazon DocumentDB 5.0 (versão do motor 3.0.3727) nas seguintes regiões: ca-central-1, us-west-2, us-east-1, us-east-2, us-gov-east-1, us-gov-west-1.
+ `tls1.2+`: o cluster aceita conexões seguras usando TLS versões 1.2 e posteriores Só há suporte para isso a partir do Amazon DocumentDB 4.0 (versão de mecanismo 2.0.10980) e do Amazon DocumentDB 5.0 (versão de mecanismo 3.0.11051).
+ `tls1.3+`: o cluster aceita conexões seguras usando TLS versões 1.3 e posteriores Só há suporte para isso a partir do Amazon DocumentDB 4.0 (versão de mecanismo 2.0.10980) e do Amazon DocumentDB 5.0 (versão de mecanismo 3.0.11051).
+ `ApplyMethod` — Quando essa modificação deve ser aplicada. Para parâmetros de cluster estáticos, como `tle`, esse valor deve ser `pending-reboot`.
+ `pending-reboot` — A alteração é aplicada a uma instância somente depois de ser reinicializada. É necessário reinicializar cada instância de cluster individualmente para que essa mudança ocorra em todas as instâncias do cluster.
Nos exemplos a seguir, substitua cada *espaço reservado ao usuário* pelas informações do seu cluster.
O código a seguir *desabilita* o `tls`, aplicando a alteração a cada instância quando ela for reinicializada.
```
aws docdb modify-db-cluster-parameter-group \
--db-cluster-parameter-group-name myparametergroup \
--parameters "ParameterName=tls,ParameterValue=disabled,ApplyMethod=pending-reboot"
```
O código a seguir *habilita* o `tls` (versões de 1.0 a 1.3), aplicando a alteração a cada instância quando ela é reinicializada.
```
aws docdb modify-db-cluster-parameter-group \
--db-cluster-parameter-group-name myparametergroup \
--parameters "ParameterName=tls,ParameterValue=enabled,ApplyMethod=pending-reboot"
```
O código a seguir *habilita* o TLS com `fips-140-3`, aplicando a alteração a cada instância quando ela é reinicializada.
```
aws docdb modify-db-cluster-parameter-group \
‐‐db-cluster-parameter-group-name myparametergroup2 \
‐‐parameters "ParameterName=tls,ParameterValue=fips-140-3,ApplyMethod=pending-reboot"
```
A saída dessa operação é semelhante ao seguinte (formato JSON):
```
{
"DBClusterParameterGroupName": "myparametergroup"
}
```
1. **Reinicialize sua instância do Amazon DocumentDB.**
Reinicialize cada instância do cluster para que a alteração seja aplicada a todas as instâncias no cluster. Para reinicializar uma instância do Amazon DocumentDB, execute o comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/reboot-db-instance.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/reboot-db-instance.html) com a opção a seguir:
+ `--db-instance-identifier`
O código a seguir reinicializa a instância `mydocdbinstance`.
Nos exemplos a seguir, substitua cada *espaço reservado ao usuário* pelas informações do seu cluster.
**Example**
Para Linux, macOS ou Unix:
```
aws docdb reboot-db-instance \
--db-instance-identifier mydocdbinstance
```
Para Windows:
```
aws docdb reboot-db-instance ^
--db-instance-identifier mydocdbinstance
```
A saída dessa operação é semelhante ao seguinte (formato JSON):
```
{
"DBInstance": {
"AutoMinorVersionUpgrade": true,
"PubliclyAccessible": false,
"PreferredMaintenanceWindow": "fri:09:32-fri:10:02",
"PendingModifiedValues": {},
"DBInstanceStatus": "rebooting",
"DBSubnetGroup": {
"Subnets": [
{
"SubnetStatus": "Active",
"SubnetAvailabilityZone": {
"Name": "us-east-1a"
},
"SubnetIdentifier": "subnet-4e26d263"
},
{
"SubnetStatus": "Active",
"SubnetAvailabilityZone": {
"Name": "us-east-1c"
},
"SubnetIdentifier": "subnet-afc329f4"
},
{
"SubnetStatus": "Active",
"SubnetAvailabilityZone": {
"Name": "us-east-1e"
},
"SubnetIdentifier": "subnet-b3806e8f"
},
{
"SubnetStatus": "Active",
"SubnetAvailabilityZone": {
"Name": "us-east-1d"
},
"SubnetIdentifier": "subnet-53ab3636"
},
{
"SubnetStatus": "Active",
"SubnetAvailabilityZone": {
"Name": "us-east-1b"
},
"SubnetIdentifier": "subnet-991cb8d0"
},
{
"SubnetStatus": "Active",
"SubnetAvailabilityZone": {
"Name": "us-east-1f"
},
"SubnetIdentifier": "subnet-29ab1025"
}
],
"SubnetGroupStatus": "Complete",
"DBSubnetGroupDescription": "default",
"VpcId": "vpc-91280df6",
"DBSubnetGroupName": "default"
},
"PromotionTier": 2,
"DBInstanceClass": "db.r5.4xlarge",
"InstanceCreateTime": "2018-11-05T23:10:49.905Z",
"PreferredBackupWindow": "00:00-00:30",
"KmsKeyId": "arn:aws:kms:us-east-1:012345678901:key/0961325d-a50b-44d4-b6a0-a177d5ff730b",
"StorageEncrypted": true,
"VpcSecurityGroups": [
{
"Status": "active",
"VpcSecurityGroupId": "sg-77186e0d"
}
],
"EngineVersion": "3.6.0",
"DbiResourceId": "db-SAMPLERESOURCEID",
"DBInstanceIdentifier": "mydocdbinstance",
"Engine": "docdb",
"AvailabilityZone": "us-east-1a",
"DBInstanceArn": "arn:aws:rds:us-east-1:012345678901:db:sample-cluster-instance-00",
"BackupRetentionPeriod": 1,
"Endpoint": {
"Address": "mydocdbinstance.corcjozrlsfc.us-east-1.docdb.amazonaws.com",
"Port": 27017,
"HostedZoneId": "Z2R2ITUGPM61AM"
},
"DBClusterIdentifier": "mydocdbcluster"
}
}
```
Demora alguns minutos para sua instância reinicializar. É possível usar a instância somente quando seu status for *disponível*. É possível monitorar o status da instância usando o console ou a AWS CLI. Para obter mais informações, consulte [Monitoramento do status de uma instância do Amazon DocumentDB](monitoring_docdb-instance_status.md).
------