As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Criptografia do Amazon EBS
Use a criptografia do Amazon EBS como uma solução de criptografia simples e direta para os recursos do Amazon EBS associados a instâncias do Amazon EC2. Com a criptografia do Amazon EBS, não é necessário criar, manter e proteger sua própria infraestrutura de gerenciamento de chaves. A criptografia do Amazon EBS usa AWS KMS keys ao criar volumes e snapshots criptografados.
As operações de criptografia ocorrem nos servidores que hospedam instâncias do EC2, garantindo a segurança de uma instância data-at-rest e data-in-transit entre ela e seu armazenamento EBS conectado.
É possível anexar volumes criptografados e não criptografados a uma instância simultaneamente. Todos os tipos de instância do Amazon EC2 são compatíveis com a criptografia do Amazon EBS.
**Topics**
+ [Como funciona a criptografia do Amazon EBS](how-ebs-encryption-works.md)
+ [Requisitos da criptografia do Amazon EBS](ebs-encryption-requirements.md)
+ [Habilitar a criptografia do Amazon EBS por padrão](encryption-by-default.md)
+ [Criptografar recursos do EBS](#encryption-parameters)
+ [AWS KMS Chaves rotativas usadas para criptografia do Amazon EBS](kms-key-rotation.md)
+ [Exemplos de criptografia do Amazon EBS](encryption-examples.md)
## Criptografar recursos do EBS
Criptografe volumes do EBS habilitando a criptografia, usando a [criptografia por padrão](encryption-by-default.md) ou habilitando a criptografia ao criar um volume que deseja criptografar.
Ao criptografar um volume, é possível especificar a chave do KMS de criptografia simétrica a ser usada para criptografar o volume. Se a Chave do KMS não for especificada, a Chave do KMS usada para a criptografia dependerá do estado de criptografia do snapshot de origem e de sua propriedade. Para obter mais informações, consulte a [tabela de resultados de criptografia](encryption-examples.md#ebs-volume-encryption-outcomes).
**nota**
Se você estiver usando a API ou AWS CLI para especificar uma chave KMS, saiba que ela AWS autentica a chave KMS de forma assíncrona. Se você especificar um ID de Chave do KMS, um alias ou um ARN que não forem válidos, é possível que a ação pareça estar concluída, mas ela falhará eventualmente.
Você não pode alterar a Chave do KMS que estiver associada a um snapshot ou a um volume existente. No entanto, é possível associar uma Chave do KMS diferente durante uma operação de cópia de snapshot para que o snapshot copiado resultante seja criptografado pela nova Chave do KMS.
### Criptografar um volume vazio na criação
Ao criar um novo volume do EBS vazio, será possível criptografá-lo habilitando a criptografia para a operação de criação de volume específica. Se você tiver habilitado a criptografia do EBS por padrão, o volume será automaticamente criptografado usando a Chave do KMS padrão para criptografia do EBS. Outra opção é especificar uma chave do KMS de criptografia simétrica diferente para a operação de criação de um volume específico. O volume será criptografado no momento em que for disponibilizado a primeira vez, para que seus dados estejam sempre protegidos. Para ver os procedimentos detalhados, consulte [Crie um volume do Amazon EBS.](ebs-creating-volume.md).
Por padrão, a Chave do KMS selecionada durante a criação de um volume criptografa os snapshots que você cria do volume e os volumes que você restaura desses snapshots criptografados. Não é possível remover a criptografia de um volume ou snapshot criptografado, o que significa que um volume restaurado a partir de um snapshot criptografado ou uma cópia de um snapshot criptografado será sempre criptografado.
Não há suporte para snapshots públicos de volumes criptografado, mas é possível compartilhar um snapshot criptografado com contas específicas. Para obter instruções detalhadas, consulte [Compartilhe um snapshot do Amazon EBS com outras contas AWS](ebs-modifying-snapshot-permissions.md).
### Criptografar recursos não criptografados
Não é possível criptografar diretamente volumes ou snapshots não criptografados.
Para criptografar um volume não criptografado, crie um snapshot desse volume e use o snapshot para criar um novo volume criptografado. Para obter mais informações, consulte [Criar snapshots de ](ebs-create-snapshot.md) e [Criar um volume](ebs-creating-volume.md).
Para criptografar um snapshot não criptografado, crie uma cópia criptografada desse snapshot. Para obter mais informações, consulte [Copiar um snapshot](ebs-copy-snapshot.md).
Se você habilitar sua conta para criptografia por padrão, os volumes e as cópias de snapshots criados a partir de snapshots não criptografados serão sempre criptografados. Caso contrário, você deve especificar os parâmetros de criptografia na solicitação. Para obter mais informações, consulte [Habilitar a criptografia por padrão](encryption-by-default.md).