As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Compartilhar a chave do KMS usada para criptografar um snapshot compartilhado do Amazon EBS Ao compartilhar um snapshot criptografado, também é necessário compartilhar a chave gerenciada pelo cliente usada para criptografar o snapshot. É possível aplicar permissões entre contas a uma chave gerenciada pelo cliente quando ela é criada ou posteriormente. Os usuários da sua chave gerenciada pelo cliente compartilhada que estão acessando snapshots criptografados devem receber permissões para executar as seguintes ações na chave: + `kms:DescribeKey` + `kms:CreateGrant` + `kms:GenerateDataKey` + `kms:GenerateDataKeyWithoutPlaintext` + `kms:ReEncrypt` + `kms:Decrypt` **dica** Para seguir o princípio de menor privilégio, não permita acesso total a `kms:CreateGrant`. Em vez disso, use a chave de `kms:GrantIsForAWSResource` condição para permitir que o usuário crie concessões na chave KMS somente quando a concessão for criada em nome do usuário por um AWS serviço. Para obter mais informações sobre como controlar o acesso a uma chave gerenciada pelo cliente, consulte [ Usar políticas de chaves no AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) no *Guia do desenvolvedor do AWS Key Management Service *. **Para compartilhar a chave gerenciada pelo cliente usando o AWS KMS console** 1. Abra o AWS KMS console em [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms). 1. Para alterar o Região da AWS, use o seletor de região no canto superior direito da página. 1. No painel de navegação, escolha **Customer managed keys (Chaves gerenciadas pelo cliente)**. 1. Na coluna **Alias**, escolha o alias (link de texto) da chave gerenciada pelo cliente usada para criptografar o snapshot. Os principais detalhes são abertos em uma nova página. 1. Na seção **Key policy (Política de chaves)**, você verá a *exibição de política* ou a *exibição padrão*. A exibição de política exibe o documento de política de chaves. A visualização padrão exibe seções para **Administradores de chave**, **Exclusão de chave**, **Uso de chave** e **Outras contas da  AWS **. A exibição padrão é exibida se você criou a política no console e não a personalizou. Se a exibição padrão não estiver disponível, será necessário editar manualmente a política na exibição de política. Para obter mais informações, consulte [Exibição de uma política de chaves (console)](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-viewing.html#key-policy-viewing-console) no *Guia do desenvolvedor do AWS Key Management Service *. Use a visualização da política ou a visualização padrão, dependendo da visualização que você pode acessar, para adicionar uma ou mais AWS contas IDs à política, da seguinte forma: + (Exibição de política) Escolha **Edit (Editar)**. Adicione uma ou mais AWS contas IDs às seguintes declarações: `"Allow use of the key"` `"Allow attachment of persistent resources"` e. Escolha **Salvar alterações**. No exemplo a seguir, o ID da AWS conta `444455556666` é adicionado à política. ``` { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::{{111122223333}}:user/{{KeyUser}}", "arn:aws:iam::{{444455556666}}:root" ]}, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::{{111122223333}}:user/{{KeyUser}}", "arn:aws:iam::{{444455556666}}:root" ]}, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}} } ``` + (Visualização padrão) Role para baixo até **Outras AWS contas**. Escolha **Adicionar outras AWS contas** e insira o ID da AWS conta conforme solicitado. Para adicionar outra conta, escolha **Adicionar outra AWS conta** e insira o ID da AWS conta. Depois de adicionar todas as contas da AWS , selecione **Salvar alterações**