As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Proteção de dados no Amazon Data Firehose
<a name="encryption"></a>

O Amazon Data Firehose criptografa todos os dados em trânsito usando o protocolo TLS. Além disso, quando os dados são armazenados em armazenamento provisório durante o processamento, o Amazon Data Firehose os criptografa usando o [AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) e verifica sua integridade usando a soma de verificação.

Se você tiver dados confidenciais, poderá habilitar a criptografia de dados no lado do servidor ao usar o Amazon Data Firehose. Como fazer isso depende da fonte dos seus dados.

**nota**  
Se você precisar de módulos criptográficos validados pelo FIPS 140-2 ao acessar AWS por meio de uma interface de linha de comando ou de uma API, use um endpoint FIPS. Para ter mais informações sobre endpoints do FIPS disponíveis, consulte [Federal Information Processing Standard (FIPS) 140-2](https://aws.amazon.com/compliance/fips/).

## Criptografia no lado do servidor com o Kinesis Data Streams
<a name="sse-with-data-stream-as-source"></a>

Quando você envia dados de seus produtores de dados para seu stream de dados, o Kinesis Data Streams criptografa seus dados AWS Key Management Service usando AWS KMS uma chave () antes de armazená-los em repouso. Quando seu fluxo do Firehose lê os dados do fluxo de dados, o Kinesis Data Streams primeiro descriptografa os dados e depois os envia ao Amazon Data Firehose. O Amazon Data Firehose armazena os dados na memória com base nas sugestões de armazenamento em buffer que você especifica. Em seguida, entrega-o aos destinos sem armazenar os dados não criptografados em repouso.

*Para obter informações sobre como habilitar a criptografia no lado do servidor para o Kinesis Data Streams, consulte [Using Server-Side Encryption](https://docs.aws.amazon.com/streams/latest/dev/server-side-encryption.html) no Amazon Kinesis Data Streams Developer Guide*.

## Criptografia do lado do servidor com Direct PUT ou outras fontes de dados
<a name="sse-with-direct-put"></a>

Se você enviar dados para seu stream do Firehose usando [PutRecord](https://docs.aws.amazon.com/firehose/latest/APIReference/API_PutRecord.html)ou [PutRecordBatch](https://docs.aws.amazon.com/firehose/latest/APIReference/API_PutRecordBatch.html), ou se você enviar os dados usando AWS IoT Amazon CloudWatch Logs ou CloudWatch Events, você pode ativar a criptografia do lado do servidor usando a operação. [StartDeliveryStreamEncryption](https://docs.aws.amazon.com/firehose/latest/APIReference/API_StartDeliveryStreamEncryption.html) 

Para parar server-side-encryption, use a [StopDeliveryStreamEncryption](https://docs.aws.amazon.com/firehose/latest/APIReference/API_StopDeliveryStreamEncryption.html)operação.

Também é possível habilitar a SSE ao criar o fluxo do Firehose. Para fazer isso, especifique [DeliveryStreamEncryptionConfigurationInput](https://docs.aws.amazon.com/firehose/latest/APIReference/API_DeliveryStreamEncryptionConfigurationInput.html)quando você invoca. [CreateDeliveryStream](https://docs.aws.amazon.com/firehose/latest/APIReference/API_CreateDeliveryStream.html)

Para usar com sucesso`CUSTOMER_MANAGED_CMK`, tanto a política de IAM do chamador quanto a política de chaves do KMS devem permitir operações`kms:GenerateDataKey`. `kms:Decrypt` O Firehose valida essas permissões quando você liga PutRecord ou PutRecordBatch com criptografia. `CUSTOMER_MANAGED_CMK` Além disso, é necessária `kms:CreateGrant` permissão ao ligar CreateDeliveryStream ou StartDeliveryStreamEncryption com `CUSTOMER_MANAGED_CMK` criptografia.

Quando a CMK é do tipo `CUSTOMER_MANAGED_CMK`, se o serviço Amazon Data Firehose não conseguir descriptografar os registros devido a uma `KMSNotFoundException`, `KMSInvalidStateException`, `KMSDisabledException` ou `KMSAccessDeniedException`, o serviço aguardará até 24 horas (o período de retenção) para você resolver o problema. Se o problema persistir depois do período de retenção, o serviço ignorará os registros que passaram pelo período de retenção e não puderam ser descriptografados, e descartará os dados. O Amazon Data Firehose fornece as quatro CloudWatch métricas a seguir que você pode usar para rastrear as quatro AWS KMS exceções:
+ `KMSKeyAccessDenied`
+ `KMSKeyDisabled`
+ `KMSKeyInvalidState`
+ `KMSKeyNotFound`

Para obter mais informações sobre essas quatro métricas, consulte [Monitore o Amazon Data Firehose com métricas CloudWatch](monitoring-with-cloudwatch-metrics.md).

**Importante**  
Para criptografar seu stream do Firehose, use symmetric. CMKs O Amazon Data Firehose não oferece suporte a assimetrias. CMKs Para obter informações sobre simétrico e assimétrico CMKs, consulte [Sobre simétrico e CMKs assimétrico](https://docs.aws.amazon.com/kms/latest/developerguide/symm-asymm-concepts.html) no guia do desenvolvedor. AWS Key Management Service 

**nota**  
Quando você usa uma [chave gerenciada pelo cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) (CUSTOMER\$1MANAGED\$1CMK) para ativar a criptografia do lado do servidor (SSE) no seu fluxo do Firehose, o serviço do Firehose define um contexto de criptografia sempre que usa sua chave. Como esse contexto de criptografia representa uma ocorrência em que uma chave pertencente à sua AWS conta foi usada, ela é registrada como parte dos registros de AWS CloudTrail eventos da sua AWS conta. Esse contexto de criptografia é gerado pelo sistema pelo serviço do Firehose. Sua aplicação não deve fazer nenhuma suposição sobre o formato ou o conteúdo do contexto de criptografia definido pelo serviço do Firehose.