As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Gerar chaves de dados
<a name="data-keys"></a>

*Chaves de dados* são chaves simétricas que você pode usar para criptografar dados, inclusive grandes quantidades de dados e outras chaves de criptografia dos dados. Ao contrário de chaves do KMS assimétricas, que não podem ser baixadas, as chaves de dados são devolvidas para você para uso fora do AWS KMS. 

Quando AWS KMS gera chaves de dados, ele retorna uma chave de dados em texto simples para uso imediato (opcional) e uma cópia criptografada da chave de dados que você pode armazenar com segurança com os dados. Quando estiver pronto para descriptografar os dados, primeiro solicite a descriptografia da chave AWS KMS de dados criptografada. 

AWS KMS gera, criptografa e descriptografa chaves de dados. No entanto, AWS KMS não armazena, gerencia nem rastreia suas chaves de dados nem executa operações criptográficas com chaves de dados. Você deve usar e gerenciar chaves de dados fora do AWS KMS. Para obter ajuda para usar as chaves de dados de forma segura, consulte a [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/).

**Topics**
+ [

## Criação de uma chave de dados
](#data-keys-create)
+ [

## Funcionamento das operações criptográficas com chaves de dados
](#use-data-keys)
+ [

# Como as chaves do KMS inutilizáveis afetam as chaves de dados
](unusable-kms-keys.md)

## Criação de uma chave de dados
<a name="data-keys-create"></a>

Para criar uma chave de dados, chame a [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)operação. AWS KMS gera a chave de dados. Em seguida, ele criptografa uma cópia da chave de dados em uma [chave do KMS de criptografia simétrica](symm-asymm-choose-key-spec.md#symmetric-cmks) especificada por você. A operação retorna uma cópia em texto simples da chave de dados e a cópia da chave de dados criptografada de acordo com a chave do KMS. A imagem a seguir mostra essa operação.

![\[Gerar uma chave de dados\]](http://docs.aws.amazon.com/pt_br/kms/latest/developerguide/images/generate-data-key.png)


AWS KMS também suporta a [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)operação, que retorna somente uma chave de dados criptografada. Quando precisar usar a chave de dados, peça AWS KMS para [descriptografá-la](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html).

## Funcionamento das operações criptográficas com chaves de dados
<a name="use-data-keys"></a>

Os tópicos a seguir explicam como as chaves de dados geradas por uma [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)operação [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)ou funcionam.

### Criptografia de dados com uma chave de dados
<a name="data-keys-encrypt"></a>

AWS KMS não é possível usar uma chave de dados para criptografar dados. Mas você pode usar a chave de dados fora dela AWS KMS, por exemplo, usando o OpenSSL ou uma biblioteca criptográfica como o. [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/)

Depois de usar a chave de dados de texto simples para criptografar dados e remova-a da memória assim que possível. Você pode armazenar seguramente as chaves de dados criptografadas com os dados criptografados para que estejam disponíveis para descriptografar os dados.

![\[Criptografe os dados do usuário fora do AWS KMS\]](http://docs.aws.amazon.com/pt_br/kms/latest/developerguide/images/encrypt-with-data-key.png)


### Descriptografia dos dados com uma chave de dados
<a name="data-keys-decrypt"></a>

[Para descriptografar seus dados, passe a chave de dados criptografada para a operação Decrypt.](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) AWS KMS usa sua chave KMS para descriptografar a chave de dados e, em seguida, retorna a chave de dados em texto simples. Use a chave de dados de texto simples para descriptografar seus dados e remove-a da memória assim que possível.

O diagrama a seguir mostra como usar a operação `Decrypt` para descriptografar uma chave de dados criptografada.

![\[Descriptografia de uma chave de dados\]](http://docs.aws.amazon.com/pt_br/kms/latest/developerguide/images/decrypt.png)


# Como as chaves do KMS inutilizáveis afetam as chaves de dados
<a name="unusable-kms-keys"></a>

Quando uma chave do KMS torna-se inutilizável, o efeito é quase imediato (sujeito a consistência posterior). O [estado de chave](key-state.md) da chave do KMS é alterado para refletir sua nova condição, e todas as solicitações para usar a chave do KMS em [operações de criptografia](kms-cryptography.md#cryptographic-operations) falham.

No entanto, o efeito nas chaves de dados criptografadas pela chave do KMS e nos dados criptografados pela chave de dados é adiado até que a chave do KMS seja usada novamente, por exemplo, para descriptografar a chave de dados.

As chaves do KMS podem se tornar inutilizáveis por vários motivos, inclusive pelas ações a seguir que você pode executar.
+ [Desabilitar a chave do KMS](enabling-keys.md)
+ [Agendar a exclusão da chave do KMS](deleting-keys.md)
+ [Excluir o material de chaves](importing-keys-delete-key-material.md) de uma chave do KMS com material de chaves importado ou permitir que o material de chaves importado expire. Se uma chave do KMS com a origem `EXTERNAL` tiver vários materiais de chave associados, a exclusão ou expiração de qualquer material de chave fará com que a chave se torne inutilizável.
+ [Desconectar o armazenamento de AWS CloudHSM chaves](disconnect-keystore.md) que hospeda a chave KMS ou [excluir a chave do AWS CloudHSM cluster](fix-keystore.md#fix-cmk-failed) que serve como material de chave para a chave KMS.
+ [Desconectar o armazenamento de chaves externas](about-xks-disconnecting.md) que hospeda a chave do KMS ou qualquer outra ação que interfira nas solicitações de criptografia e descriptografia do proxy de armazenamento de chaves externas, inclusive excluir a chave externa do gerenciador de chaves externas.

Esse efeito é particularmente importante para muitos Serviços da AWS que usam chaves de dados para proteger os recursos que o serviço gerencia. O exemplo a seguir usa o Amazon Elastic Block Store (Amazon EBS) e o Amazon Elastic Compute Cloud EC2 (Amazon). Diferentes Serviços da AWS usam chaves de dados de maneiras diferentes. Para obter detalhes, consulte a seção de proteção de dados do capítulo de segurança do AWS service (Serviço da AWS).

Por exemplo, considere este cenário:

1. [Crie um volume do EBS criptografado](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-creating-volume.html) e especifique uma chave do KMS para protegê-lo. O Amazon EBS solicita que o AWS KMS use a chave do KMS para [gerar uma chave de dados criptografada](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html) para o volume. O Amazon EBS armazena a chave de dados criptografada com os metadados do volume.

1. Quando você anexa o volume do EBS a uma EC2 instância, a Amazon EC2 usa sua chave KMS para descriptografar a chave de dados criptografada do volume do EBS. A Amazon EC2 usa a chave de dados no hardware Nitro, que é responsável por criptografar todo o disco no volume I/O do EBS. A chave de dados persiste no hardware Nitro enquanto o volume do EBS está conectado à instância. EC2 

1. Você executa uma ação que torna a chave do KMS inutilizável. Isso não tem efeito imediato na EC2 instância ou no volume do EBS. A Amazon EC2 usa a chave de dados, não a chave KMS, para criptografar todo o disco I/O enquanto o volume está conectado à instância.

1. No entanto, quando o volume criptografado do EBS é separado da EC2 instância, o Amazon EBS remove a chave de dados do hardware Nitro. Na próxima vez que o volume criptografado do EBS for anexado a uma EC2 instância, o anexo falhará, porque o Amazon EBS não pode usar a chave KMS para descriptografar a chave de dados criptografada do volume. Para usar o volume do EBS novamente, é necessário tornar a chave do KMS utilizável novamente.