As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Criptografia no Amazon MWAA
<a name="encryption"></a>

Os tópicos a seguir descrevem como o Amazon MWAA protege seus dados em repouso e em trânsito. Use essas informações para saber como o Amazon MWAA se integra AWS KMS para criptografar dados em repouso e como os dados são criptografados usando o protocolo Transport Layer Security (TLS) em trânsito.

**Topics**
+ [Criptografia em repouso](#encryption-at-rest)
+ [Criptografia em trânsito](#encryption-in-transit)

## Criptografia em repouso
<a name="encryption-at-rest"></a>

No Amazon MWAA, dados *em repouso* são dados que o serviço salva em mídia persistente.

Você pode usar uma [chave pertencente àAWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) para criptografia de dados em repouso ou, opcionalmente, fornecer uma [chave gerenciada pelo cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) para criptografia adicional ao criar um ambiente. Se você optar por usar uma chave KMS gerenciada pelo cliente, ela deverá estar na mesma conta dos outros AWS recursos e serviços que você está usando com seu ambiente.

Para usar uma chave KMS gerenciada pelo cliente, você deve anexar a declaração de política necessária para CloudWatch acessar sua política de chaves. Quando você usa uma chave KMS gerenciada pelo cliente para seu ambiente, o Amazon MWAA atribui quatro [concessões](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) em seu nome. Para obter mais informações sobre as concessões que o Amazon MWAA atribui a uma chave KMS gerenciada pelo cliente, consulte [Chaves gerenciadas pelo cliente para criptografia de dados](custom-keys-certs.md).

Se você não especificar uma chave KMS gerenciada pelo cliente, por padrão, o Amazon MWAA usa uma chave KMS AWS própria para criptografar e descriptografar seus dados. Recomendamos usar uma chave AWS KMS própria para gerenciar a criptografia de dados no Amazon MWAA.

**nota**  
Você paga pelo armazenamento e uso de chaves KMS AWS próprias ou gerenciadas pelo cliente no Amazon MWAA. Para obter mais informações, consulte [Preços do AWS KMS](https://aws.amazon.com/kms/pricing/).

### Artefatos de criptografia
<a name="encryption-at-rest-services"></a>

Você especifica os artefatos de criptografia usados para criptografia em repouso especificando uma [chave pertencente àAWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) ou uma [chave gerenciada pelo cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) ao criar seu ambiente do Amazon MWAA. O Amazon MWAA adiciona as [concessões](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) necessárias à sua chave especificada.

**Amazon S3**: os dados do Amazon S3 são criptografados no nível do objeto usando criptografia do lado do servidor (SSE). A criptografia e a descriptografia do Amazon S3 ocorrem no bucket do Amazon S3 onde seu código DAG e os arquivos de suporte são armazenados. Os objetos são criptografados quando são carregados para o Amazon S3 e descriptografados quando são baixados para seu ambiente do Amazon MWAA. Por padrão, se você estiver usando uma chave KMS gerenciada pelo cliente, o Amazon MWAA a usará para ler e descriptografar os dados no seu bucket do Amazon S3.

**CloudWatch Registros** — Se você estiver usando uma chave KMS própria, os registros do Apache Airflow enviados CloudWatch para o Logs serão criptografados usando SSE CloudWatch com a chave KMS de AWS propriedade da Logs AWS . Se você estiver usando uma chave KMS gerenciada pelo cliente, deverá adicionar uma [política de chaves à sua chave](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) KMS para permitir que os CloudWatch Logs usem sua chave.

**Amazon SQS**: o Amazon MWAA cria uma fila do Amazon SQS para seu ambiente. O Amazon MWAA manipula a criptografia de dados passados de e para a fila usando SSE com uma chave KMS própria ou uma AWS chave KMS gerenciada pelo cliente que você especificar. Você deve adicionar permissões do Amazon SQS à sua função de execução, independentemente de estar usando uma chave KMS AWS própria ou gerenciada pelo cliente.

**Aurora PostgreSQL**: o Amazon MWAA cria um cluster PostgreSQL para seu ambiente. O Aurora PostgreSQL criptografa o conteúdo com uma chave KMS AWS própria ou gerenciada pelo cliente usando SSE. Se você estiver usando uma chave KMS gerenciada pelo cliente, o Amazon RDS adiciona pelo menos duas concessões à chave: uma para o cluster e outra para a instância do banco de dados. O Amazon RDS pode criar concessões adicionais se você optar por usar sua chave KMS gerenciada pelo cliente em vários ambientes. Para obter mais informações, consulte [Proteção de dados no Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/DataDurability.html).

## Criptografia em trânsito
<a name="encryption-in-transit"></a>

Os dados em trânsito são chamados de dados que podem ser interceptados enquanto viajam pela rede.

O Transport Layer Security (TLS) criptografa os objetos do Amazon MWAA em trânsito entre os componentes do Apache Airflow do seu ambiente e outros serviços AWS que se integram ao Amazon MWAA, como o Amazon S3. Para obter mais informações sobre a criptografia do Amazon S3, consulte [Proteger dados com criptografia](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html).