As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Criptografando metadados de aplicativos de OpenSearch interface de usuário com chaves gerenciadas pelo cliente
Os ativos visuais e as configurações são armazenados como metadados para seus aplicativos de OpenSearch interface do usuário. Isso inclui consultas, visualizações e painéis salvos. Os dados das fontes de dados associadas não são armazenados nos metadados. Para obter informações sobre criptografia de dados em suas fontes de dados, consulte [Proteção de dados no Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/data-protection.html) para OpenSearch domínios e [Criptografia no Amazon OpenSearch Serverless](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-encryption.html) para coleções sem servidor.
Seus metadados de OpenSearch interface do usuário são protegidos com criptografia em repouso. Isso impede o acesso não autorizado. A criptografia usa AWS Key Management Service (AWS KMS) para armazenar e gerenciar as chaves de criptografia. Por padrão, os metadados da OpenSearch interface do usuário são criptografados com chaves AWS próprias.
Você também pode usar o recurso de chave gerenciada pelo cliente (CMK) para gerenciar suas próprias chaves de criptografia. Isso ajuda você a atender aos requisitos regulatórios e de conformidade. Para usar a CMK, você deve criar um novo aplicativo de OpenSearch interface de usuário e habilitar a CMK no processo de criação. No momento, não há suporte para atualizar um aplicativo de OpenSearch interface de usuário existente da chave AWS própria para a CMK.
Quando usar as chaves gerenciadas pelo cliente:
+ Sua organização tem requisitos de conformidade regulatória para o gerenciamento de chaves
+ Você precisa de trilhas de auditoria para o uso da chave de criptografia
+ Você deseja controlar os principais horários de rotação
+ Você precisa se integrar aos fluxos de trabalho de gerenciamento de chaves existentes
Ao usar uma chave gerenciada pelo cliente, você tem controle total sobre a chave. Isso inclui a capacidade de:
+ Estabelecer e manter as políticas de chaves
+ Estabelecer e manter políticas e concessões do IAM
+ Ativar e desativar a chave
+ Gire o material criptográfico da chave
+ Adicione tags à chave
+ Criar aliases de chaves
+ Programe a chave para exclusão
**nota**
A chave gerenciada pelo cliente deve estar na Região da AWS mesma do aplicativo de OpenSearch interface do usuário. Você não pode usar uma chave de uma região diferente.
**Topics**
+ [Pré-requisitos para usar chaves gerenciadas pelo cliente](#application-encryption-cmk-prerequisites)
+ [Criação de um aplicativo com criptografia de chave gerenciada pelo cliente usando o console](#application-encryption-cmk-create-console)
+ [Criação de um aplicativo com criptografia de chave gerenciada pelo cliente usando o AWS CLI](#application-encryption-cmk-create-cli)
+ [Monitorando o uso da chave gerenciada pelo cliente](#application-encryption-cmk-monitoring)
+ [Atualizando as configurações de criptografia](#application-encryption-cmk-update)
## Pré-requisitos para usar chaves gerenciadas pelo cliente
Antes de usar uma chave gerenciada pelo cliente para criptografar os metadados do seu aplicativo de OpenSearch interface de usuário, você deve criar uma chave de criptografia simétrica em. AWS KMS Para obter instruções sobre como criar chaves, consulte [Criação de chaves](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) no *Guia do AWS KMS desenvolvedor*.
A política de chaves da sua chave gerenciada pelo cliente deve conceder permissão à OpenSearch interface do usuário para usar a chave. Use a política principal a seguir, *placeholder values* substituindo-a por suas próprias informações:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowOpenSearchUIToUseKey",
"Effect": "Allow",
"Principal": {
"Service": [
"application.opensearchservice.amazonaws.com"
]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey"
],
"Resource": "*"
},
{
"Sid": "AllowKeyAdministration",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::account-id:root"
},
"Action": "kms:*",
"Resource": "*"
}
]
}
```
A política inclui duas instruções:
+ A primeira instrução permite que a OpenSearch UI use a chave para operações de criptografia.
+ A segunda instrução permite que os usuários administrem a chave. Conta da AWS Isso inclui permissões para atualizar a política de chaves, ativar ou desativar a chave e programar a exclusão da chave. Você pode restringir ainda mais essas permissões substituindo o principal raiz por usuários ou funções específicas do IAM.
Para obter mais informações sobre políticas de chaves, consulte [Como usar políticas de chaves AWS KMS no](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) *Guia do AWS KMS desenvolvedor*.
## Criação de um aplicativo com criptografia de chave gerenciada pelo cliente usando o console
Ao criar um aplicativo de OpenSearch interface de usuário no console, você pode especificar uma chave gerenciada pelo cliente para criptografar os metadados do aplicativo.
**Para criar um aplicativo de OpenSearch interface de usuário com criptografia de chave gerenciada pelo cliente usando o console**
1. Faça login no console do Amazon OpenSearch Service em [https://console.aws.amazon.com/aos/casa](https://console.aws.amazon.com/aos/home).
1. No painel de navegação esquerdo, escolha **OpenSearch UI (painéis)**.
1. Selecione **Criar aplicativo**.
1. Em **Nome da aplicação**, insira um nome para a aplicação.
1. Defina as configurações de autenticação e administrador conforme necessário. Para obter mais informações, consulte [Introdução à interface do OpenSearch usuário no Amazon OpenSearch Service](application-getting-started.md).
1. Na seção **Criptografia**, em **Criptografia em repouso**, escolha **Usar chave gerenciada pelo cliente**.
1. Selecione uma chave gerenciada pelo cliente existente na lista ou escolha **Criar uma chave** para criar uma nova chave AWS KMS.
**nota**
A chave deve estar na Região da AWS mesma do aplicativo que você está criando.
1. (Opcional) Adicione tags ao aplicativo.
1. Escolha **Criar**.
## Criação de um aplicativo com criptografia de chave gerenciada pelo cliente usando o AWS CLI
Para criar um aplicativo de OpenSearch interface de usuário com criptografia de chave gerenciada pelo cliente usando o AWS CLI, use o comando [create-application](https://docs.aws.amazon.com/cli/latest/reference/opensearch/create-application.html) com o parâmetro. `--kms-key-arn`
Substitua *placeholder values* por suas próprias informações.
```
aws opensearch create-application \
--name my-application \
--kms-key-arn arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012
```
Se você não especificar o `--kms-key-arn` parâmetro, OpenSearch usa uma chave AWS gerenciada para criptografar os metadados do aplicativo.
## Monitorando o uso da chave gerenciada pelo cliente
Quando você usa uma chave gerenciada pelo cliente com um aplicativo de OpenSearch interface de usuário, AWS KMS registra cada uso da chave nos AWS CloudTrail registros. Você pode usar esses registros para monitorar como e quando sua chave é usada. Os registros mostram qual usuário ou serviço acessou a chave.
AWS AWS KMS gira automaticamente as chaves gerenciadas pelo cliente todos os anos. Você também pode girar manualmente as teclas conforme necessário. Para obter mais informações sobre rotação de chaves, consulte Como [girar chaves KMS](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html) no Guia do *AWS KMS desenvolvedor*.
Para obter mais informações sobre como monitorar o uso de chaves, consulte [Registrar chamadas de AWS KMS API AWS CloudTrail](https://docs.aws.amazon.com/kms/latest/developerguide/logging-using-cloudtrail.html) no *Guia do AWS KMS desenvolvedor*.
**nota**
O uso de chaves gerenciadas pelo cliente gera AWS KMS cobranças. As cobranças são baseadas no número de solicitações de API e chaves armazenadas. Para obter detalhes sobre preços, consulte [Preços do serviço de gerenciamento de AWS chaves](https://aws.amazon.com/kms/pricing/).
## Atualizando as configurações de criptografia
Depois de criar um aplicativo de OpenSearch interface de usuário, você não pode alterar suas configurações de criptografia. Se você precisar usar uma chave gerenciada pelo cliente diferente, deverá criar um novo aplicativo. Se precisar alternar entre chaves AWS gerenciadas e gerenciadas pelo cliente, você também deverá criar um novo aplicativo com as configurações de criptografia desejadas.
**Importante**
Antes de desativar ou excluir uma chave gerenciada pelo cliente, considere o seguinte:
Se você desativar a chave, o aplicativo perderá o acesso aos metadados criptografados. Você deve reativar a mesma chave para restaurar o acesso.
Se você excluir a chave, os objetos salvos do aplicativo ficarão permanentemente inacessíveis. Isso inclui consultas, visualizações e painéis. As chaves excluídas não podem ser recuperadas.
Recomendamos documentar o ARN da chave antes de fazer qualquer alteração no status da chave.
**Próximas etapas**
Depois de configurar a criptografia CMK para seu aplicativo, você pode:
+ Associe fontes de dados ao seu aplicativo. Para obter mais informações, consulte [Gerenciar associações de fontes de dados e permissões de acesso à nuvem privada virtual](application-data-sources-and-vpc.md).
+ Crie espaços de trabalho para sua equipe. Para obter mais informações, consulte [Usando espaços de trabalho OpenSearch do Amazon Service](application-workspaces.md).
+ Configure o AWS CloudTrail monitoramento do uso da chave. Para obter mais informações, consulte [Monitorando o uso da chave gerenciada pelo cliente](#application-encryption-cmk-monitoring).