As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
O AWS Control Tower funciona com AWS Key Management Service (AWS KMS). Opcionalmente, se quiser criptografar e descriptografar seus recursos do AWS Control Tower com uma chave de criptografia gerenciada por você, será possível gerar e configurar AWS KMS keys. Você pode adicionar ou alterar uma chave do KMS sempre que atualizar a zona de pouso. Como uma prática recomendada, é aconselhável usar suas próprias chaves do KMS e alterá-las de tempos em tempos.
AWS KMS permite criar chaves KMS multirregionais e chaves assimétricas. No entanto, o AWS Control Tower não é compatível com chaves multirregionais ou chaves assimétricas. O AWS Control Tower realiza uma pré-verificação das chaves existentes. Você poderá receber uma mensagem de erro se selecionar uma chave multirregional ou uma chave assimétrica. Nesse caso, gere outra chave para usar com os recursos do AWS Control Tower.
Para clientes que operam um cluster AWS CloudHSM: Crie um armazenamento de chaves personalizado associado ao seu cluster CloudHSM. Depois, é possível criar uma chave do KMS, que reside no armazenamento de chaves personalizado do CloudHSM que você criou. É possível adicionar essa chave do KMS ao AWS Control Tower.
Você deve fazer uma atualização específica na política de permissões de uma chave do KMS para que ela funcione com o AWS Control Tower. Consulte mais detalhes na seção chamada Atualizar a política de chave do KMS.
