Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Condividi la chiave KMS utilizzata per crittografare uno snapshot Amazon EBS condiviso Per condividere uno snapshot crittografato, è necessario condividere anche la chiave gestita dal cliente utilizzata per la crittografia dello snapshot. È possibile applicare autorizzazioni valide su più account a una chiave gestita dal cliente al momento della creazione o in seguito. Gli utenti della chiave gestita dal cliente condivisa che accedono agli snapshot crittografati devono disporre delle autorizzazioni per eseguire le seguenti operazioni sulla chiave: + `kms:DescribeKey` + `kms:CreateGrant` + `kms:GenerateDataKey` + `kms:GenerateDataKeyWithoutPlaintext` + `kms:ReEncrypt` + `kms:Decrypt` **Suggerimento** Per seguire il principio del privilegio minimo, non consentire l'accesso completo a `kms:CreateGrant`. Utilizza invece la chiave di `kms:GrantIsForAWSResource` condizione per consentire all'utente di creare sovvenzioni sulla chiave KMS solo quando la concessione viene creata per conto dell'utente da un servizio. AWS Per ulteriori informazioni sul controllo dell'accesso a una chiave gestita dal cliente, consulta [Utilizzo delle policy delle chiavi in AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) nella *Guida per gli sviluppatori di AWS Key Management Service *. **Per condividere la chiave gestita dal cliente utilizzando la console AWS KMS** 1. Apri la AWS KMS console in [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms) 1. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina. 1. Scegliere **Customer managed keys (Chiavi gestite cliente)** nel riquadro di navigazione. 1. Nella colonna **Alias** scegliere l'alias (collegamento testuale) della chiave gestita dal cliente utilizzata per crittografare lo snapshot. I dettagli della chiave si aprono in una nuova pagina. 1. Nella sezione **Key policy (Policy della chiave)**, consultare la *visualizzazione della policy* oppure la *visualizzazione predefinita*. La visualizzazione della policy mostra il documento della policy della chiave. Nella visualizzazione predefinita vengono mostrate le sezioni per **Amministratori della chiave**, **Eliminazione della chiave**, **Uso della chiave** e **Altri account AWS **. La visualizzazione predefinita viene mostrata se la policy è stata creata nella console e non è stata personalizzata. Se la visualizzazione predefinita non è disponibile, sarà necessario modificare manualmente la policy nella visualizzazione della policy. Per ulteriori informazioni, consulta [Visualizzazione di una policy della chiave (console)](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-viewing.html#key-policy-viewing-console) nella *Guida per gli sviluppatori di AWS Key Management Service *. Utilizza la visualizzazione dei criteri o la visualizzazione predefinita, a seconda della visualizzazione a cui puoi accedere, per aggiungere uno o più AWS account IDs alla politica, come segue: + (Visualizzazione della policy) Scegliere **Edit (Modifica)**. Aggiungi uno o più AWS account IDs alle seguenti dichiarazioni: `"Allow use of the key"` e`"Allow attachment of persistent resources"`. Scegli **Save changes** (Salva modifiche). Nell'esempio seguente, l'ID AWS dell'account `444455556666` viene aggiunto alla politica. ``` { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::{{111122223333}}:user/{{KeyUser}}", "arn:aws:iam::{{444455556666}}:root" ]}, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::{{111122223333}}:user/{{KeyUser}}", "arn:aws:iam::{{444455556666}}:root" ]}, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}} } ``` + (Visualizzazione predefinita) Scorri verso il basso fino a **Altri AWS account**. Scegli **Aggiungi altri AWS account** e inserisci l'ID AWS dell'account come richiesto. Per aggiungere un altro account, scegli **Aggiungi un altro AWS account** e inserisci l'ID dell' AWS account. Dopo aver aggiunto tutti gli account AWS , scegliere **Salva modifiche**.