Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# AWS KMS keys
<a name="concepts"></a><a name="key-mgmt"></a><a name="kms_keys"></a>

*Le chiavi KMS create e gestite per essere utilizzate nelle vostre applicazioni crittografiche sono di un tipo noto come chiavi gestite dal cliente.* Le chiavi gestite dal cliente possono essere utilizzate anche in combinazione con AWS servizi che utilizzano le chiavi KMS per crittografare i dati archiviati dal servizio per conto dell'utente. Le chiavi gestite dal cliente sono consigliate ai clienti che desiderano il pieno controllo sul ciclo di vita e sull'utilizzo delle proprie chiavi. È previsto un costo mensile per avere una chiave gestita dal cliente nel proprio account. Inoltre, le richieste relative all'utilizzo e alla and/or gestione della chiave comportano un costo di utilizzo. Per maggiori dettagli, consulta la sezione [AWS Key Management Service Prezzi](https://aws.amazon.com/kms/pricing/).

Ci sono casi in cui un cliente potrebbe desiderare che un AWS servizio crittografi i propri dati, ma non vuole il sovraccarico di gestione delle chiavi e non vuole pagare per una chiave. An *Chiave gestita da AWS*è una chiave KMS presente nel tuo account, ma può essere utilizzata solo in determinate circostanze. In particolare, può essere utilizzata solo nel contesto del AWS servizio in cui operi e può essere utilizzata solo dai responsabili all'interno dell'account in cui esiste la chiave. Non puoi gestire nulla sul ciclo di vita o sulle autorizzazioni di queste chiavi. <service code>Come potete notare, quando utilizzate le funzionalità di crittografia nei AWS servizi Chiavi gestite da AWS, questi utilizzano un alias nel formato «aws». Ad esempio, una `aws/ebs` chiave può essere utilizzata solo per crittografare i volumi EBS e solo per i volumi utilizzati dai responsabili IAM nello stesso account della chiave. Pensa a una Chiave gestita da AWS che sia destinata ad essere utilizzata solo dagli utenti del tuo account per le risorse del tuo account. Non puoi condividere risorse crittografate con e Chiave gestita da AWS con altri account. Sebbene nel tuo account possa esistere gratuitamente, ogni utilizzo di questo tipo di chiave ti viene addebitato dal AWS servizio assegnato alla chiave. Chiave gestita da AWS 

Chiavi gestite da AWS sono un tipo di chiave legacy che non viene più creato per nuovi AWS servizi a partire dal 2021. Invece, i AWS servizi nuovi (e legacy) utilizzano il cosiddetto «an» *Chiave di proprietà di AWS*per crittografare i dati dei clienti per impostazione predefinita. An Chiave di proprietà di AWS è una chiave KMS contenuta in un account gestito dal AWS servizio, in modo che gli operatori del servizio abbiano la possibilità di gestirne il ciclo di vita e le autorizzazioni di utilizzo. Grazie all'utilizzo Chiavi di proprietà di AWS, AWS i servizi possono crittografare i dati in modo trasparente e consentire una facile condivisione dei dati tra account o tra regioni diverse senza che l'utente debba preoccuparsi delle autorizzazioni chiave. Utilizzali Chiavi di proprietà di AWS per encryption-by-default carichi di lavoro che forniscono una protezione dei dati più semplice e automatizzata. Poiché queste chiavi sono possedute e gestite da AWS, non ti viene addebitato alcun costo per la loro esistenza o il loro utilizzo, non puoi modificarne le politiche, non puoi controllare le attività su queste chiavi e non puoi eliminarle. Utilizzate le chiavi gestite dal cliente quando il controllo è importante, ma usatele Chiavi di proprietà di AWS quando la praticità è più importante.


|  |  |  |  | 
| --- |--- |--- |--- |
|  |  Chiavi gestite dal cliente  |  Chiavi gestite da AWS  |  Chiavi di proprietà di AWS  | 
|  Policy della chiave  | Controllato esclusivamente dal cliente | Controllato dal servizio; visualizzabile dal cliente | Controllato esclusivamente e visualizzabile solo dal AWS servizio che crittografa i dati | 
|  Registrazione di log  | CloudTrail percorso dei clienti o archivio dati sugli eventi | CloudTrail percorso dei clienti o archivio dati sugli eventi | Non visualizzabile dal cliente | 
|  Gestione del ciclo di vita  | Il cliente gestisce la rotazione, l'eliminazione e l'ubicazione regionale | AWS KMS gestisce la rotazione (annuale), l'eliminazione e la sede regionale | Servizio AWS gestisce la rotazione, l'eliminazione e la posizione regionale | 
|  Prezzi  |  Tariffa mensile per l'esistenza delle chiavi (ripartita proporzionalmente su base oraria). Addebitato anche per l'utilizzo delle chiavi  | Nessun canone mensile, ma al chiamante viene addebitato l'utilizzo dell'API su queste chiavi | Nessun addebito per il cliente | 

Le chiavi KMS create dall'utente sono [chiavi gestite dal cliente](#customer-mgn-key). I Servizi AWS che utilizzano le chiavi KMS per crittografare le risorse di servizio spesso creano le chiavi per conto dell'utente. Le chiavi KMS Servizi AWS create nel tuo AWS account sono [Chiavi gestite da AWS](#aws-managed-key). Le chiavi KMS Servizi AWS create in un account di servizio sono. [Chiavi di proprietà di AWS](#aws-owned-key)


| Tipo di chiave KMS | Può visualizzare i metadati della chiave KMS | Può gestire la chiave KMS | Usato solo per il mio Account AWS | [Rotazione automatica](rotate-keys.md) | [Prezzi](https://aws.amazon.com/kms/pricing/) | 
| --- | --- | --- | --- | --- | --- | 
| [Chiave gestita dal cliente](#customer-mgn-key) | Sì  | Sì | Sì | Opzionale. | Canone mensile (proporzionale a ora)Tariffa per uso | 
| [Chiave gestita da AWS](#aws-managed-key) | Sì | No | Sì | Obbligatorio. Ogni anno (circa 365 giorni). | Nessuna tariffa mensileTariffa per utilizzo (alcuni Servizi AWS pagano questa tariffa per te) | 
| [Chiave di proprietà di AWS](#aws-owned-key) | No | No | No |  Servizio AWS Gestisce la strategia di rotazione | Nessuna tariffa | 

[AWS i servizi che si AWS KMS integrano con](service-integration.md) differiscono nel supporto per le chiavi KMS. Per impostazione predefinita, alcuni AWS servizi crittografano i dati con un Chiave di proprietà di AWS o un. Chiave gestita da AWS Alcuni AWS servizi supportano le chiavi gestite dai clienti. Altri AWS servizi supportano tutti i tipi di chiavi KMS per consentire la facilità di utilizzo Chiave di proprietà di AWS, la visibilità o il controllo di una chiave gestita dal cliente. Chiave gestita da AWS Per informazioni dettagliate sulle opzioni di crittografia offerte da un AWS servizio, consulta l'argomento *Encryption at Rest* nella guida per l'utente o la guida per sviluppatori del servizio.

## Chiavi gestite dal cliente
<a name="customer-mgn-key"></a>

Le chiavi KMS create dall'utente sono *chiavi gestite dal cliente*. Le chiavi gestite dal cliente sono chiavi KMS Account AWS che create, possedete e gestite dall'utente. L'utente ha il controllo completo su queste chiavi KMS, tra cui la definizione e il mantenimento delle [policy chiave, delle policy IAM e delle concessioni](control-access.md), la loro [attivazione e disattivazione](enabling-keys.md), la [rotazione del materiale crittografico](rotate-keys.md), l'[aggiunta di tag](tagging-keys.md), la [creazione di alias](alias-create.md) relativi alle chiavi KMS e la [programmazione di chiavi KMS per l'eliminazione](deleting-keys.md). 

Le chiavi gestite dal cliente vengono visualizzate nella pagina **chiavi gestite dal cliente** della Console di gestione AWS per AWS KMS. Per identificare in modo definitivo una chiave gestita dal cliente, utilizza l'[DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)operazione. Per le chiavi gestite dal cliente, il valore del campo `KeyManager` della risposta di `DescribeKey` è `CUSTOMER`.

Si possono utilizzare chiavi gestite dal cliente in operazioni di crittografia e verificarne l'uso nei registri AWS CloudTrail . Inoltre, molti [servizi AWS che si integrano con AWS KMS](service-integration.md) consentono di specificare una chiave gestita dal cliente per proteggere i dati archiviati e gestiti per l'utente. 

Le chiavi gestite dal cliente sono soggette a una tariffa mensile e a una tariffa qualora l'utilizzo superi i termini del piano gratuito. Vengono conteggiati nelle AWS KMS [quote](limits.md) del tuo account. Per i dettagli, vedere le sezioni [Prezzi AWS Key Management Service](https://aws.amazon.com/kms/pricing/) e [Quote](limits.md).

## Chiavi gestite da AWS
<a name="aws-managed-key"></a>

*Chiavi gestite da AWS*sono chiavi KMS del tuo account che vengono create, gestite e utilizzate per tuo conto da un [AWS servizio integrato](https://aws.amazon.com/kms/features/#AWS_Service_Integration) con. AWS KMS

Alcuni AWS servizi consentono di scegliere una chiave Chiave gestita da AWS o una chiave gestita dal cliente per proteggere le risorse di quel servizio. In generale, a meno che non sia necessario controllare la chiave di crittografia che protegge le risorse, an Chiave gestita da AWS è una buona scelta. Non è necessario creare o mantenere la chiave o la relativa policy delle chiavi e non è mai previsto un canone mensile per una Chiave gestita da AWS.

Hai il permesso di [visualizzarle Chiavi gestite da AWS](viewing-keys.md) nel tuo account, [visualizzare le relative politiche chiave](key-policy-viewing.md) e [controllarne l'utilizzo](logging-using-cloudtrail.md) nei AWS CloudTrail log. Tuttavia, non è possibile modificare alcuna proprietà Chiavi gestite da AWS, ruotarle, modificarne le politiche chiave o pianificarne l'eliminazione. Inoltre, non è possibile utilizzarle direttamente Chiavi gestite da AWS nelle operazioni crittografiche; il servizio che le crea le utilizza per conto dell'utente. 

[Le politiche di controllo delle risorse](resource-control-policies.md) dell'organizzazione non si applicano a Chiavi gestite da AWS.

Chiavi gestite da AWS appaiono nella **Chiavi gestite da AWS**pagina del Console di gestione AWS modulo AWS KMS. È inoltre possibile identificarli Chiavi gestite da AWS tramite i relativi alias, che hanno il formato`aws/service-name`, ad esempio. `aws/redshift` Per identificare definitivamente un Chiavi gestite da AWS, utilizzate l'[DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)operazione. Per le Chiavi gestite da AWS, il valore del campo `KeyManager` della risposta `DescribeKey` è `AWS`.

Tutti Chiavi gestite da AWS vengono ruotati automaticamente ogni anno. Non è possibile modificare questo programma di rotazione.

**Nota**  
A maggio 2022, AWS KMS ha modificato il programma di rotazione Chiavi gestite da AWS da ogni tre anni (circa 1.095 giorni) a ogni anno (circa 365 giorni).

Non è previsto alcun canone mensile per Chiavi gestite da AWS. Il loro utilizzo può essere soggetto a tariffe superiori a quelle del piano gratuito, ma alcuni AWS servizi coprono questi costi per te. Per informazioni dettagliate, consulta l'argomento *Crittografia dei dati inattivi* nella guida per l'utente o nella guida per gli sviluppatori del servizio. Per informazioni dettagliate, consulta [Prezzi di AWS Key Management Service](https://aws.amazon.com/kms/pricing/).

Chiavi gestite da AWS non conteggiate ai fini delle quote di risorse sul numero di chiavi KMS in ciascuna regione del vostro account. Tuttavia, quando vengono utilizzate per conto di un principale nel tuo account, le chiavi KMS vengono conteggiate ai fini delle quote di richiesta. Per informazioni dettagliate, vedi [Quote](limits.md).

## Chiavi di proprietà di AWS
<a name="aws-owned-key"></a>

*Chiavi di proprietà di AWS*sono una raccolta di chiavi KMS possedute e gestite da un AWS servizio e utilizzabili in più lingue. Account AWS Sebbene non Chiavi di proprietà di AWS siano presenti nel tuo account Account AWS, un AWS servizio può Chiave di proprietà di AWS utilizzarlo per proteggere le risorse del tuo account.

Alcuni AWS servizi consentono di scegliere una chiave Chiave di proprietà di AWS o una chiave gestita dal cliente. In generale, a meno che non sia necessario verificare o controllare la chiave di crittografia che protegge le risorse, an Chiave di proprietà di AWS è una buona scelta. Chiavi di proprietà di AWS sono completamente gratuiti (senza canoni mensili o costi di utilizzo), non influiscono sulle [AWS KMS quote](limits.md) del tuo account e sono facili da usare. Non è necessario creare o mantenere la chiave o la relativa policy delle chiavi.

La rotazione di Chiavi di proprietà di AWS varia a seconda dei servizi. Per informazioni sulla rotazione di un determinato servizio Chiave di proprietà di AWS, consulta l'argomento *Encryption at Rest* nella guida per l'utente o nella guida per sviluppatori del servizio.

## AWS KMS key gerarchia
<a name="key-hierarchy"></a>

La tua gerarchia delle chiavi inizia con una chiave logica di primo livello, un. AWS KMS key Una chiave KMS rappresenta un container per il materiale della chiave di primo livello ed è definita in modo univoco all'interno dello spazio dei nomi del servizio AWS con un Amazon Resource Name (ARN). L'ARN include un identificatore di chiave generato in modo univoco, un *ID chiave.* Una chiave KMS viene creata sulla base di una richiesta avviata dall'utente tramite. AWS KMS Alla ricezione, AWS KMS richiede la creazione di una chiave di supporto HSM iniziale (HBK) da inserire nel contenitore delle chiavi KMS. L'HBK viene generata su una HSM nel dominio ed è progettata per non essere mai esportata da HSM in testo normale. Invece, l'HBK viene esportata crittografata in chiavi di dominio gestite da HSM. Questi token esportati HBKs sono denominati token chiave esportati (). EKTs

L'EKT viene esportato in uno spazio di archiviazione altamente durevole e a bassa latenza. Si supponga, ad esempio, di ricevere un ARN per la chiave logica KMS. Questo rappresenta la parte superiore di una gerarchia di chiavi, o contesto crittografico. Puoi creare più chiavi KMS all'interno del tuo account e impostare politiche sulle tue chiavi KMS come qualsiasi altra risorsa denominata. AWS 

All'interno della gerarchia di una chiave KMS specifica, l'HBK può essere considerata come una versione della chiave KMS. Quando desideri ruotare la chiave KMS AWS KMS, viene creato un nuovo HBK e associato alla chiave KMS come HBK attivo per la chiave KMS. Le versioni precedenti HBKs vengono conservate e possono essere utilizzate per decrittografare e verificare i dati precedentemente protetti. Ma solo la chiave di crittografia attiva può essere utilizzata per proteggere nuove informazioni. 

![\[AWS KMS key gerarchia.\]](http://docs.aws.amazon.com/it_it/kms/latest/developerguide/images/CMK-Hierarchy.png)


Puoi richiedere di utilizzare le tue chiavi KMS AWS KMS per proteggere direttamente le informazioni o richiedere chiavi aggiuntive generate da HSM protette dalla tua chiave KMS. Queste chiavi sono chiamate chiavi dei dati del cliente o. CDKs CDKs possono essere restituite crittografate come testo cifrato (CT), in testo non crittografato o entrambi. Tutti gli oggetti crittografati con una chiave KMS (dati forniti dal cliente o chiavi generate da HSM) possono essere decrittografati solo su un HSM tramite una chiamata. AWS KMS

Il testo cifrato restituito, o il payload decrittografato, non viene mai archiviato all'interno. AWS KMS Le informazioni vengono restituite tramite la connessione TLS a AWS KMS. Ciò vale anche per le chiamate effettuate dai AWS servizi per conto dell'utente. 

La gerarchia delle chiavi e le proprietà della chiave specifiche vengono visualizzate nella tabella seguente.


| Chiave | Description | Ciclo di vita | 
| --- | --- | --- | 
|  **Chiave di dominio**  |  Una chiave AES-GCM a 256 bit solo in memoria di un HSM utilizzato per avvolgere le versioni delle chiavi KMS, le chiavi di supporto HSM.  |  Rotazione giornaliera1  | 
|  **Materiale della chiave HSM**  |  Una chiave simmetrica a 256 bit o RSA o chiave privata della curva ellittica, utilizzata per proteggere i dati e le chiavi dei clienti e archiviata crittografata con le chiavi di dominio. Una o più chiavi di supporto HSM comprendono la chiave KMS, rappresentata da keyId.  |  Rotazione annuale2 (config. facoltativa)  | 
|  **Chiave di crittografia derivata**  |  Una chiave AES-GCM a 256 bit solo in memoria di un HSM utilizzato per crittografare i dati e le chiavi dei clienti. Derivato da una HBK per ogni crittografia.  |  Usato una volta per crittografare e rigenerato sulla decrittografia   | 
|  **Chiave dei dati del cliente**  |  Chiave simmetrica o asimmetrica definita dall'utente esportata da HSM in testo normale e cifrato. Crittografata con una chiave di supporto HSM e restituita agli utenti autorizzati sul canale TLS.  |  Rotazione e utilizzo controllati dall'applicazione  | 

Di tanto in tanto AWS KMS potrei ridurre la rotazione delle chiavi di dominio a una rotazione settimanale al massimo per tenere conto delle attività di amministrazione e configurazione del dominio.

2 Le impostazioni predefinite Chiavi gestite da AWS create e gestite da AWS KMS per conto dell'utente vengono ruotate automaticamente ogni anno.

## Identificatori chiave () KeyId
<a name="key-id"></a>

Gli identificatori delle chiavi fungono da nomi per le tue chiavi KMS. Consentono di riconoscere le chiavi KMS nella console. Puoi utilizzarli per indicare quali chiavi KMS vuoi utilizzare nelle operazioni API AWS KMS , nelle policy chiave, nelle policy IAM e nelle concessioni. Gli identificatori delle chiavi non sono in alcun modo correlati al materiale chiave associato alla chiave KMS.

AWS KMS definisce diversi identificatori chiave. Quando crei una chiave KMS, AWS KMS genera un ARN e un ID chiave, che sono proprietà della chiave KMS. Quando crei un [alias](kms-alias.md), AWS KMS genera un alias ARN in base al nome alias che definisci. È possibile visualizzare gli identificatori di chiave e alias nella e nell'API. Console di gestione AWS AWS KMS 

Nella AWS KMS console, puoi visualizzare e filtrare le chiavi KMS in base all'ARN della chiave, all'ID della chiave o al nome alias e ordinare per ID chiave e nome alias. Per informazioni su come individuare gli identificatori della chiave nella console, consulta [Individuazione dell’ID e dell’ARN delle chiavi](find-cmk-id-arn.md).

Nell' AWS KMS API, i parametri utilizzati per identificare una chiave KMS hanno un nome `KeyId` o una variante, ad esempio o. `TargetKeyId` `DestinationKeyId` Tuttavia, i valori di tali parametri non si limitano alla chiave. IDs Alcuni possono prendere qualsiasi identificatore di chiave valido. Per informazioni sui valori di ciascun parametro, consulta la descrizione del parametro nell' AWS Key Management Service API Reference.

**Nota**  
Quando usi l' AWS KMS API, fai attenzione all'identificatore di chiave che usi. Diversi APIs richiedono identificatori chiave diversi. In generale, utilizza l'identificatore di chiave più completo e pratico per il processo.

AWS KMS supporta i seguenti identificatori chiave.

**ARN della chiave**  <a name="key-id-key-ARN"></a>
L'ARN di chiave è il nome della risorsa Amazon (ARN) di una chiave KMS. Si tratta di un identificatore univoco e completo per la chiave KMS. L'ARN di una chiave include la Account AWS regione e l'ID della chiave. Per informazioni su come individuare l'ARN di una chiave KMS, consulta [Individuazione dell’ID e dell’ARN delle chiavi](find-cmk-id-arn.md).  
Il formato di un ARN della chiave è il seguente:  

```
arn:<partition>:kms:<region>:<account-id>:key/<key-id>
```
Di seguito è riportato un esempio di ARN della chiave per una chiave KMS per una singola Regione.  

```
arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
```
L'*key-id*elemento della chiave ARNs delle chiavi [multiregionali](multi-region-keys-overview.md) inizia con il `mrk-` prefisso. Di seguito è riportato un esempio di ARN della chiave per una chiave KMS in più Regioni.  

```
arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab
```

**ID chiave**  <a name="key-id-key-id"></a>
L'ID chiave identifica in modo univoco una chiave KMS all'interno di un account e di una Regione. Per informazioni su come individuare l'ID chiave di una chiave KMS, consulta [Individuazione dell’ID e dell’ARN delle chiavi](find-cmk-id-arn.md).  
Di seguito è riportato un esempio di ID chiave per una chiave KMS per una singola Regione.  

```
1234abcd-12ab-34cd-56ef-1234567890ab
```
La chiave IDs delle chiavi [multiregionali](multi-region-keys-overview.md) inizia con il prefisso. `mrk-` Di seguito è riportato un esempio di ARN della chiave per una chiave KMS in più Regioni.  

```
mrk-1234abcd12ab34cd56ef1234567890ab
```

**ARN dell'alias**  <a name="key-id-alias-ARN"></a>
L'alias ARN è l'Amazon Resource Name (ARN) di un alias. AWS KMS Si tratta di un identificatore univoco e completo per l'alias e per la chiave KMS che rappresenta. Un alias ARN include, Region e Account AWS il nome dell'alias.  
In qualsiasi momento, un ARN di alias identifica una particolare chiave KMS. Tuttavia, poiché puoi modificare la chiave KMS associata all'alias, l'ARN di alias può identificare chiavi KMS diverse in momenti diversi. Per informazioni su come individuare l'ARN di alias di una chiave KMS, consulta [Trova il nome dell'alias e l'alias ARN per una chiave KMS](alias-view.md).  
Il formato di un ARN dell'alias è il seguente:  

```
arn:<partition>:kms:<region>:<account-id>:alias/<alias-name>
```
Di seguito è riportato l'ARN dell'alias per un `ExampleAlias` fittizio.  

```
arn:aws:kms:us-west-2:111122223333:alias/ExampleAlias
```

**Nome alias**  <a name="key-id-alias-name"></a>
Il nome alias è una stringa di massimo 256 caratteri. Il nome alias identifica in modo univoco una chiave KMS associata all'interno di un account e di una regione. Nell' AWS KMS API, i nomi degli alias iniziano sempre con. `alias/` Per informazioni sulla ricerca del nome dell'alias di una chiave KMS, consulta [Trova il nome dell'alias e l'alias ARN per una chiave KMS](alias-view.md).  
Il formato di un nome alias è il seguente:  

```
alias/<alias-name>
```
Ad esempio:  

```
alias/ExampleAlias
```
Il prefisso `aws/` di un nome alias è riservato alle [Chiavi gestite da AWS](#aws-managed-key). Non è possibile creare un alias con questo prefisso. Ad esempio, il nome alias di Amazon Chiave gestita da AWS Simple Storage Service (Amazon S3) è il seguente.  

```
alias/aws/s3
```

# Tasti asimmetrici in AWS KMS
<a name="symmetric-asymmetric"></a>

Una *chiave KMS asimmetrica* rappresenta una coppia di chiavi, una pubblica e una privata, correlate matematicamente. Puoi distribuire la chiave pubblica anche a qualcuno che non consideri attendibile, ma la chiave privata deve essere tenuta segreta. 

In una chiave KMS asimmetrica, la chiave privata viene creata e non esce mai non crittografata. AWS KMS AWS KMS Per utilizzare la chiave privata, è necessario chiamare. AWS KMSÈ possibile utilizzare la chiave pubblica interna AWS KMS chiamando le operazioni AWS KMS API. In alternativa, puoi [scaricare la chiave pubblica](download-public-key.md) e usarla all'esterno di AWS KMS.

Se il tuo caso d'uso richiede la crittografia al AWS di fuori degli utenti che non possono effettuare chiamate AWS KMS, le chiavi KMS asimmetriche sono una buona scelta. Tuttavia, se stai creando una chiave KMS per crittografare i dati archiviati o gestiti in un AWS servizio, utilizza una chiave KMS con crittografia simmetrica. [AWS i servizi integrati con AWS KMS](https://aws.amazon.com/kms/features/#AWS_Service_Integration) utilizzano solo chiavi KMS di crittografia simmetrica per crittografare i dati. Questi servizi non supportano la crittografia con chiavi KMS asimmetriche.

Quando si firmano messaggi di dimensioni superiori a 4 KB con AWS KMS, è necessario eseguire l'hash del messaggio all'esterno prima di firmare. AWS KMS AWS KMS offre tre `MessageType` opzioni per la gestione dell'input dei messaggi: `RAW` per i messaggi in chiaro (dove AWS KMS esegue l'hashing), `DIGEST` per i messaggi pre-hash (dove AWS KMS salta la fase di hashing) e in `EXTERNAL_MU` particolare per le specifiche chiave ML-DSA KMS in cui l'input è un valore μ rappresentativo di 64 byte. Per messaggi di grandi dimensioni che superano il limite di 4 KB, esegui l'hash del messaggio esternamente e utilizzalo [https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html#KMS-Sign-request-MessageType](https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html#KMS-Sign-request-MessageType)(o [https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html#KMS-Sign-request-MessageType](https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html#KMS-Sign-request-MessageType)per le chiavi KMS ML-DSA) quando richiami le operazioni di AWS KMS [firma](https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html) e AWS KMS [verifica](https://docs.aws.amazon.com/kms/latest/APIReference/API_Verify.html).

AWS KMS supporta diversi tipi di chiavi KMS asimmetriche. 

**chiavi RSA KMS**  
Una chiave KMS con una coppia di chiavi RSA per la crittografia e la decrittografia o la firma e la verifica (ma non entrambe). AWS KMS supporta diverse lunghezze di chiave per diversi requisiti di sicurezza.  
[Per dettagli tecnici sugli algoritmi di crittografia e firma che AWS KMS supportano le chiavi RSA KMS, consulta le specifiche delle chiavi RSA.](symm-asymm-choose-key-spec.md#key-spec-rsa)

**Chiavi KMS Elliptic Curve (ECC)**  
Una chiave KMS con una coppia di chiavi a curva ellittica per la firma e la verifica o la derivazione di segreti condivisi (ma non entrambi). AWS KMS supporta diverse curve di uso comune.  
[Per dettagli tecnici sugli algoritmi di firma che AWS KMS supportano le chiavi ECC KMS, consulta le specifiche chiave della curva ellittica.](symm-asymm-choose-key-spec.md#key-spec-ecc)

**Chiavi KMS ML-DSA**  
Una chiave KMS con una coppia di chiavi ML-DSA per la firma e la verifica. ML-DSA è uno standard di crittografia post-quantistica sviluppato dal National Institute of Standards and Technology (NIST) degli Stati Uniti per proteggere dalle minacce alla sicurezza rappresentate dall'informatica quantistica. ML-DSA è l'algoritmo di firma digitale consigliato per le organizzazioni che passano dagli algoritmi di firma digitale RSA o Elliptic Curve alla crittografia sicura post-quantistica.  
AWS KMS supporta diverse lunghezze di chiave per diversi requisiti di sicurezza. [Per dettagli tecnici sugli algoritmi di firma che AWS KMS supportano le chiavi KMS ML-DSA, consulta le specifiche delle chiavi ML-DSA.](symm-asymm-choose-key-spec.md#key-spec-mldsa)

**SM2 Chiavi KMS (solo regioni della Cina)**  
Una chiave KMS con una coppia di SM2 chiavi per la crittografia e la decrittografia, la firma e la verifica o la derivazione di segreti condivisi (devi scegliere un tipo). [Key usage](create-keys.md#key-usage)  
Per dettagli tecnici sugli algoritmi di crittografia e firma che AWS KMS supportano le chiavi SM2 KMS (solo per le regioni della Cina), consulta le specifiche delle [SM2 chiavi](symm-asymm-choose-key-spec.md#key-spec-sm).

Per maggiori informazioni sulla configurazione della chiave asimmetrica, consulta la sezione [Scelta del tipo di chiave KMS da creare](create-keys.md#symm-asymm-choose). 

**Regioni**

Le chiavi KMS asimmetriche e le coppie di chiavi dati asimmetriche sono supportate in tutti i supporti. Regioni AWS AWS KMS 

**Ulteriori informazioni**
+ Per creare chiavi KMS asimmetriche, consultare [Creazione di una chiave KMS asimmetrica](asymm-create-key.md). 
+ Per creare chiavi KMS asimmetriche multi-regione, consulta la sezione [Creazione di chiavi primarie multiregionali](create-primary-keys.md).
+ Per informazioni su come firmare messaggi e verificare le firme con chiavi KMS asimmetriche, consulta [Firma digitale con le nuove chiavi asimmetriche di AWS KMS](https://aws.amazon.com/blogs/security/digital-signing-asymmetric-keys-aws-kms/) nel *Blog di AWS sulla sicurezza*.
+ Per ulteriori informazioni sulle considerazioni speciali sull'eliminazione delle chiavi KMS asimmetriche, consulta. [Deleting asymmetric KMS keys](deleting-keys.md#deleting-asymmetric-cmks)
+ Per identificare e visualizzare le chiavi KMS asimmetriche, vedi. [Identifica le chiavi KMS asimmetriche](identify-key-types.md#identify-asymm-keys)

# Chiavi HMAC in ingresso AWS KMS
<a name="hmac"></a>

Le chiavi KMS Hash-Based Message Authentication Code (HMAC) sono chiavi simmetriche che vengono utilizzate per generare e verificare all'interno. HMACs AWS KMS Il materiale della chiave univoco associato a ciascuna chiave KMS HMAC fornisce la chiave privata richiesta dagli algoritmi HMAC. È possibile utilizzare una chiave KMS HMAC con le operazioni `[GenerateMac](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateMac.html)` e [https://docs.aws.amazon.com/kms/latest/APIReference/API_VerifyMac.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_VerifyMac.html) per verificare l'integrità e l'autenticità dei dati all'interno di AWS KMS.

Gli algoritmi HMAC combinano una funzione hash crittografica e una chiave segreta condivisa. Prendono un messaggio e una chiave segreta, come il materiale della chiave in una chiave KMS HMAC, e restituiscono un codice univoco di dimensioni fisse o *tag*. Se un solo carattere del messaggio cambia o se la chiave segreta non è identica, il tag risultante è completamente diverso. Richiedendo una chiave segreta, HMAC fornisce anche l'autenticità; è impossibile generare un tag HMAC identico senza la chiave segreta. HMACs a volte vengono chiamate firme *simmetriche, perché funzionano come le firme* digitali, ma utilizzano un'unica chiave sia per la firma che per la verifica.

[Le chiavi HMAC KMS e gli algoritmi HMAC utilizzati sono conformi agli standard di settore definiti nella AWS KMS RFC 2104.](https://datatracker.ietf.org/doc/html/rfc2104) L'operazione genera tag HMAC standard. AWS KMS [GenerateMac](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateMac.html) Le chiavi KMS HMAC vengono generate in moduli di sicurezza AWS KMS hardware certificati secondo il [programma di convalida dei moduli crittografici FIPS 140-3 (tranne nelle regioni di Cina (](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884)Pechino) e Cina (Ningxia)) e non vengono mai lasciate non crittografate. AWS KMS Per utilizzare una chiave KMS HMAC, è necessario richiamare AWS KMS.

Le chiavi KMS HMAC sono utilizzate per determinare l'autenticità di un messaggio, come un token Web JSON (JWT), le informazioni della carta di credito tokenizzate o una password inviata. Possono anche essere utilizzate come funzioni sicure di derivazione delle chiavi ()KDFs, specialmente nelle applicazioni che richiedono chiavi deterministiche.

Le chiavi HMAC KMS offrono un vantaggio HMACs rispetto al software applicativo perché il materiale chiave viene generato e utilizzato interamente all'interno AWS KMS, in base ai controlli di accesso impostati sulla chiave.

**Suggerimento**  
Le best practice consigliano di limitare la durata dell'efficacia di qualsiasi meccanismo di firma, incluso un HMAC. Ciò scoraggia un attacco in cui l'attore utilizza un messaggio firmato per stabilire la validità ripetutamente o molto tempo dopo la sostituzione del messaggio. I tag HMAC non includono un timestamp, ma puoi includere un timestamp nel token o nel messaggio per rilevare più facilmente quando è il momento di aggiornare l'HMAC. 

**Operazioni crittografiche supportate**  
Le chiavi KMS HMAC supportano solo le operazioni crittografiche [https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateMac.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateMac.html) e [https://docs.aws.amazon.com/kms/latest/APIReference/API_VerifyMac.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_VerifyMac.html). Non è possibile utilizzare le chiavi KMS HMAC per crittografare i dati o firmare messaggi o utilizzare qualsiasi altro tipo di chiave KMS nelle operazioni HMAC. Quando utilizzi l'operazione `GenerateMac`, fornisci un messaggio fino a 4.096 byte, una chiave KMS HMAC e l'algoritmo MAC compatibile con la specifica della chiave HMAC, e `GenerateMac` calcola il tag HMAC. Per verificare un tag HMAC, è necessario fornire il tag HMAC e lo stesso messaggio, la chiave KMS HMAC e l'algoritmo MAC utilizzato da `GenerateMac` per calcolare il tag HMAC originale. L'operazione `VerifyMac` calcola il tag HMAC e verifica che sia identico al tag HMAC fornito. Se il tag HMAC inserito non corrisponde a quello calcolato, la verifica non riesce.   
Le chiavi KMS HMAC *non* supportano la [rotazione automatica delle chiavi](rotate-keys.md) e non puoi creare una chiave KMS HMAC in un [archivio di chiavi personalizzate](key-store-overview.md#custom-key-store-overview).  
Se stai creando una chiave KMS per crittografare i dati in un AWS servizio, usa una chiave di crittografia simmetrica. Non puoi utilizzare una chiave KMS HMAC.

**Regioni**  
Le chiavi HMAC KMS sono supportate in tutto ciò Regioni AWS che AWS KMS supporta.

**Ulteriori informazioni**
+ Per creare chiavi HMAC KMS, vedi. [Creazione di una chiave KMS HMAC](hmac-create-key.md)
+ Per creare chiavi HMAC KMS multiregionali, vedi. [Chiavi multiregionali in ingresso AWS KMS](multi-region-keys-overview.md)
+ Per esaminare la differenza nella politica delle chiavi predefinita impostata dalla AWS KMS console per le chiavi HMAC KMS, vedi. [Consente agli utenti della chiave di utilizzare una chiave KMS per le operazioni di crittografia](key-policy-default.md#key-policy-users-crypto)
+ Per identificare e visualizzare le chiavi HMAC KMS, vedere. [Identifica le chiavi HMAC KMS](identify-key-types.md#hmac-view)
+ *Per saperne di più sull'utilizzo HMACs per creare token web JSON, consulta [How to protect HMACs inside AWS KMS](https://aws.amazon.com/blogs/security/how-to-protect-hmacs-inside-aws-kms/) nel Security Blog.AWS *
+ Ascolta un podcast: [Introduzione a The HMACs AWS Key Management Service*Official*](https://aws.amazon.com/podcasts/introducing-hmacs-apis-in-aws-key-management-service) Podcast. AWS 

# Chiavi ML-DSA AWS KMS
<a name="mldsa"></a>

AWS Key Management Service (AWS KMS) supporta l'algoritmo di firma digitale Module-Lattice (ML-DSA) per firme crittografiche post-quantistiche. Questa implementazione segue lo [standard Federal Information Processing Standards (FIPS) 204](https://csrc.nist.gov/pubs/fips/204/final) per aiutare a proteggere dalle future minacce informatiche quantistiche. AWS KMS crea e protegge tutte le chiavi ML-DSA e le operazioni di firma nei moduli di sicurezza hardware convalidati FIPS 140-3 Security Level 3. Per aiutare a bilanciare sicurezza e prestazioni, ML-DSA in AWS KMS offre tre livelli di sicurezza distinti attraverso diverse specifiche chiave, ML\$1DSA\$144, ML\$1DSA\$165 e ML\$1DSA\$187.

AWS KMS supporta firme a chiave `RAW` asimmetriche per messaggi fino a 4 KB utilizzando il tipo di messaggio. Per messaggi più grandi, è necessario calcolare esternamente la rappresentazione del messaggio a 64 byte μ utilizzata nella firma ML-DSA come definita nella sezione 6.2 del NIST FIPS 204. [Utilizzate il tipo di `EXTERNAL_MU` messaggio nell'operazione Sign per specificare questo messaggio preelaborato da 64 byte. AWS KMS](https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html) Le firme prodotte dal comando μ calcolato esternamente sono le stesse di `RAW` quelle prodotte quando si utilizza lo stesso messaggio e la stessa chiave privata. Nota che questa firma è diversa dalla ML-DSA o HashML-DSA «pre-hash» della sezione 5.4 del NIST FIPS 204.

Per ulteriori informazioni sull'uso di ML-DSA e del tipo di messaggio EXTERNAL\$1MU, vedere. [Specifiche principali di ML-DSA](symm-asymm-choose-key-spec.md#key-spec-mldsa)

Per un esempio di utilizzo di ML-DSA e del tipo di messaggio EXTERNAL\$1MU, vedere. [Verifica offline con coppie di chiavi ML-DSA](offline-operations.md#mldsa-offline-verification)

# Chiavi multiregionali in ingresso AWS KMS
<a name="multi-region-keys-overview"></a>

AWS KMS supporta *chiavi multiregionali*, che sono disponibili AWS KMS keys in diverse Regioni AWS regioni e possono essere utilizzate in modo intercambiabile, come se avessi la stessa chiave in più regioni. Ogni set di chiavi multiregionali *correlate* ha lo stesso materiale chiave e lo stesso [ID](concepts.md#key-id-key-id) di chiave, quindi puoi crittografare i dati in una Regione AWS e decrittografarli in un'altra Regione AWS senza doverli crittografare nuovamente o effettuare una chiamata interregionale a. AWS KMS

Come tutte le chiavi KMS, le chiavi multiregionali non escono mai non crittografate. AWS KMS È possibile creare chiavi multi-regione simmetriche o asimmetriche per la crittografia o la firma, creare chiavi multi-regione HMAC per la generazione e la verifica dei tag HMAC e creare [chiavi multi-regione con materiale della chiave importato](importing-keys.md) o materiale della chiave generato da AWS KMS . È necessario gestire ogni chiave multi-regione in modo indipendente, inclusa la creazione di alias e tag, l'impostazione delle policy chiave e delle concessioni e l'abilitazione e la disabilitazione selettiva. È possibile utilizzare chiavi multi-regione in tutte le operazioni di crittografia che è possibile eseguire con le chiavi di singola regione.

Le chiavi multi-regione sono una soluzione flessibile e potente per molti scenari comuni di sicurezza dei dati.

**Ripristino di emergenza **  
In un'architettura di backup e ripristino, le chiavi multiregionali consentono di elaborare i dati crittografati senza interruzioni anche in caso di interruzione. Regione AWS I dati mantenuti nelle regioni di backup possono essere decrittati nella regione di backup e i dati appena crittografati nella regione di backup possono essere decrittati nella regione principale quando tale regione viene ripristinata.

**Gestione globale dei dati**  
Le aziende che operano a livello globale necessitano di dati distribuiti a livello globale e che siano disponibili in modo coerente in Regioni AWS. È possibile creare chiavi multi-regione in tutte le aree geografiche in cui risiedono i dati, quindi utilizzare le chiavi come se fossero una chiave singola regione senza la latenza di una chiamata tra regioni diverse o il costo di una nuova crittografia dei dati sotto una chiave diversa in ogni regione.

**Applicazioni per la firma distribuita**  
Le applicazioni che richiedono funzionalità di firma tra regioni diverse possono utilizzare chiavi di firma asimmetriche multi-regione per generare firme digitali identiche in modo coerente e ripetuto in diverse Regioni AWS.   
Se si utilizza il concatenamento dei certificati con un unico archivio affidabile globale (per una singola autorità di certificazione principale (CA) e un sistema intermedio regionale CAs firmato dalla CA principale, non sono necessarie chiavi multiregionali. Tuttavia, se il sistema non supporta funzionalità intermedie CAs, come la firma delle applicazioni, puoi utilizzare chiavi multiregionali per garantire coerenza alle certificazioni regionali.

**Applicazioni in modalità attivo-attivo che si estendono su più regioni**  
Alcuni carichi di lavoro e applicazioni possono estendersi su più regioni in architetture di modalità attivo-attivo. Per queste applicazioni, le chiavi multi-regione possono ridurre la complessità fornendo lo stesso materiale chiave per le operazioni simultanee di crittografia e decrittografia sui dati che potrebbero essere spostati oltre i confini della regione.

[Puoi utilizzare chiavi multiregionali con librerie di crittografia lato client, come [AWS Database Encryption SDK e la crittografia](https://docs.aws.amazon.com/dynamodb-encryption-client/latest/devguide/) lato client Amazon S3. [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingClientSideEncryption.html) 

La maggior parte dei [AWS servizi che si integrano con AWS KMS](https://aws.amazon.com/kms/features/) la crittografia a riposo o le firme digitali attualmente trattano le chiavi multiregionali come se fossero chiavi a regione singola. Potrebbero riavvolgere o crittografare i dati spostati tra le regioni. Ad esempio, la replica interregionale di Amazon S3 decrittografa e cripta nuovamente i dati con una chiave KMS nella regione di destinazione, anche durante la replica di oggetti protetti da una chiave multiregionale. Consulta la documentazione specifica del servizio per capire come un servizio replica i dati crittografati e se tratta le chiavi multiregionali in modo diverso.

Le chiavi multi-regione non sono globali. Creare una chiave primaria multi-regione e quindi replicarla in Regioni selezionate all'interno di una [partizione AWS](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html). Puoi quindi gestire la chiave multi-regione in ogni regione in modo indipendente. Né crea AWS né replica automaticamente chiavi multiregionali in AWS KMS alcuna regione per tuo conto. [Chiavi gestite da AWS](concepts.md#aws-managed-key), le chiavi KMS che AWS i servizi creano per te nel tuo account sono sempre chiavi per regione singola.

Nelle regioni della Cina, puoi utilizzare la funzionalità chiave multiregionale per replicare le chiavi KMS all'interno della partizione China Regions (). `aws-cn` Ad esempio, è possibile replicare una chiave dalla regione Cina (Pechino) alla regione Cina (Ningxia) o viceversa. Replicando una chiave da una regione della Cina a un'altra, l'utente accetta di utilizzare la regione AWS Key Management Service di destinazione e di rispettare tutti i termini del contratto applicabili per la regione di destinazione. Non è possibile replicare una chiave dalle regioni di Pechino e Ningxia in una AWS regione al di fuori della partizione delle regioni della Cina. Allo stesso modo, non è possibile replicare una chiave da una regione al di fuori della partizione delle regioni della Cina nelle regioni di Pechino e Ningxia.

Non è possibile convertire una chiave di regione singola esistente in una chiave multi-regione. Questo design garantisce che tutti i dati protetti con le chiavi esistenti di regione singola mantengano le stesse proprietà di residenza e sovranità dei dati.

Per la maggior parte delle esigenze di sicurezza dei dati, l'isolamento regionale e la tolleranza agli errori delle risorse regionali rendono le chiavi standard per AWS KMS regione singola la soluzione più adatta. Tuttavia, quando è necessario crittografare o firmare i dati in applicazioni lato client in più regioni, è possibile che le chiavi multi-regione siano la soluzione.



**Regioni**

Le chiavi multiregionali sono supportate in tutti i Regioni AWS supporti. AWS KMS 

**Prezzi e quote**

Ogni chiave di un set di chiavi multi-regione viene conteggiata come una chiave KMS per i prezzi e le quote. Le [quote di AWS KMS](limits.md) sono calcolate separatamente per ogni regione di un account. L'utilizzo e la gestione delle chiavi multi-regione in ogni regione conteggiano per le quote per quella regione.

**Tipi di chiavi KMS supportati**

È possibile creare i seguenti tipi di chiavi KMS multiregione:
+ Chiavi KMS di crittografia simmetrica
+ Chiavi KMS asimmetriche
+ Chiavi KMS HMAC
+ Chiavi KMS con materiale della chiave importato

Non è possibile creare chiavi multi-regione in un archivio delle chiavi personalizzate.

**Ulteriori informazioni**
+ Per informazioni su come controllare l'accesso alle chiavi KMS multiregionali, consulta. [Controlla l'accesso alle chiavi multiregionali](multi-region-keys-auth.md)
+ Per creare chiavi KMS primarie multiregionali di qualsiasi tipo, consulta. [Creazione di chiavi primarie multiregionali](create-primary-keys.md)
+ Per creare chiavi KMS di replica multiregionale, vedi. [Creazione di chiavi di replica multiregionali](multi-region-keys-replicate.md)
+ Per aggiornare la regione principale, vedere. [Cambia la chiave primaria in un set di chiavi multiregionali](multi-region-update.md)
+ Per identificare e visualizzare le chiavi KMS multiregionali, vedi. [Identifica le chiavi HMAC KMS](identify-key-types.md#hmac-view)
+ Per ulteriori informazioni sulle considerazioni speciali sull'eliminazione delle chiavi KMS multiregionali, consulta. [Deleting multi-Region keys](deleting-keys.md#deleting-mrks)

## Concetti e terminologia
<a name="multi-region-concepts"></a>

I termini e i concetti seguenti sono utilizzati con le chiavi multi-regione.

### Chiave multi-regione
<a name="multi-Region-concept"></a>

Una *chiave multi-regione* è una di un set di chiavi KMS con lo stesso ID chiave e materiale chiave (e altre [proprietà condivise](#mrk-replica-key)) in diversi Regioni AWS. Ogni chiave multi-regione è una chiave KMS completamente funzionante che può essere utilizzata indipendentemente dalle relative chiavi multi-regione correlate. Poiché tutte le chiavi multiregione *correlate* hanno lo stesso ID di chiave e lo stesso materiale di chiave, sono *interoperabili*, ovvero qualsiasi chiave multiregionale correlata Regione AWS può decrittografare il testo cifrato crittografato da qualsiasi altra chiave multiregionale correlata.

Puoi impostare la proprietà multi-regione di una chiave KMS al momento della sua creazione. Non è possibile modificare la proprietà multi-Regione su una chiave esistente. Non è possibile convertire una chiave a Regione singola in chiave multi-Regione o convertire una chiave multi-Regione in una chiave a Regione singola. Per spostare i carichi di lavoro esistenti in scenari multi-Regione, è necessario crittografare nuovamente i dati o creare nuove firme con nuove chiavi multi-Regione.

[Una chiave multiregionale può essere [simmetrica o asimmetrica e può utilizzare materiale chiave o](symmetric-asymmetric.md) materiale chiave importato. AWS KMS](importing-keys.md) Non è possibile creare chiavi multi-regione in un [archivio delle chiavi personalizzate](key-store-overview.md#custom-key-store-overview).

In una serie di chiavi multi-regione correlate, c'è esattamente una [chiave primaria](#mrk-primary-key) in qualsiasi momento. È possibile creare [chiavi di replica](#mrk-replica-key) di quella chiave primaria in altri Regioni AWS. È possibile anche [aggiornare l'area principale](multi-region-update.md#update-primary-console), che modifica la chiave primaria in una chiave di replica e modifica una chiave di replica specificata nella chiave primaria. Tuttavia, è possibile mantenere una sola chiave primaria o chiave di replica per ciascuna. Regione AWS Tutte le regioni devono trovarsi nella stessa [partizione AWS](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).

È possibile avere più set di chiavi multi-regione correlate nello stesso o in un diverso Regioni AWS. Sebbene le chiavi multi-regione correlate siano interoperabili, le chiavi multi-regione non correlate non sono interoperabili.

### Chiave primaria
<a name="mrk-primary-key"></a>

Una *chiave primaria multiregionale è una chiave* KMS che può essere replicata in altre Regioni AWS nella stessa partizione. Ogni set di chiavi multi-regione ha una sola chiave primaria.

Una chiave primaria differisce da una chiave di replica nei seguenti modi:
+ Solo una chiave primaria può essere [replicata](multi-region-keys-replicate.md).
+ La chiave primaria è la fonte per le [proprietà condivise](#mrk-replica-key) delle sue [chiavi di replica](#mrk-replica-key), incluso il materiale della chiave e l'ID chiave. 
+ Puoi abilitare e disabilitare la [rotazione automatica delle chiavi](rotate-keys.md) solo su una chiave primaria.
+ È possibile [pianificare l'eliminazione di una chiave primaria](deleting-keys.md#deleting-mrks) in qualsiasi momento. Ma non AWS KMS eliminerà una chiave primaria finché non verranno eliminate tutte le relative chiavi di replica.

Tuttavia, le chiavi primarie e di replica non differiscono in alcuna proprietà crittografica. È possibile utilizzare una chiave primaria e le relative chiavi di replica in modo intercambiabile. 

Non è necessario replicare una chiave primaria. È possibile utilizzarlo come qualsiasi chiave KMS e replicarlo se e quando è utile. Tuttavia, poiché le chiavi multi-regione dispongono di proprietà di protezione diverse dalle chiavi di regione singola, si consiglia di creare una chiave multi-regione solo quando si prevede di replicarla.

### Chiave di replica
<a name="mrk-replica-key"></a>

Una chiave di *replica multiregionale è una chiave* KMS che ha lo stesso [ID e lo stesso materiale chiave](concepts.md#key-id-key-id) della chiave [primaria e delle relative chiavi di replica, ma esiste in una chiave](#mrk-primary-key) diversa. Regione AWS

Una chiave di replica è una chiave KMS completamente funzionale con policy di chiave, privilegi, alias, tag e altre proprietà. Non è una copia o un puntatore alla chiave primaria o a qualsiasi altra chiave. È possibile utilizzare una chiave di replica anche se la chiave primaria e tutte le chiavi di replica correlate sono disabilitate. È inoltre possibile convertire una chiave di replica in una chiave primaria e una chiave primaria in una chiave di replica. Una volta creata, una chiave di replica si basa sulla sua chiave primaria solo per [rotazione delle chiavi](rotate-keys.md#multi-region-rotate) e [aggiornamento della regione primaria](multi-region-update.md). 

Le chiavi primarie e di replica non differiscono nelle proprietà crittografiche. È possibile utilizzare una chiave primaria e le relative chiavi di replica in modo intercambiabile. I dati crittografati da una chiave primaria o di replica possono essere decrittati dalla stessa chiave o da qualsiasi chiave primaria o di replica correlata.

### Replica
<a name="replicate"></a>

È possibile *replicare* una [chiave primaria](#mrk-primary-key) multiregionale in un'altra nella stessa partizione. Regione AWS Quando lo fai, AWS KMS crea una [chiave di replica](#mrk-replica-key) multiregionale nella regione specificata con lo stesso [ID di chiave](concepts.md#key-id-key-id) e altre [proprietà condivise](#mrk-sync-properties) della chiave primaria. Per le chiavi KMS con `AWS_KMS` origine, trasporta AWS KMS in modo sicuro il materiale chiave attraverso il confine della regione e lo associa alla nuova chiave di replica, il tutto all'interno. AWS KMS Per le chiavi KMS con `EXTERNAL` origine, è necessario importare lo stesso materiale chiave importato nella chiave regionale principale per ogni chiave regionale di replica singolarmente.

### Proprietà condivise
<a name="mrk-sync-properties"></a>

*Le proprietà condivise* sono proprietà di una chiave primaria multiregionale condivise con le relative chiavi di replica. AWS KMS crea le chiavi di replica con gli stessi valori di proprietà condivisi di quelli della chiave primaria. Quindi, sincronizza periodicamente i valori delle proprietà condivise della chiave primaria con le relative chiavi di replica. Non è possibile impostare queste proprietà su una chiave di replica. 

Di seguito sono riportate le proprietà condivise delle chiavi multi-regione. 
+ [ID chiave](concepts.md#key-id-key-id) — (L'elemento `Region` del [ARN della chiave](concepts.md#key-id-key-ARN) differisce.)
+ [Materiale chiave](create-keys.md#key-origin): le chiavi primarie e di replica di un set di chiavi multiregionali correlate condividono lo stesso materiale chiave. Per le chiavi multiregionali il cui materiale chiave è generato da AWS KMS (`AWS_KMS`origine), trasporta AWS KMS in modo sicuro tutti i materiali chiave dalla principale a ciascuna replica al momento della creazione della replica o quando viene creato un nuovo materiale chiave tramite rotazione automatica o su richiesta. Per le chiavi multiregionali con materiale chiave importato (`EXTERNAL`origine), AWS KMS sincronizza l'identificatore del materiale chiave dalla chiave primaria, ma è necessario importare il materiale chiave in ciascuna chiave di replica in modo indipendente. 
+ [Origine del materiale della chiave](create-keys.md#key-origin)
+ [Specifica della chiave](create-keys.md#key-spec) e algoritmi di crittografia
+ [Utilizzo delle chiavi](create-keys.md#key-usage)
+ [Rotazione automatica delle chiavi](rotating-keys-enable.md), è possibile abilitare e disabilitare la rotazione automatica delle chiavi solo sulla chiave primaria. Le nuove chiavi di replica vengono create con tutte le versioni del materiale della chiave condivisa. Per informazioni dettagliate, vedi [Rotating multi-Region keys](rotate-keys.md#multi-region-rotate).
+ Rotazione [su richiesta: è possibile eseguire la rotazione](rotating-keys-on-demand.md) su richiesta solo sulla chiave primaria. Per le chiavi multiregionali il cui materiale chiave è generato da AWS KMS (`AWS_KMS`origine), AWS KMS crea chiavi di replica con tutte le versioni del materiale chiave condiviso. Per le chiavi multiregionali con materiale chiave importato (`EXTERNAL`origine), AWS KMS propaga l'ID del materiale chiave e la descrizione del materiale chiave dalla chiave primaria alle chiavi di replica, ma non al materiale chiave. È necessario importare singolarmente il materiale chiave corretto in ciascuna chiave di replica. Per informazioni dettagliate, vedi [Rotating multi-Region keys](rotate-keys.md#multi-region-rotate).

È inoltre possibile considerare le designazioni primarie e di replica delle chiavi multi-regione correlate come proprietà condivise. Quando si [creano nuove chiavi di replica](#mrk-replica-key) o si [aggiorna la chiave primaria](multi-region-update.md#update-primary-console), AWS KMS sincronizza la modifica con tutte le chiavi multiregionali correlate. Una volta completate queste modifiche, tutte le chiavi multi-regione elencano in modo accurato la chiave primaria e le chiavi di replica.

[[Tutte le altre proprietà delle chiavi multiregionali sono *proprietà indipendenti*, tra cui la descrizione della chiave, i [criteri chiave](key-policies.md), le [concessioni](grants.md), gli [stati delle chiavi abilitati e disabilitati, gli alias e](enabling-keys.md) i tag.](tagging-keys.md)](kms-alias.md) Puoi impostare gli stessi valori per queste proprietà su tutte le chiavi multi-regione correlate, ma se si modifica il valore di una proprietà indipendente, AWS KMS non lo sincronizza.

È possibile tenere traccia della sincronizzazione delle proprietà condivise delle chiavi multi-regione. Nel tuo AWS CloudTrail registro, cerca l'evento. [SynchronizeMultiRegionKey](ct-synchronize-multi-region-key.md)

# Considerazioni sulla protezione per le chiavi multi-regione
<a name="mrk-when-to-use"></a>

Usa una chiave AWS KMS multiregionale solo quando ne hai bisogno. Le chiavi multi-regione offrono una soluzione flessibile e scalabile per carichi di lavoro che spostano dati crittografati tra Regioni AWS o hanno bisogno di un accesso tra regioni. Considera una chiave multi-regione se hai bisogno di condividere, spostare o eseguire il backup di dati protetti tra regioni o creare firme digitali identiche di applicazioni che operano in diverse regioni.

Tuttavia, il processo di creazione di una chiave multi-regione sposta il materiale chiave su limiti Regione AWS all'interno di AWS KMS. Il testo cifrato generato da una chiave multi-regione può potenzialmente essere decrittato da più chiavi correlate in più posizioni geografiche. I servizi e le risorse isolate a livello regionale offrono vantaggi significativi. Ogni Regione AWS è isolata e indipendente dalle altre regioni. Le regioni forniscono la tolleranza ai guasti, la stabilità e la resilienza e possono anche ridurre la latenza. Consentono di creare risorse ridondanti che restano disponibili e non influenzate da un'interruzione in un'altra regione. Inoltre AWS KMS, assicurano che ogni testo cifrato possa essere decrittografato con una sola chiave.

Le chiavi multi-regione sollevano anche nuove considerazioni sulla sicurezza:
+ Il controllo dell'accesso e l'applicazione della policy di sicurezza dei dati è più complesso con le chiavi multi-regione. È necessario assicurarsi che la policy sia controllata in modo coerente sulla chiave in più aree isolate. E devi usare la policy per applicare i limiti, invece di fare affidamento su chiavi separate.

  Ad esempio, è necessario impostare le condizioni di policy sui dati per impedire ai team del ciclo paghe di una regione di leggere i dati del ciclo paghe per una regione diversa. Inoltre, è necessario utilizzare il controllo di accesso per impedire uno scenario in cui una chiave multi-regione in una regione protegge i dati di un tenant e una chiave multi-regione correlata in un'altra regione protegge i dati di un tenant diverso.
+ Anche la verifica delle chiavi in tutte le regioni è più complesso. Con le chiavi multi-regione, è necessario esaminare e riconciliare le attività di verifica in più regioni per ottenere una comprensione completa delle attività chiave sui dati protetti.
+ La conformità ai requisiti di residenza dei dati può essere più complessa. Con le regioni isolate, è possibile garantire la residenza dei dati e la conformità alla sovranità dei dati. Le chiavi KMS in una determinata regione possono decrittare i dati sensibili solo in tale regione. I dati crittografati in una regione possono rimanere completamente protetti e inaccessibili in qualsiasi altra regione.

  Per verificare la residenza e la sovranità dei dati con chiavi multiregionali, è necessario implementare politiche di accesso e compilare eventi in più regioni. AWS CloudTrail 

[Per semplificare la gestione del controllo degli accessi sulle chiavi multiregionali, l'autorizzazione a replicare una chiave multiregionale ([kms:ReplicateKey) è separata dall'autorizzazione standard per la creazione di chiavi (kms:](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html)). CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html) Inoltre, AWS KMS supporta diverse condizioni politiche per le chiavi multiregionali`kms:MultiRegion`, tra cui la possibilità di consentire o negare l'autorizzazione a creare, utilizzare o gestire chiavi multiregionali e la limitazione delle regioni in cui è possibile `kms:ReplicaRegion` replicare una chiave multiregionale. Per informazioni dettagliate, vedi [Controlla l'accesso alle chiavi multiregionali](multi-region-keys-auth.md).

# Come funzionano le chiavi multi-regione
<a name="mrk-how-it-works"></a>

Si inizia creando una [chiave primaria multiregionale](multi-region-keys-overview.md#mrk-primary-key) simmetrica o asimmetrica in un sistema che supporti, ad esempio Stati Uniti orientali (Virginia settentrionale). Regione AWS AWS KMS È possibile decidere se una chiave è di regione singola o multi-regione solo al momento della creazione. Non è possibile modificare questa proprietà in un secondo momento. Come per qualsiasi chiave KMS, è possibile impostare una policy delle chiavi per la chiave multi-regione ed è possibile creare concessioni e aggiungere alias e tag per la categorizzazione e l'autorizzazione. (Queste sono [proprietà indipendenti](multi-region-keys-overview.md#mrk-sync-properties) che non sono condiviei o sincronizzate con altre chiavi.) È possibile utilizzare la chiave primaria multi-regione nelle operazioni di crittografia per la crittografia o la firma.

È possibile [creare una chiave primaria multiregionale nella](create-primary-keys.md) AWS KMS console o utilizzando l'API con il parametro impostato su. [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)`MultiRegion``true` Si noti che le chiavi multi-regione hanno un ID chiave distintivo che inizia con `mrk-`. È possibile utilizzare il `mrk-` prefisso per l'identificazione MRKs a livello di codice.

![\[Multi-Region primary key icon with red key symbol and sample key ID format.\]](http://docs.aws.amazon.com/it_it/kms/latest/developerguide/images/multi-region-primary-key.png)


Se lo desideri, puoi [replicare](multi-region-keys-overview.md#replicate) la chiave primaria multiregionale in una o più diverse Regioni AWS nella stessa [AWS partizione](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html), ad esempio Europa (Irlanda). Quando lo fai, AWS KMS crea una [chiave di replica](multi-region-keys-overview.md#mrk-replica-key) nella regione specificata con lo stesso ID di chiave e altre [proprietà condivise](multi-region-keys-overview.md#mrk-sync-properties) della chiave primaria. Il risultato è due chiavi multi-regione *correlate*, una chiave primaria e una chiave di replica, che possono essere utilizzate in modo intercambiabile.

È possibile [creare una chiave di replica multiregionale](multi-region-keys-replicate.md) nella AWS KMS console o utilizzando l'API. [ReplicateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html) 

![\[Diagram showing multi-Region primary and replica keys in US East and EU regions with key IDs.\]](http://docs.aws.amazon.com/it_it/kms/latest/developerguide/images/multi-region-replica-key.png)


La risultante [chiave di replica multi-regione](multi-region-keys-overview.md#mrk-replica-key) è una chiave KMS completamente funzionale con le stesse [proprietà condivise](multi-region-keys-overview.md#mrk-sync-properties) come chiave primaria. Per tutti gli altri aspetti, si tratta di una chiave KMS indipendente con descrizione, policy delle chiavi, concessioni, alias e tag propri. L'attivazione o la disattivazione di una chiave multi-regione non ha alcun effetto sulle chiavi multi-regione. È possibile utilizzare le chiavi primarie e di replica in modo indipendente nelle operazioni di crittografia o coordinarne l'utilizzo. Ad esempio, è possibile crittografare i dati con la chiave primaria nella regione Stati Uniti orientali (Virginia settentrionale), spostare i dati nella regione Europa (Irlanda) e utilizzare la chiave di replica per decrittare i dati. 

Le chiavi multi-regione correlate hanno lo stesso ID chiave. La loro chiave ARNs (Amazon Resource Names) differisce solo nel campo Regione. Ad esempio, la chiave primaria multiregionale e le chiavi di replica potrebbero avere la seguente chiave di esempio. ARNs L'ID chiave, l'ultimo elemento nell'ARN della chiave, è identico. Entrambe le chiavi hanno l'ID chiave distintivo delle chiavi multi-regione, che inizia con **mrk-**.

```
Primary key: arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef12345678990ab
Replica key: arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef12345678990ab
```

Per l'interoperabilità è necessario disporre dello stesso ID chiave. Durante la crittografia, AWS KMS associa l'ID della chiave KMS al testo cifrato in modo che il testo cifrato possa essere decrittografato solo con quella chiave KMS o con una chiave KMS con lo stesso ID di chiave. Questa caratteristica rende anche facili da riconoscere le chiavi multi-regione correlate e rende più facile utilizzarle in modo intercambiabile. Ad esempio, quando le si utilizzano in un'applicazione, è possibile fare riferimento alle chiavi multi-regione correlate tramite il relativo ID chiave condivisa. Quindi, se necessario, specificare la regione o l'ARN per distinguerli. 

Man mano che le esigenze relative ai dati cambiano, puoi replicare la chiave primaria su altre Regioni AWS chiavi della stessa partizione, ad esempio Stati Uniti occidentali (Oregon) e Asia Pacifico (Sydney). Il risultato sono quattro chiavi multiregionali *correlate* con lo stesso materiale chiave e la stessa chiave IDs, come illustrato nel diagramma seguente. Gestisci le chiavi in modo indipendente. Per le chiavi multiregionali con materiale chiave importato, l'utente è responsabile dell'importazione del materiale chiave in ciascuna chiave correlata singolarmente. Puoi usarle indipendentemente o in modo coordinato. Ad esempio, è possibile crittografare i dati con la chiave di replica in Asia Pacifico (Sydney), spostare i dati in Stati Uniti occidentali (Oregon) e decrittarli con la chiave di replica in Stati Uniti occidentali (Oregon). 

![\[Le chiavi primarie e di replica in una chiave multiregionale\]](http://docs.aws.amazon.com/it_it/kms/latest/developerguide/images/multi-region-keys.png)


Altre considerazioni per le chiavi multi-regione includono le seguenti.

*Sincronizzazione delle proprietà condivise*[: se una [proprietà condivisa](multi-region-keys-overview.md#mrk-sync-properties) delle chiavi multiregionali cambia, sincronizza AWS KMS automaticamente la modifica dalla [chiave primaria a tutte le relative chiavi](multi-region-keys-overview.md#mrk-primary-key) di replica.](multi-region-keys-overview.md#mrk-replica-key) Non è possibile richiedere o forzare una sincronizzazione delle proprietà condivise. AWS KMS rileva e sincronizza tutte le modifiche per te. Tuttavia, è possibile controllare la sincronizzazione utilizzando l'[SynchronizeMultiRegionKey](ct-synchronize-multi-region-key.md)evento nei registri. CloudTrail 

Ad esempio, se abiliti la rotazione automatica delle chiavi su una chiave primaria simmetrica multiregionale con `AWS_KMS` origine, AWS KMS copia tale impostazione su tutte le relative chiavi di replica. Quando il materiale chiave viene ruotato, la rotazione viene sincronizzata tra tutte le chiavi multi-regione correlate, in modo che continuino ad avere lo stesso materiale chiave corrente e ad accedere a tutte le versioni precedenti del materiale chiave. Se si crea una nuova chiave di replica, la chiave contiene lo stesso materiale corrente di tutte le chiavi multi-regione correlate e l'accesso a tutte le versioni precedenti del materiale chiave. Per dettagli, consulta [Rotating multi-Region keys](rotate-keys.md#multi-region-rotate).

*Modifica della chiave primaria* — Ogni set di chiavi multi-regione deve avere esattamente una chiave primaria. La [chiave primaria](multi-region-keys-overview.md#mrk-primary-key) è l'unica chiave che può essere replicata. È anche la fonte delle proprietà condivise delle chiavi di replica. Tuttavia, è possibile modificare la chiave primaria in una replica e promuovere una delle chiavi di replica in primaria. È possibile eseguire questa operazione in modo da poter eliminare una chiave primaria per più aree da una determinata regione o individuare la chiave primaria in una regione più vicina agli amministratori di progetto. Per informazioni dettagliate, vedi [Cambia la chiave primaria in un set di chiavi multiregionali](multi-region-update.md).

*Eliminazione delle chiavi multiregionali: come tutte le chiavi* KMS, è necessario pianificare l'eliminazione delle chiavi multiregionali prima di eliminarle. AWS KMS Mentre la chiave è in attesa di eliminazione, non è possibile utilizzarla in nessuna operazione di crittografia. Tuttavia, non AWS KMS eliminerà una chiave primaria multiregionale finché non verranno eliminate tutte le relative chiavi di replica. Per informazioni dettagliate, vedi [Deleting multi-Region keys](deleting-keys.md#deleting-mrks).

# Importazione di materiale chiave per le AWS KMS chiavi
<a name="importing-keys"></a>

Puoi creare una AWS KMS keys (chiave KMS) con il materiale chiave che fornisci. 

Una chiave KMS è una rappresentazione logica di una chiave dati. I metadati di una chiave KMS includono l'ID del materiale chiave utilizzato per eseguire operazioni crittografiche. Quando [crei una chiave KMS](create-keys.md), per impostazione predefinita, AWS KMS genera il materiale chiave per quella chiave KMS. Tuttavia è possibile creare una chiave KMS senza materiale della chiave e importare il proprio materiale in quella chiave KMS. Questa caratteristica è definita "bring your own key" (BYOK).

![\[Icona a forma di chiave che evidenzia il materiale chiave che rappresenta.\]](http://docs.aws.amazon.com/it_it/kms/latest/developerguide/images/import-key.png)


**Nota**  
AWS KMS non supporta la decrittografia di alcun AWS KMS testo cifrato crittografato da una chiave KMS di crittografia simmetrica al di fuori di AWS KMS, anche se il testo cifrato è stato crittografato con una chiave KMS con materiale chiave importato. AWS KMS non pubblica il formato di testo cifrato richiesto da questa attività e il formato potrebbe cambiare senza preavviso.

Quando si utilizza materiale chiave importato, l'utente rimane responsabile del materiale chiave, consentendone AWS KMS al contempo l'utilizzo di una copia. Potresti scegliere di farlo per uno o più dei seguenti motivi:
+ Per dimostrare che il materiale della chiave è stato generato utilizzando una sorgente di entropia che soddisfa i tuoi requisiti. 
+ Utilizzare materiale chiave proveniente dalla propria infrastruttura con AWS servizi e utilizzarlo per AWS KMS gestire il ciclo di vita di tale materiale chiave all'interno. AWS
+ Utilizzare chiavi esistenti e consolidate, ad esempio le chiavi per la firma del codice AWS KMS, la firma dei certificati PKI e le applicazioni con certificato bloccato
+ Per impostare una scadenza per il materiale chiave AWS e per [eliminarlo manualmente](importing-keys-delete-key-material.md), ma anche per renderlo nuovamente disponibile in futuro. La pianificazione, [dell'eliminazione di una chiave](deleting-keys.md#deleting-keys-how-it-works), invece, richiede un periodo di attesa compreso tra 7 e 30 giorni, trascorso il quale non puoi più recuperare la chiave KMS eliminata.
+ Possedere la copia originale del materiale chiave e conservarla all'esterno AWS per una maggiore durabilità e ripristino di emergenza durante l'intero ciclo di vita del materiale chiave.
+ Per le chiavi asimmetriche e le chiavi HMAC, l'importazione crea chiavi compatibili e interoperabili che funzionano all'interno e all'esterno di. AWS

**Tipi di chiavi KMS supportati**

AWS KMS supporta materiale chiave importato per i seguenti tipi di chiavi KMS. Non puoi importare il materiale della chiave in chiavi KMS in [archivi di chiavi personalizzate](key-store-overview.md#custom-key-store-overview).
+ [Chiavi KMS di crittografia simmetrica](symm-asymm-choose-key-spec.md#symmetric-cmks)
+ [Chiavi KMS asimmetriche (eccetto le chiavi ML-DSA)](symmetric-asymmetric.md)
+ [Chiavi KMS HMAC](hmac.md)
+ [Chiavi multi-regione](multi-region-keys-overview.md) di tutti i tipi supportati.

**Regioni**

Il materiale chiave importato è supportato in tutti i supporti. Regioni AWS AWS KMS 

Nelle regioni della Cina, i requisiti materiali chiave per le chiavi KMS con crittografia simmetrica sono diversi da quelli delle altre regioni. Per informazioni dettagliate, vedi [Fase 3: crittografare il materiale delle chiavi](importing-keys-encrypt-key-material.md).

**Ulteriori informazioni**
+ Per creare chiavi KMS con materiale chiave importato, vedi. [Crea una chiave KMS con materiale chiave importato](importing-keys-conceptual.md)
+ Per creare un avviso che ti avvisi quando il materiale chiave importato in una chiave KMS sta per scadere, vedi. [Crea un CloudWatch allarme per la scadenza del materiale chiave importato](imported-key-material-expiration-alarm.md)
+ Per reimportare il materiale chiave in una chiave KMS, vedi. [Reimporta il materiale chiave](importing-keys-import-key-material.md#reimport-key-material)
+ Per importare nuovo materiale chiave in una chiave KMS per la rotazione su richiesta, vedi e. [Importazione di nuovo materiale della chiave](importing-keys-import-key-material.md#import-new-key-material) [Esegui la rotazione dei tasti su richiesta](rotating-keys-on-demand.md) 
+ Per identificare e visualizzare le chiavi KMS con materiale chiave importato, vedi. [Identifica le chiavi KMS con materiale chiave importato](identify-key-types.md#identify-imported-keys)
+ Per ulteriori informazioni sulle considerazioni speciali sull'eliminazione delle chiavi KMS con materiale chiave importato, consulta. [Deleting KMS keys with imported key material](deleting-keys.md#import-delete-key)

# Considerazioni speciali per il materiale chiave importato
<a name="importing-keys-considerations"></a>

Prima di decidere di importare materiale chiave in AWS KMS, è necessario comprendere le seguenti caratteristiche del materiale chiave importato.

**Generare il materiale della chiave**  
Sei responsabile della generazione del materiale della chiave utilizzando una fonte di casualità che soddisfa i tuoi requisiti di sicurezza.

**Sei responsabile della disponibilità e della durata**  
AWS KMS è progettato per garantire un'elevata disponibilità del materiale chiave importato. Tuttavia, AWS KMS non mantiene la durabilità del materiale chiave importato allo stesso livello del materiale chiave che AWS KMS genera. Per informazioni dettagliate, vedi [Protezione del materiale della chiave importato](import-keys-protect.md).

**Puoi eliminare il materiale chiave**  
Puoi eliminare il [materiale della chiave importato](importing-keys-delete-key-material.md) da una chiave KMS, rendendo immediatamente inutilizzabile la chiave KMS. Quando importi il materiale della chiave in una chiave KMS, puoi determinare se la chiave scade e [impostare la data di scadenza](importing-keys-import-key-material.md#importing-keys-expiration). Quando arriva la data di scadenza, AWS KMS [elimina il materiale chiave.](importing-keys-delete-key-material.md) Senza materiale chiave, la chiave KMS non può essere utilizzata in nessuna operazione di crittografia. Per ripristinare la chiave, è necessario importare nuovamente lo stesso materiale chiave nella chiave. 

**Non è possibile modificare il materiale delle chiavi per le chiavi asimmetriche e HMAC**  
Quando importi materiale della chiave in una chiave KMS, la chiave KMS viene associata in modo permanente a quel materiale della chiave. Puoi importare [nuovamente lo stesso materiale della chiave](importing-keys-import-key-material.md#reimport-key-material), ma non puoi importare materiale della chiave diverso in quella chiave KMS. Inoltre, non puoi [abilitare la rotazione automatica](rotate-keys.md) delle chiavi per una chiave KMS con materiale della chiave importato. Tuttavia, puoi [ruotare manualmente una chiave KMS](rotate-keys-manually.md) con materiale della chiave importato. 

**È possibile eseguire la rotazione su richiesta su chiavi di crittografia simmetriche**  
Le chiavi di crittografia simmetriche con materiale chiave importato supportano la rotazione su richiesta. È possibile [importare più materiali chiave](importing-keys-import-key-material.md#import-new-key-material) in queste chiavi e utilizzare la [rotazione su richiesta](rotating-keys-on-demand.md) per aggiornare il materiale chiave corrente. Il materiale chiave corrente viene utilizzato sia per la crittografia che per la decrittografia, ma altri materiali chiave (non correnti) possono essere utilizzati solo per la decrittografia. 

**Non puoi modificare l'origine del materiale della chiave**  
Le chiavi KMS progettate per il materiale chiave importato ha un valore di [origine](create-keys.md#key-origin) di `EXTERNAL` che non può essere modificato. Non è possibile convertire una chiave KMS per materiale chiave importato in modo da utilizzare materiale chiave proveniente da altre fonti, tra cui. AWS KMS Allo stesso modo, non è possibile convertire una chiave KMS con materiale AWS KMS chiave in una chiave progettata per il materiale chiave importato.

**Non puoi esportare il materiale della chiave**  
Non è possibile esportare alcun materiale chiave importato. AWS KMS non può restituirti il materiale chiave importato in nessuna forma. È necessario conservare una copia del materiale chiave importato all'esterno AWS, preferibilmente in un gestore di chiavi, come un modulo di sicurezza hardware (HSM), in modo da poter reimportare il materiale chiave in caso di eliminazione o scadenza.

**Puoi creare chiavi multi-regione con materiale della chiave importato**  
Le chiavi multi-regione con il materiale della chiave importato includono le funzionalità delle chiavi KMS con il materiale della chiave importato e possono interoperare tra Regioni AWS. Per creare una chiave multi-regione con il materiale della chiave importato, devi importare lo stesso materiale della chiave nella chiave KMS primaria e in ogni chiave di replica. Per ulteriori dettagli sull'importazione di materiali chiave per chiavi multiregionali, consulta. [Importazione di nuovo materiale della chiave](importing-keys-import-key-material.md#import-new-key-material)

**Le chiavi asimmetriche e le chiavi HMAC sono portatili e interoperabili**  
È possibile utilizzare il materiale chiave asimmetrico e il materiale chiave HMAC all'esterno di AWS per interagire con AWS KMS chiavi con lo stesso materiale chiave importato.   
A differenza del testo cifrato AWS KMS simmetrico, che è indissolubilmente legato alla chiave KMS utilizzata nell'algoritmo, AWS KMS utilizza formati HMAC standard e asimmetrici per la crittografia, la firma e la generazione MAC. Di conseguenza, le chiavi sono portatili e supportano gli scenari di chiavi di deposito tradizionali.  
Quando la chiave KMS ha importato materiale chiave, puoi utilizzare il materiale chiave importato all'esterno per eseguire le seguenti operazioni. AWS   
+ Chiavi HMAC: puoi verificare un tag HMAC generato dalla chiave KMS HMAC con il materiale della chiave importato. Puoi anche utilizzare la chiave KMS HMAC con il materiale chiave importato per verificare un tag HMAC generato dal materiale chiave all'esterno di. AWS
+ Chiavi di crittografia asimmetriche: puoi utilizzare la tua chiave di crittografia asimmetrica privata all'esterno di AWS per decrittografare un testo cifrato crittografato dalla chiave KMS con la chiave pubblica corrispondente. Puoi anche utilizzare la tua chiave KMS asimmetrica per decrittografare un testo cifrato asimmetrico generato all'esterno di. AWS
+ Chiavi di firma asimmetriche: puoi utilizzare la tua chiave KMS di firma asimmetrica con materiale chiave importato per verificare le firme digitali generate dalla tua chiave di firma privata all'esterno di. AWS Puoi anche utilizzare la tua chiave di firma pubblica asimmetrica all'esterno di per verificare le firme generate dalla tua chiave KMS asimmetrica. AWS 
+ Chiavi di accordo con chiave asimmetrica: puoi utilizzare la tua chiave KMS con contratto a chiave asimmetrica con materiale chiave importato per ricavare segreti condivisi con un altro utente esterno. AWS
Se importi lo stesso materiale della chiave in chiavi KMS diverse nella stessa Regione AWS, anche queste chiavi sono interoperabili. Per creare chiavi KMS interoperabili in diversi formati, crea una chiave multiregionale con materiale chiave importato. Regioni AWS  

**Chiavi private RSA**
+ AWS KMS richiede che le chiavi private RSA importate abbiano fattori primi conformi al test descritto in [FIPS](https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.186-5.pdf) 186-5, Sezione A. 1.3. Altri software o dispositivi possono utilizzare algoritmi diversi per convalidare questi fattori primi delle chiavi private RSA. In rari casi, le chiavi convalidate utilizzando altri algoritmi potrebbero non essere accettate da. AWS KMS

**Le chiavi di crittografia simmetriche non sono portatili né interoperabili**  
I testi cifrati simmetrici che produce non sono portatili o interoperabili AWS KMS . AWS KMS non pubblica il formato di testo cifrato simmetrico richiesto dalla portabilità e il formato potrebbe cambiare senza preavviso.   
+ AWS KMS non è in grado di decrittografare testi cifrati simmetrici crittografati all'esterno, anche se si utilizza materiale chiave importato. AWS
+ AWS KMS non supporta la decrittografia di alcun testo cifrato AWS KMS simmetrico al di fuori di, anche se il testo cifrato è stato crittografato con una chiave KMS con AWS KMS materiale chiave importato.
+ Le chiavi KMS con lo stesso materiale della chiave importato non sono interoperabili. Il testo cifrato simmetrico che genera testo cifrato specifico per ogni chiave KMS. AWS KMS Questo formato di testo criptato garantisce che solo la chiave KMS che ha crittografato i dati possa decrittografarli. 
Inoltre, non è possibile utilizzare AWS strumenti, come la [crittografia lato client di Amazon S3 [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/)o Amazon S3, per decrittografare testi cifrati](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingClientSideEncryption.html) simmetrici. AWS KMS   
Di conseguenza, non è possibile utilizzare chiavi con materiale chiave importato per supportare accordi di deposito di chiavi in cui una terza parte autorizzata con accesso condizionato al materiale chiave possa decrittografare determinati testi cifrati all'esterno. AWS KMS Per supportare il deposito delle chiavi, utilizza il [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/java-example-code.html#java-example-multiple-providers) per crittografare il messaggio in una chiave indipendente da AWS KMS.

# Protezione del materiale della chiave importato
<a name="import-keys-protect"></a>

Il materiale della chiave importato è protetto durante il transito e a riposo. Prima di importare il materiale chiave, si crittografa (o «avvolge») il materiale chiave con la chiave pubblica di una coppia di chiavi RSA generata nei moduli di sicurezza AWS KMS hardware (HSMs) convalidati secondo il programma di convalida dei moduli crittografici [FIPS 140-3](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884). Puoi crittografare il materiale della chiave direttamente con la chiave pubblica di wrapping oppure crittografare il materiale della chiave con una chiave simmetrica AES e quindi crittografare la chiave simmetrica AES con la chiave pubblica RSA.

Al ricevimento, AWS KMS decripta il materiale chiave con la chiave privata corrispondente in un AWS KMS HSM e lo cripta nuovamente con una chiave simmetrica AES che esiste solo nella memoria volatile dell'HSM. Il materiale della chiave non esce mai in testo normale dal modulo HSM. Viene decrittografato solo mentre è in uso e solo all'interno. AWS KMS HSMs

L'uso della chiave KMS con il materiale della chiave importato è determinato esclusivamente dalle [policy di controllo degli accessi](control-access.md) che hai impostato sulla chiave KMS. Inoltre, puoi utilizzare [alias](kms-alias.md) e [tag](tagging-keys.md) per identificare e [controllare l'accesso](abac.md) alla chiave KMS. È possibile [abilitare e disabilitare](enabling-keys.md) la chiave, [visualizzarla](viewing-keys.md) e [monitorarla](monitoring-overview.md) utilizzando servizi come. AWS CloudTrail

Ciononostante, conserva solo la copia sicura del materiale della chiave. In cambio di questa ulteriore misura di controllo, sei responsabile della durabilità e della disponibilità complessiva del materiale chiave importato. AWS KMS è progettato per garantire un'elevata disponibilità del materiale chiave importato. Tuttavia, AWS KMS non mantiene la durabilità del materiale chiave importato allo stesso livello del materiale chiave che AWS KMS genera.

Questa differenza di durabilità è significativa nei seguenti casi:
+ Quando [impostate una scadenza](importing-keys-import-key-material.md#importing-keys-expiration) per il materiale chiave importato, AWS KMS elimina il materiale chiave dopo la sua scadenza. AWS KMS non elimina la chiave KMS o i relativi metadati. Puoi [creare un CloudWatch allarme Amazon](imported-key-material-expiration-alarm.md) che ti avvisa quando il materiale chiave importato si avvicina alla data di scadenza.

  Non puoi eliminare il materiale chiave AWS KMS generato per una chiave KMS e non puoi impostare la scadenza del materiale AWS KMS chiave.
+ Quando [elimini manualmente il materiale chiave importato](importing-keys-delete-key-material.md), AWS KMS elimina il materiale chiave ma non elimina la chiave KMS o i relativi metadati. Al contrario, [la pianificazione dell'eliminazione delle chiavi](deleting-keys.md#deleting-keys-how-it-works) richiede un periodo di attesa da 7 a 30 giorni, dopodiché elimina AWS KMS definitivamente la chiave KMS, i relativi metadati e il relativo materiale chiave.
+ Nell'improbabile eventualità che si verifichino determinati guasti a livello regionale AWS KMS (ad esempio una perdita totale di alimentazione), AWS KMS non è possibile ripristinare automaticamente il materiale chiave importato. Tuttavia, AWS KMS può ripristinare la chiave KMS e i relativi metadati.

È *necessario* conservare una copia del materiale chiave importato all'esterno di AWS un sistema controllato dall'utente. Ti consigliamo di archiviare una copia esportabile del materiale della chiave importato in un sistema di gestione delle chiavi, ad esempio un modulo HSM. Come procedura consigliata, è consigliabile memorizzare un riferimento all'ARN della chiave KMS e all'ID del materiale chiave generato AWS KMS da insieme alla copia esportabile del materiale chiave. Se il materiale della chiave importato viene eliminato o scade, la chiave KMS associata diventa inutilizzabile fino a quando non importi nuovamente lo stesso materiale della chiave. Se il materiale della chiave importato viene perso definitivamente, qualunque testo criptato crittografato con la chiave KMS è irrecuperabile. 

**Importante**  
Alle chiavi di crittografia simmetriche possono essere associati più materiali chiave. L'intera chiave KMS diventa inutilizzabile non appena si elimina uno di questi materiali chiave o se uno di questi materiali chiave scade (a meno che il materiale chiave eliminato o in scadenza non sia o). `PENDING_ROTATION` `PENDING_MULTI_REGION_IMPORT_AND_ROTATION` È necessario reimportare qualsiasi materiale chiave scaduto o eliminato associato a tale chiave prima che la chiave diventi utilizzabile per operazioni crittografiche. 

# Chiavi KMS in un archivio di chiavi CloudHSM
<a name="manage-cmk-keystore"></a>

È possibile creare, visualizzare, gestire, utilizzare e pianificare l'eliminazione delle chiavi AWS KMS keys in un archivio di AWS CloudHSM chiavi. Le procedure utilizzate sono molto simili a quelle impiegate per le altre chiavi KMS. L'unica differenza è che si specifica un archivio di AWS CloudHSM chiavi quando si crea la chiave KMS. Quindi, AWS KMS crea materiale chiave non estraibile per la chiave KMS nel AWS CloudHSM cluster associato all'archivio delle chiavi. AWS CloudHSM Quando si utilizza una chiave KMS in un archivio di AWS CloudHSM chiavi, le [operazioni crittografiche](#use-cmk-keystore) vengono eseguite nel cluster. HSMs 

**Funzionalità supportate**  
Oltre alle procedure illustrate in questa sezione, è possibile effettuare le seguenti operazioni con le chiavi KMS in un AWS CloudHSM archivio di chiavi:  
+ Utilizzare le policy delle chiavi, le policy IAM e le concessioni per [autorizzare l'accesso](control-access.md) alle chiavi KMS.
+ [Abilitare e disabilitare](enabling-keys.md) le chiavi KMS. 
+ Assegnare [tag](tagging-keys.md), creare [alias](kms-alias.md) e utilizzare il controllo degli accessi basato su attributi (ABAC) per autorizzare l'accesso alle chiavi KMS.
+ Utilizza le chiavi KMS per eseguire le seguenti operazioni crittografiche:
  + [Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html)
  + [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)
  + [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)
  + [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)
  + [ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html)

  Le operazioni che generano coppie di chiavi di dati asimmetriche [GenerateDataKeyPair](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPair.html)e [GenerateDataKeyPairWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPairWithoutPlaintext.html), *non* sono supportate negli archivi di chiavi personalizzati.
+ Utilizzare le chiavi KMS con [servizi AWS che si integrano con AWS KMS](service-integration.md) e supportano le chiavi gestite dal cliente.
+ Tieni traccia dell'uso delle tue chiavi KMS nei [AWS CloudTrail log e](logging-using-cloudtrail.md) negli strumenti di [ CloudWatch monitoraggio di Amazon](monitoring-overview.md).

**Caratteristiche non supportate**  
+ AWS CloudHSM gli archivi di chiavi supportano solo chiavi KMS con crittografia simmetrica. Non è possibile creare chiavi KMS HMAC, chiavi KMS asimmetriche o coppie di chiavi dati asimmetriche in un archivio di chiavi. AWS CloudHSM 
+ Non è possibile [importare materiale chiave in una chiave KMS](importing-keys.md) in un archivio di chiavi. AWS CloudHSM AWS KMS genera il materiale chiave per la chiave KMS nel AWS CloudHSM cluster.
+ Non è possibile abilitare o disabilitare la [rotazione automatica](rotate-keys.md) del materiale chiave per una chiave KMS in un archivio di AWS CloudHSM chiavi.

**Utilizzo delle chiavi KMS in un archivio di AWS CloudHSM chiavi**  
Quando usi la tua chiave KMS in una richiesta, identifica la chiave KMS tramite il suo ID o alias; non è necessario specificare l'archivio delle AWS CloudHSM chiavi o il cluster. AWS CloudHSM La risposta include gli stessi campi che vengono restituiti per qualsiasi chiave KMS di crittografia simmetrica.  
Tuttavia, quando si utilizza una chiave KMS in un archivio di AWS CloudHSM chiavi, l'operazione di crittografia viene eseguita interamente all'interno del AWS CloudHSM cluster associato all'archivio delle chiavi. AWS CloudHSM L'operazione utilizza il materiale della chiave nel cluster associato alla chiave KMS scelta.  
Perché ciò avvenga, devono essere soddisfatte le seguenti condizioni.  
+ Lo [stato di chiave](key-state.md) della chiave KMS deve essere `Enabled`. Per trovare lo stato della chiave, usa il campo **Status** nella [AWS KMS console](finding-keys.md#viewing-console-details) o il `KeyState` campo nella [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)risposta.
+ L'archivio delle AWS CloudHSM chiavi deve essere connesso al relativo AWS CloudHSM cluster. Il relativo **stato** nella [AWS KMS console](view-keystore.md) o `ConnectionState` nella [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)risposta deve essere`CONNECTED`.
+ Il AWS CloudHSM cluster associato all'archivio chiavi personalizzato deve contenere almeno un HSM attivo. Per trovare il numero di persone attive HSMs nel cluster, usa la [AWS KMS console](view-keystore.md), la AWS CloudHSM console o l'[DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)operazione.
+ Il AWS CloudHSM cluster deve contenere il materiale chiave per la chiave KMS. Se questo materiale è stato eliminato dal cluster oppure un HSM è stato creato a partire da un backup che non includeva quel materiale, l'operazione di crittografia non riuscirà.
Se queste condizioni non sono soddisfatte, l'operazione di crittografia ha esito negativo e AWS KMS restituisce un'`KMSInvalidStateException`eccezione. In genere, è sufficiente [ricollegare l'archivio delle AWS CloudHSM chiavi](connect-keystore.md). Per ulteriori informazioni, consulta [Come correggere una chiave KMS non funzionante](fix-keystore.md#fix-cmk-failed).  
Quando utilizzi le chiavi KMS in un AWS CloudHSM archivio di chiavi, tieni presente che le chiavi KMS di ogni archivio AWS CloudHSM chiavi condividono una quota di [richieste di archiviazione chiavi personalizzata per le operazioni di crittografia](requests-per-second.md#rps-key-stores). Se superi la quota, AWS KMS restituisce un. `ThrottlingException` Se il AWS CloudHSM cluster associato all'archivio AWS CloudHSM chiavi elabora numerosi comandi, inclusi quelli non correlati all'archivio AWS CloudHSM chiavi, potresti riceverne uno `ThrottlingException` a una velocità ancora inferiore. Se viene generata un'eccezione `ThrottlingException` per una qualsiasi richiesta, riduci la frequenza delle richieste e riesegui i comandi. Per informazioni dettagliate sulle quote di richiesta dell'archivio delle chiavi personalizzate, consulta [Quote di richiesta per l'archivio delle chiavi personalizzate](requests-per-second.md#rps-key-stores).

**Ulteriori informazioni**  
+ Per ulteriori informazioni sui AWS CloudHSM key store, consulta[AWS CloudHSM negozi chiave](keystore-cloudhsm.md).
+ Per creare chiavi KMS in un archivio di AWS CloudHSM chiavi, vedi[Crea una chiave KMS in un archivio di AWS CloudHSM chiavi](create-cmk-keystore.md).
+ Per identificare e visualizzare le chiavi KMS in un archivio di AWS CloudHSM chiavi, vedi. [Identifica le chiavi KMS negli AWS CloudHSM archivi delle chiavi](identify-key-types.md#identify-key-hsm-keystore)
+ Per trovare le chiavi KMS e il relativo materiale in un archivio di AWS CloudHSM chiavi, consulta. [Trova le chiavi KMS e il materiale chiave in un archivio di AWS CloudHSM chiavi](find-key-material.md)
+ Per informazioni su considerazioni speciali sull'eliminazione delle chiavi KMS in un archivio di chiavi, vedi [Eliminazione delle AWS CloudHSM chiavi KMS](deleting-keys.md#delete-cmk-keystore) da un archivio chiavi. AWS CloudHSM 

# Chiavi KMS negli archivi di chiavi esterni
<a name="keystore-external-key-manage"></a>

Per creare, visualizzare, gestire, utilizzare e pianificare l'eliminazione delle chiavi KMS in un archivio delle chiavi esterne, puoi utilizzare procedure molto simili a quelle impiegate per altre chiavi KMS. Tuttavia, durante la creazione di una chiave KMS in un archivio delle chiavi esterne, specifica un [archivio delle chiavi esterne](keystore-external.md#concept-external-key-store) e una [chiave esterna](keystore-external.md#concept-external-key). Quando utilizzi una chiave KMS in un archivio delle chiavi esterne, le [operazioni di crittografia e decrittografia](keystore-external.md#xks-how-it-works) vengono eseguite dal gestore delle chiavi esterne utilizzando la chiave esterna specificata. 

AWS KMS non può creare, visualizzare, aggiornare o eliminare alcuna chiave crittografica nel gestore di chiavi esterno. AWS KMS non accede mai direttamente al gestore di chiavi esterno o a qualsiasi chiave esterna. Tutte le richieste relative alle operazioni di crittografia sono mediate dal [proxy dell'archivio delle chiavi esterne](keystore-external.md#concept-xks-proxy). Per utilizzare una chiave KMS in un archivio delle chiavi esterne, l'archivio che ospita la chiave KMS deve essere [connesso](xks-connect-disconnect.md) al relativo proxy dell'archivio delle chiavi esterne.

**Funzionalità supportate**  
Oltre alle procedure discusse in questa sezione, puoi eseguire le seguenti operazioni con le chiavi KMS in un archivio delle chiavi esterne:   
+ Utilizzare le [policy delle chiavi](key-policies.md), le [policy IAM](iam-policies.md) e le [concessioni](grants.md) per autorizzare l'accesso alle chiavi KMS.
+ [Abilitare e disabilitare](enabling-keys.md) le chiavi KMS. Queste azioni non influiscono sulla chiave esterna nel gestore delle chiavi esterne.
+ Assegnare [tag](tagging-keys.md), creare [alias](kms-alias.md) e utilizzare il [controllo degli accessi basato su attributi](abac.md) (ABAC) per autorizzare l'accesso alle chiavi KMS.
+ Utilizza le chiavi KMS per eseguire le seguenti operazioni crittografiche:
  + [Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html)
  + [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)
  + [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)
  + [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)
  + [ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html)

  Le operazioni che generano coppie di chiavi di dati asimmetriche [GenerateDataKeyPair](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPair.html)e [GenerateDataKeyPairWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPairWithoutPlaintext.html), *non* sono supportate negli archivi di chiavi personalizzati.
+ Utilizzare le chiavi KMS con [Servizi AWS che si integrano con AWS KMS](https://aws.amazon.com/kms/features/#AWS_Service_Integration) e supportano le [chiavi gestite dal cliente](concepts.md#customer-mgn-key).

**Caratteristiche non supportate**  
+ Gli archivi delle chiavi esterne supportano solo [chiavi KMS di crittografia simmetrica](symm-asymm-choose-key-spec.md#symmetric-cmks). Non puoi creare chiavi KMS HMAC o chiavi KMS asimmetriche in un archivio delle chiavi esterne.
+ [GenerateDataKeyPair](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPair.html)e non [GenerateDataKeyPairWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPairWithoutPlaintext.html)sono supportati sulle chiavi KMS in un archivio di chiavi esterno.
+ Non è possibile utilizzare un [AWS::KMS::Key CloudFormation modello](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-kms-key.html) per creare un archivio di chiavi esterno o una chiave KMS in un archivio di chiavi esterno.
+ Le [chiavi multi-regione](multi-region-keys-overview.md) non sono supportate in un archivio delle chiavi esterne.
+ Le chiavi KMS con [materiale della chiave importato](importing-keys.md) non sono supportate in un archivio delle chiavi esterne.
+ La [rotazione automatica delle chiavi](rotate-keys.md) non è supportata per le chiavi KMS in un archivio delle chiavi esterne.

**Utilizzo delle chiavi KMS in un archivio di chiavi esterno**  
Quando utilizzi la chiave KMS in una richiesta, identifica la chiave KMS in base a [ID chiave, ARN chiave, alias o ARN alias](concepts.md#key-id). Non è necessario specificare l'archivio delle chiavi esterne. La risposta include gli stessi campi che vengono restituiti per qualsiasi chiave KMS di crittografia simmetrica. Tuttavia, quando utilizzi una chiave KMS in un archivio delle chiavi esterne, le operazioni di crittografia e decrittografia vengono eseguite dal gestore delle chiavi esterne utilizzando la chiave esterna associata alla chiave KMS.  
[Per garantire che il testo cifrato crittografato da una chiave KMS in un archivio di chiavi esterno sia sicuro almeno quanto qualsiasi testo cifrato crittografato da una chiave KMS standard, utilizza la doppia crittografia. AWS KMS](keystore-external.md#concept-double-encryption) I dati vengono prima crittografati utilizzando materiale chiave. AWS KMS AWS KMS Quindi, viene crittografato dal gestore delle chiavi esterne utilizzando la chiave esterna per la chiave KMS. Per decrittografare il testo criptato con doppia crittografia, il testo viene innanzitutto decodificato dal gestore delle chiavi esterno utilizzando la chiave esterna per la chiave KMS. Quindi vengono decrittografati AWS KMS utilizzando il materiale AWS KMS chiave per la chiave KMS.  
Perché ciò avvenga, devono essere soddisfatte le seguenti condizioni.  
+ Lo [stato di chiave](key-state.md) della chiave KMS deve essere `Enabled`. Per trovare lo stato della chiave, consulta il campo **Stato** per le chiavi gestite dal cliente, la [AWS KMS console](finding-keys.md#viewing-console-details) o il `KeyState` campo nella risposta. [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)
+ L'archivio delle chiavi esterne che ospita la chiave KMS deve essere connesso al relativo [proxy dell'archivio delle chiavi esterne](keystore-external.md#concept-xks-proxy), ovvero [lo stato di connessione](xks-connect-disconnect.md#xks-connection-state) dell'archivio delle chiavi esterne deve essere `CONNECTED`. 

  È possibile visualizzare lo stato della connessione nella pagina **Archivi di chiavi esterni** della AWS KMS console o nella [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)risposta. Lo stato di connessione dell'archivio delle chiavi esterne viene visualizzato anche nella pagina dei dettagli della chiave KMS nella console AWS KMS . Nella pagina dei dettagli, scegli la scheda **Cryptographic configuration** (Configurazione crittografica) e visualizza il campo **Connection state** (Stato connessione) nella sezione **Custom key store** (Archivio delle chiavi personalizzate).

  Se lo stato della connessione è `DISCONNECTED`, devi prima connetterlo. Se lo stato della connessione è `FAILED`, devi risolvere il problema, disconnettere l'archivio delle chiavi esterne e riconnetterlo. Per istruzioni, consulta [Connect e disconnetti gli archivi di chiavi esterni](xks-connect-disconnect.md).
+ Il proxy dell'archivio delle chiavi personalizzate deve essere in grado di trovare la chiave esterna. 
+ La chiave esterna deve essere abilitata e deve eseguire le operazioni di crittografia e decrittografia. 

  Lo stato della chiave esterna è indipendente e non influisce sulle modifiche apportate allo [stato chiave](key-state.md) della chiave KMS, inclusa l'attivazione e la disabilitazione della chiave stessa. Allo stesso modo, la disabilitazione o l'eliminazione della chiave esterna non modifica lo stato chiave della chiave KMS, ma le operazioni di crittografia che utilizzano la chiave KMS associata avranno esito negativo.
Se queste condizioni non vengono soddisfatte, l'operazione di crittografia ha esito negativo e AWS KMS restituisce un'`KMSInvalidStateException`eccezione. Potrebbe essere necessario [ricollegare l'archivio delle chiavi esterne](xks-connect-disconnect.md) o utilizzare gli strumenti di gestione delle chiavi esterne per riconfigurare o riparare la chiave esterna. Per ulteriori informazioni, consulta [Risoluzione dei problemi relativi all'archivio delle chiavi esterne](xks-troubleshooting.md).  
Quando utilizzi le chiavi KMS in un archivio delle chiavi esterne, tieni presente che le chiavi KMS in ogni archivio delle chiavi esterne condividono una [quota di richiesta dell'archivio delle chiavi personalizzate](requests-per-second.md#rps-key-stores) per le operazioni di crittografia. Se superi la quota, AWS KMS restituisce un`ThrottlingException`. Per informazioni dettagliate sulle quote di richiesta dell'archivio delle chiavi personalizzate, consulta [Quote di richiesta per l'archivio delle chiavi personalizzate](requests-per-second.md#rps-key-stores).

**Ulteriori informazioni**  
+ Per ulteriori informazioni sugli archivi di chiavi esterni, consulta[Archivi delle chiavi esterne](keystore-external.md).
+ Per ulteriori informazioni sul materiale chiave negli archivi di chiavi esterni, consulta[Chiave esterna](keystore-external.md#concept-external-key).
+ Per creare chiavi KMS in un archivio di chiavi esterno, vedi[Crea una chiave KMS in archivi di chiavi esterni](create-xks-keys.md).
+ Per identificare e visualizzare le chiavi KMS in un archivio di chiavi esterno, vedi. [Identifica le chiavi KMS negli archivi di chiavi esterni](identify-key-types.md#view-xks-key)
+ Per informazioni su considerazioni speciali sull'eliminazione delle chiavi KMS in un archivio di chiavi esterno, vedi [Eliminazione delle chiavi KMS da un archivio di chiavi](deleting-keys.md#delete-xks-key) esterno.