Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Accesso e autorizzazioni alle chiavi KMS
Per utilizzarlo AWS KMS, devi disporre di credenziali che AWS possano essere utilizzate per autenticare le tue richieste. [Le credenziali devono includere i permessi di accesso alle AWS risorse e gli alias. AWS KMS keys](kms-alias.md) Nessun AWS principale dispone di alcuna autorizzazione per una chiave KMS a meno che tale autorizzazione non sia fornita esplicitamente e mai negata. Non sono disponibili autorizzazioni implicite o automatiche per l'utilizzo o la gestione di una chiave KMS.
Per controllare l'accesso alle chiavi KMS, è possibile utilizzare i seguenti meccanismi delle policy.
+ [Policy delle chiavi](key-policies.md): ogni chiave KMS ha una policy delle chiavi. Le policy delle chiavi sono il meccanismo principale per controllare l'accesso a una chiave KMS. Puoi utilizzare la sola policy delle chiavi per il controllo dell'accesso, per cui l'accesso alla chiave KMS nella sua interezza è definito in un unico documento (la policy delle chiavi). Per ulteriori informazioni sull'utilizzo delle policy delle chiavi, consulta [Policy delle chiavi](key-policies.md).
+ [Policy IAM](iam-policies.md): è possibile utilizzare le policy IAM insieme alla policy delle chiavi e alle concessioni per controllare l'accesso a una chiave KMS. Il controllo dell'accesso eseguito in questo modo consente di gestire tutte le autorizzazioni delle identità IAM in IAM. Per utilizzare una policy IAM per consentire l'accesso a una chiave KMS, la policy delle chiavi deve consentirla esplicitamente. Per ulteriori informazioni sull'utilizzo di policy IAM consulta [Policy IAM](iam-policies.md).
+ [Concessioni](grants.md): è possibile utilizzare le concessioni insieme alla policy delle chiavi e alle policy IAM per consentire l'accesso a una chiave KMS. Il controllo dell'accesso eseguito in questo modo ti consente di accedere alla chiave KMS nella policy delle chiavi e di permettere alle identità di delegare l'accesso ad altri utenti. Per ulteriori informazioni sull'utilizzo di concessioni, consulta [Sovvenzioni in AWS KMS](grants.md).
## Politiche chiave KMS
Il modo principale per gestire l'accesso alle AWS KMS risorse è attraverso le *politiche*. Le policy sono documenti che descrivono quali principali possono accedere a quali risorse. *Le politiche associate a un'identità IAM sono chiamate *politiche basate sull'identità (o politiche* *IAM) e le* politiche associate ad altri tipi di risorse sono chiamate politiche delle risorse.* AWS KMS *le politiche relative alle risorse per le chiavi KMS sono chiamate politiche chiave.*
Tutte le chiavi KMS dispongono di una policy delle chiavi. Se non ne fornisci una, ne AWS KMS crea una per te. La [politica di chiave predefinita](key-policy-default.md) AWS KMS utilizzata varia a seconda che si crei la chiave nella AWS KMS console o si utilizzi l' AWS KMS API. [Ti consigliamo di modificare la politica delle chiavi predefinita per allinearla ai requisiti della tua organizzazione per le autorizzazioni con privilegi minimi.](least-privilege.md)
Puoi utilizzare la policy chiave da sola per controllare l'accesso se la chiave e il responsabile IAM si trovano nello stesso AWS account, il che significa che l'intero ambito di accesso alla chiave KMS è definito in un unico documento (la politica chiave). Tuttavia, quando un chiamante di un account deve accedere a una chiave in un altro account, non è possibile utilizzare la sola politica delle chiavi per concedere l'accesso. Nello scenario tra più account, è necessario allegare all'utente o al ruolo del chiamante una policy IAM che consenta esplicitamente al chiamante di effettuare la chiamata API.
Puoi anche utilizzare le policy IAM in combinazione con le policy e le concessioni chiave per controllare l'accesso a una chiave KMS. Per utilizzare una policy IAM per controllare l'accesso a una chiave KMS, la policy chiave deve autorizzare l'account a utilizzare le policy IAM. Puoi specificare una [dichiarazione di policy chiave che abiliti le politiche IAM](key-policy-default.md#key-policy-default-allow-root-enable-iam) oppure puoi [specificare esplicitamente i principi consentiti](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#Principal_specifying) nella policy chiave.
Durante la stesura delle policy, assicurati di disporre di controlli rigorosi che limitino chi può eseguire le seguenti azioni:
+ Aggiorna, crea ed elimina le politiche chiave IAM e KMS
+ Allega e scollega le politiche IAM da utenti, ruoli e gruppi
+ Allega e scollega le policy chiave KMS dalle tue chiavi KMS
## Concessioni chiave KMS
[Oltre a IAM e alle politiche chiave, AWS KMS supporta le sovvenzioni.](grants.md) Le sovvenzioni forniscono un modo flessibile e potente per delegare le autorizzazioni. Puoi utilizzare le sovvenzioni per concedere l'accesso con chiave KMS a tempo limitato ai responsabili IAM nel tuo AWS account o in altri account. AWS Ti consigliamo di emettere un accesso limitato nel tempo se non conosci i nomi dei responsabili al momento della creazione delle policy o se i principali che richiedono l'accesso cambiano frequentemente. Il [titolare del beneficiario](grants.md#terms-grantee-principal) può avere lo stesso account della chiave KMS o un altro account. Se il principale e la chiave KMS si trovano in account diversi, è necessario specificare una policy IAM oltre alla concessione. Le sovvenzioni richiedono una gestione aggiuntiva perché è necessario chiamare un'API per creare la sovvenzione e ritirarla o revocarla quando non è più necessaria.