Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Creare una chiave KMS
<a name="create-keys"></a>

È possibile creare AWS KMS keys in o utilizzando l'[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operazione o la [AWS::KMS::Key AWS CloudFormation risorsa](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-kms-key.html). Console di gestione AWS Durante questo processo, imposti la politica chiave per la chiave KMS, che puoi modificare in qualsiasi momento. Seleziona anche i seguenti valori che definiscono il tipo di chiave KMS che crei. Una volta creata la chiave KMS, non è più possibile modificare queste proprietà. 

**Tipo di chiave KMS**  
Il *tipo di chiave* è una proprietà che determina il tipo di chiave crittografica creata. AWS KMS offre tre tipi di chiavi per proteggere i dati:  
+ chiavi simmetriche Advanced Encryption Standard (AES)

  Chiavi a 256 bit utilizzate nella modalità Galois Counter Mode (GCM) di AES per fornire dati autenticati encryption/decryption di dimensioni inferiori a 4 KB. Questo è il tipo di chiave più comune e viene utilizzato per proteggere altre chiavi di crittografia dei dati utilizzate nelle applicazioni e quindi crittografare i dati per Servizi AWS conto dell'utente.
+ Chiavi RSA, a curva ellittica o (solo per le regioni SM2 della Cina) asimmetriche

  Queste chiavi sono disponibili in varie dimensioni e supportano molti algoritmi. Possono essere utilizzate per la crittografia e la decrittografia, la firma e la verifica o per derivare operazioni segrete condivise a seconda dell'algoritmo scelto.
+ Chiavi simmetriche per eseguire operazioni con codici di autenticazione dei messaggi (HMAC) basati su hash

  Queste chiavi sono chiavi a 256 bit utilizzate per le operazioni di firma e verifica.

  Le chiavi KMS non possono essere esportate dal servizio in testo normale. Sono generate e possono essere utilizzate solo all'interno dei moduli di sicurezza hardware (HSMs) utilizzati dal servizio. Questa è la proprietà di sicurezza fondamentale di AWS KMS garantire che le chiavi non vengano compromesse.

**Utilizzo delle chiavi**  
*L'utilizzo della chiave* è una proprietà che determina le operazioni di crittografia supportate dalla chiave. Le chiavi KMS possono avere un utilizzo chiave di`ENCRYPT_DECRYPT`, `SIGN_VERIFY``GENERATE_VERIFY_MAC`, o`KEY_AGREEMENT`. Ogni chiave KMS può avere solo un utilizzo. Ciò segue le migliori pratiche di utilizzo delle chiavi secondo la [pubblicazione speciale 800-57 del National Institute of Standards and Technology (NIST), Raccomandazioni per la gestione delle chiavi, Sezione 5.2](https://csrc.nist.gov/pubs/sp/800/57/pt1/r5/final), Utilizzo delle chiavi. L'utilizzo di una chiave KMS per più di un tipo di operazione rende il prodotto di entrambe le operazioni più vulnerabile agli attacchi.

**Specifiche chiave**  
*Key spec* è una proprietà che rappresenta la configurazione crittografica della chiave. Il significato delle specifiche della chiave differisce dal tipo di chiave.  
Per le chiavi KMS, la *specifica chiave* determina se la chiave KMS è simmetrica o asimmetrica. Determina anche il tipo di materiale della chiave e gli algoritmi supportati.  
La specifica della chiave predefinita, [SYMMETRIC\$1DEFAULT](symm-asymm-choose-key-spec.md#symmetric-cmks), rappresenta una chiave crittografica simmetrica a 256 bit. Per una descrizione dettagliata di tutte le specifiche chiave supportate, consulta. [Riferimento alle specifiche chiave](symm-asymm-choose-key-spec.md)

**Origine dei materiali chiave**  
L'*origine del materiale chiave* è una proprietà chiave KMS che identifica l'origine del materiale chiave nella chiave KMS. L'origine del materiale della chiave viene scelta in fase di creazione della chiave KMS e non può essere modificata in seguito. L'origine del materiale della chiave influisce sulle caratteristiche di sicurezza, durata, disponibilità, latenza e velocità di trasmissione effettiva della chiave KMS.   
Ogni chiave KMS include un riferimento al relativo materiale della chiave nei suoi metadati. L'origine del materiale della chiave delle chiavi KMS di crittografia simmetrica può variare. È possibile utilizzare materiale chiave AWS KMS generato, materiale chiave generato in un [archivio chiavi personalizzato](key-store-overview.md#custom-key-store-overview) o [importare materiale chiave personalizzato](importing-keys.md).   
Per impostazione predefinita, ogni chiave KMS dispone di materiale chiave univoco. Tuttavia, è possibile creare un set di [chiavi per più regioni](multi-region-keys-overview.md) con lo stesso materiale chiave.  
Le chiavi KMS possono avere uno dei seguenti valori chiave di origine del materiale:`AWS_KMS`, `EXTERNAL` ([materiale chiave importato](importing-keys.md)), `AWS_CLOUDHSM` ([chiave KMS in un archivio AWS CloudHSM chiavi](keystore-cloudhsm.md)) o `EXTERNAL_KEY_STORE` ([chiave KMS in un archivio chiavi esterno](keystore-external.md)).

**Topics**
+ [

## Autorizzazioni per la creazione di chiavi KMS
](#create-key-permissions)
+ [

## Scelta del tipo di chiave KMS da creare
](#symm-asymm-choose)
+ [

# Creazione di una chiave KMS di crittografia simmetrica
](create-symmetric-cmk.md)
+ [

# Creazione di una chiave KMS asimmetrica
](asymm-create-key.md)
+ [

# Creazione di una chiave KMS HMAC
](hmac-create-key.md)
+ [

# Creazione di chiavi primarie multiregionali
](create-primary-keys.md)
+ [

# Creazione di chiavi di replica multiregionali
](multi-region-keys-replicate.md)
+ [

# Crea una chiave KMS con materiale chiave importato
](importing-keys-conceptual.md)
+ [

# Crea una chiave KMS in un archivio di AWS CloudHSM chiavi
](create-cmk-keystore.md)
+ [

# Crea una chiave KMS in archivi di chiavi esterni
](create-xks-keys.md)

## Autorizzazioni per la creazione di chiavi KMS
<a name="create-key-permissions"></a>

Per creare una chiave KMS nella console o utilizzando il APIs, devi disporre della seguente autorizzazione in una policy IAM. Quando possibile, utilizzare le [chiavi di condizione](policy-conditions.md) per limitare le autorizzazioni. Ad esempio, puoi utilizzare la chiave [kms: KeySpec](conditions-kms.md#conditions-kms-key-spec) condition in una policy IAM per consentire ai principali di creare solo chiavi di crittografia simmetriche.

Per un esempio di policy IAM per le entità principali che creano chiavi, vedere [Consentire a un utente di creare chiavi KMS](customer-managed-policies.md#iam-policy-example-create-key).

**Nota**  
Presta attenzione quando concedi ai principali l'autorizzazione per gestire tag e alias. Modificando un tag o un alias puoi consentire o negare l'autorizzazione alla chiave gestita dal cliente. Per informazioni dettagliate, vedi [ABAC per AWS KMS](abac.md).
+ [kms](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html): è obbligatorio. CreateKey 
+ [kms: CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html) è necessario per creare una chiave KMS nella console in cui è richiesto un alias per ogni nuova chiave KMS.
+ [kms: TagResource](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html) è necessario per aggiungere tag durante la creazione della chiave KMS.
+ [iam: CreateServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceLinkedRole.html) è necessario per creare chiavi primarie multiregionali. Per informazioni dettagliate, vedi [Controlla l'accesso alle chiavi multiregionali](multi-region-keys-auth.md).

Il [kms:](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html) non è richiesta PutKeyPolicy l'autorizzazione per creare la chiave KMS. L'autorizzazione `kms:CreateKey` include l'autorizzazione per impostare la policy chiave iniziale. Tuttavia, è necessario aggiungere questa autorizzazione alla policy chiave durante la creazione della chiave KMS per assicurarsi di poter controllare l'accesso alla chiave KMS. L'alternativa è utilizzare il [BypassLockoutSafetyCheck](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html#KMS-CreateKey-request-BypassPolicyLockoutSafetyCheck)parametro, che non è consigliato.

Le chiavi KMS appartengono all' AWS account in cui sono state create. L'utente IAM che crea una chiave KMS non è considerato il proprietario della chiave e non dispone automaticamente dell'autorizzazione a utilizzare o gestire la chiave KMS creata. Come qualsiasi altro principale, il creatore di chiavi deve ottenere l'autorizzazione tramite una policy chiave, una policy IAM o una concessione. Tuttavia, i principali che hanno l'autorizzazione `kms:CreateKey` possono impostare la policy chiave iniziale e concedersi l'autorizzazione all'utilizzo o alla gestione della chiave.

## Scelta del tipo di chiave KMS da creare
<a name="symm-asymm-choose"></a>

Il tipo di chiave KMS che crei dipende in gran parte dal modo in cui intendi *utilizzare* la chiave KMS, dai requisiti di sicurezza e dai requisiti di autorizzazione. Il tipo di chiave e l'utilizzo della chiave KMS determinano le operazioni crittografiche che la chiave può eseguire. Ogni chiave KMS ha un solo utilizzo. L'utilizzo di una chiave KMS per più di un tipo di operazioni rende il prodotto di tutte le operazioni più vulnerabile agli attacchi.

Per consentire ai principali di creare chiavi KMS solo per un particolare utilizzo di chiavi, usa la chiave [kms](conditions-kms.md#conditions-kms-key-usage): condition. KeyUsage Puoi inoltre utilizzare la `kms:KeyUsage` chiave di condizione per consentire ali principali di chiamare operazioni API per una chiave KMS in base al relativo utilizzo della chiave. Ad esempio, puoi consentire l'autorizzazione a disabilitare una chiave KMS solo se l'utilizzo della chiave è SIGN\$1VERIFY. 

Utilizza le indicazioni che seguono per determinare quale tipo di chiave KMS è necessario in base al caso d'uso.

**Crittografia e decrittografia dei dati**  
Utilizza una [chiave KMS simmetrica](symm-asymm-choose-key-spec.md#symmetric-cmks) per la maggior parte dei casi d'uso che richiedono la crittografia e la decrittazione dei dati. L'algoritmo di crittografia simmetrica utilizzato da AWS KMS è veloce, efficiente e garantisce la riservatezza e l'autenticità dei dati. Supporta la crittografia autenticata con dati autenticati aggiuntivi (AAD), definiti come [contesto di crittografia](encrypt_context.md). Questo tipo di chiave KMS richiede che sia il mittente che il destinatario dei dati crittografati dispongano di credenziali valide per la chiamata. AWS AWS KMS  
Se il tuo caso d'uso richiede la crittografia al di fuori degli AWS utenti che non possono effettuare chiamate AWS KMS, le chiavi [KMS asimmetriche](symmetric-asymmetric.md) sono una buona scelta. Puoi distribuire la parte pubblica della chiave KMS asimmetrica per consentire a questi utenti di crittografare i dati. E le applicazioni che devono decriptare quei dati possono utilizzare la parte privata della chiave KMS asimmetrica all'interno di AWS KMS.

**Firma dei messaggi e verifica delle firme**  
Per firmare i messaggi e verificare le firme, è necessario utilizzare una [chiave KMS asimmetrica](symmetric-asymmetric.md). È possibile utilizzare una chiave KMS con una [specifica chiave](symm-asymm-choose-key-spec.md) che rappresenti una coppia di chiavi RSA, una coppia di chiavi a curva ellittica (ECC), una coppia di chiavi ML-DSA o una coppia di chiavi (solo regioni della Cina). SM2 La specifica della chiave scelta è determinata dall'algoritmo di firma che desideri utilizzare. Gli algoritmi di firma ECDSA supportati dalle coppie di chiavi ECC sono consigliati rispetto agli algoritmi di firma RSA. Usa una coppia di chiavi ML-DSA per la migrazione da chiavi RSA o ECC a chiavi post-quantistiche. Tuttavia, potrebbe essere necessario utilizzare una determinata specifica della chiave e un algoritmo di firma per supportare gli utenti che verificano le firme all'esterno di AWS.

**Crittografa con coppie di chiavi asimmetriche**  
[Per crittografare i dati con una coppia di chiavi asimmetrica, devi utilizzare [una chiave KMS asimmetrica con una specifica chiave [RSA o una specifica chiave](symm-asymm-choose-key-spec.md#key-spec-rsa-encryption) (](symmetric-asymmetric.md)solo regioni della Cina). SM2 ](symm-asymm-choose-key-spec.md#key-spec-sm) Per crittografare i dati in AWS KMS con la chiave pubblica di una coppia di chiavi KMS, utilizza l'operazione [Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html) (crittografa). Puoi anche [scaricare la chiave pubblica e condividerla con le parti che](download-public-key.md) devono crittografare i dati all'esterno. AWS KMS  
Quando scarichi la chiave pubblica di una chiave KMS asimmetrica, puoi utilizzarla all'esterno di AWS KMS. Ma non è più soggetto ai controlli di sicurezza che proteggono la chiave KMS in ingresso. AWS KMS Ad esempio, non è possibile utilizzare politiche o concessioni AWS KMS chiave per controllare l'uso della chiave pubblica. Né è possibile controllare se la chiave viene utilizzata solo per la crittografia e la decrittografia utilizzando gli algoritmi di crittografia supportati. AWS KMS Per ulteriori dettagli, consulta la pagina sulle [considerazioni speciali per il download delle chiavi pubbliche](offline-public-key.md#download-public-key-considerations).  
[Per decrittografare i dati che sono stati crittografati con la chiave pubblica esterna a AWS KMS, chiamate l'operazione Decrypt.](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) L'`Decrypt`operazione ha esito negativo se i dati sono stati crittografati con una chiave pubblica da una chiave KMS con una chiave utilizzata di. `SIGN_VERIFY` L'operazione avrà esito negativo anche se è stata crittografata utilizzando un algoritmo che AWS KMS non supporta la specifica chiave selezionata. Per ulteriori informazioni sulle specifiche chiave e sugli algoritmi supportati, consulta. [Riferimento alle specifiche chiave](symm-asymm-choose-key-spec.md)  
Per evitare questi errori, chiunque utilizzi una chiave pubblica esterna a AWS KMS deve memorizzare la configurazione della chiave. La AWS KMS console e la [GetPublicKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetPublicKey.html)risposta forniscono le informazioni da includere quando si condivide la chiave pubblica.

**Ricava segreti condivisi**  
Per ricavare segreti condivisi, usa una chiave KMS con [curva ellittica standard del NIST](symm-asymm-choose-key-spec.md#key-spec-ecc) o materiale chiave [SM2](symm-asymm-choose-key-spec.md#key-spec-sm)(solo per le regioni della Cina). AWS KMS utilizza l'[Elliptic Curve Cryptography Cofactor Diffie-Hellman Primitive](https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-56Ar3.pdf#page=60) (ECDH) per stabilire un accordo chiave tra due peer derivando un segreto condiviso dalle rispettive coppie di chiavi pubblico-private a curva ellittica. È possibile utilizzare il segreto condiviso non elaborato restituito dall'[ DeriveSharedSecret](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeriveSharedSecret.html)operazione per derivare una chiave simmetrica in grado di crittografare e decrittografare i dati inviati tra due parti oppure generare e verificare. HMACs AWS KMS consiglia di seguire le [raccomandazioni del NIST per la derivazione delle chiavi quando si utilizza il segreto condiviso non elaborato per derivare](https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-56Cr2.pdf) una chiave simmetrica.

**Generazione e verifica dei codici HMAC**  
Per generare e verificare i codici di autenticazione dei messaggi basati su hash, utilizza una chiave KMS HMAC. Quando si crea una chiave HMAC AWS KMS, AWS KMS crea e protegge il materiale chiave e si assicura di utilizzare gli algoritmi MAC corretti per la chiave. I codici HMAC possono essere utilizzati anche come numeri pseudo-casuali e, in alcuni scenari, per la firma simmetrica e la tokenizzazione.  
Le chiavi KMS HMAC sono chiavi simmetriche. Quando crei una chiave KMS HMAC nella console AWS KMS , scegli il tipo di chiave `Symmetric`.

**Utilizzo con i servizi AWS **  <a name="cmks-aws-service"></a>
Per creare una chiave KMS da utilizzare con un [AWS servizio integrato AWS KMS](service-integration.md), consulta la documentazione del servizio. AWS i servizi che crittografano i dati richiedono una chiave KMS di crittografia [simmetrica](symm-asymm-choose-key-spec.md#symmetric-cmks).

Oltre a queste considerazioni, le operazioni crittografiche sulle chiavi KMS con specifiche della chiave diverse hanno prezzi e quote di richieste differenti. Per informazioni sui prezzi di AWS KMS , consulta la pagina dei [prezzi di AWS Key Management Service](https://aws.amazon.com/kms/pricing/). Per informazioni sulle quote di richieste, consulta [Quote di richieste](requests-per-second.md).

# Creazione di una chiave KMS di crittografia simmetrica
<a name="create-symmetric-cmk"></a>

Questo argomento spiega come creare la chiave KMS di base, una chiave KMS di [crittografia simmetrica per una singola regione con materiale chiave proveniente](symm-asymm-choose-key-spec.md#symmetric-cmks) da. AWS KMS Puoi utilizzare questa chiave KMS per proteggere le tue risorse in un Servizio AWS.

[È possibile creare chiavi KMS di crittografia simmetrica nella AWS KMS console, utilizzando l'[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)API o utilizzando il modello. AWS::KMS::Key CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-kms-key.html) 

La specifica chiave predefinita, [SYMMETRIC\$1DEFAULT, è la specifica chiave per le chiavi KMS di crittografia simmetrica](symm-asymm-choose-key-spec.md#symmetric-cmks). Quando si seleziona il tipo di chiave **Symmetric** e l'utilizzo della chiave di crittografia **e decrittografia** nella console, viene selezionata la specifica della chiave. AWS KMS `SYMMETRIC_DEFAULT` Nell'[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operazione, se non si specifica un valore, viene selezionato SYMMETRIC\$1DEFAULT. `KeySpec` Se non hai motivo di utilizzare una specifica della chiave diversa, SYMMETRIC\$1DEFAULT è una scelta valida.

Per informazioni sulle quote applicabili alle chiavi KMS, consulta [Quote](limits.md).

## Utilizzo della console AWS KMS
<a name="create-keys-console"></a>

Puoi usare Console di gestione AWS per creare AWS KMS keys (chiavi KMS).

**Importante**  
Non includere informazioni riservate o sensibili nell'alias, nella descrizione o nei tag. Questi campi possono apparire in testo semplice nei CloudTrail log e in altri output.

1. Accedi a Console di gestione AWS e apri la console AWS Key Management Service (AWS KMS) in [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.

1. Nel riquadro di navigazione, scegli **Chiavi gestite dal cliente**.

1. Scegliere **Create key (Crea chiave)**.

1. Per creare una chiave KMS di crittografia simmetrica, in **Key type** (Tipo di chiave) scegli **Symmetric** (Simmetrica).

1. In **Utilizzo della chiave**, l'opzione **Crittografa e decrittografa** è selezionata per impostazione predefinita.

1. Scegli **Next (Successivo)**.

1. Digita un alias per la chiave KMS. Un nome di alias non può iniziare con **aws/**. Il **aws/** prefisso è riservato da Amazon Web Services per essere rappresentato Chiavi gestite da AWS nel tuo account.
**Nota**  
L'aggiunta, l'eliminazione o l'aggiornamento di un alias può consentire o negare l'autorizzazione alla chiave KMS. Per informazioni dettagliate, consulta [ABAC per AWS KMS](abac.md) e [Usa gli alias per controllare l'accesso alle chiavi KMS](alias-authorization.md).

    Un alias è un nome visualizzato che può essere utilizzato per identificare la chiave KMS. È consigliabile scegliere un alias che indica il tipo di dati che desideri proteggere o l'applicazione che desideri utilizzare con la chiave KMS. 

    

    Gli alias sono obbligatori quando si crea una chiave KMS nella Console di gestione AWS. Sono opzionali quando si utilizza l'[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operazione. 

1. (Facoltativo) Digita una descrizione per la chiave KMS.

   Puoi aggiungere una descrizione ora o aggiornarla in qualsiasi momento, a meno che lo [stato della chiave](key-state.md) non sia `Pending Deletion` o `Pending Replica Deletion`. Per aggiungere, modificare o eliminare la descrizione di una chiave gestita dal cliente esistente, modifica la descrizione nella pagina dei dettagli della chiave KMS inclusa nell'operazione Console di gestione AWS o utilizza l'[UpdateKeyDescription](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateKeyDescription.html)operazione.

1. (Facoltativo) Digitare una chiave di tag e un valore di tag facoltativo. Per aggiungere più di un tag alla chiave KMS scegli **Add tag (Aggiungi tag)**.
**Nota**  
L'applicazione o l'eliminazione di un tag chiave KMS può consentire o negare l'autorizzazione alla chiave KMS. Per informazioni dettagliate, consulta [ABAC per AWS KMS](abac.md) e [Usa i tag per controllare l'accesso alle chiavi KMS](tag-authorization.md).

   Quando aggiungi tag alle tue AWS risorse, AWS genera un rapporto sull'allocazione dei costi con utilizzo e costi aggregati per tag. I tag possono essere utilizzati anche per controllare l'accesso a una chiave KMS. Per informazioni sull'assegnazione di tag delle chiavi KMS, consulta [Tag in AWS KMS](tagging-keys.md) e [ABAC per AWS KMS](abac.md). 

1. Seleziona **Next (Successivo)**.

1. Seleziona i ruoli e gli utenti IAM che possono gestire la chiave KMS.
**Note**  
Questa politica chiave offre il Account AWS pieno controllo di questa chiave KMS. Consente agli amministratori dell'account di utilizzare policy IAM per concedere ad altri principali l'autorizzazione per la gestione della chiave KMS. Per informazioni dettagliate, vedi [Policy delle chiavi predefinita](key-policy-default.md).  
Le best practice di IAM disincentivano l'uso di utenti IAM con credenziali a lungo termine. Quando possibile, utilizza i ruoli IAM che forniscono credenziali temporanee. Per i dettagli, consulta la sezione [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l'utente IAM*.  
La AWS KMS console aggiunge gli amministratori chiave alla politica chiave sotto l'identificatore dell'istruzione. `"Allow access for Key Administrators"` La modifica di questo identificatore di istruzione potrebbe influire sul modo in cui la console visualizza gli aggiornamenti apportati all'istruzione.

1. (Facoltativo) Per impedire ai ruoli e agli utenti IAM selezionati di eliminare questa chiave KMS, nella sezione **Eliminazione chiave** nella parte inferiore della pagina, deseleziona la casella di controllo **Consenti agli amministratori delle chiavi di eliminare questa chiave**.

1. Seleziona **Next (Successivo)**.

1. Selezionare i ruoli e gli utenti IAM che possono utilizzare la chiave nelle [operazioni di crittografia](kms-cryptography.md#cryptographic-operations).
**Note**  
Le best practice di IAM disincentivano l'uso di utenti IAM con credenziali a lungo termine. Quando possibile, utilizza i ruoli IAM che forniscono credenziali temporanee. Per i dettagli, consulta la sezione [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l'utente IAM*.  
La AWS KMS console aggiunge gli utenti chiave alla politica chiave sotto gli `"Allow use of the key"` identificatori di dichiarazione e. `"Allow attachment of persistent resources"` La modifica di questi identificatori delle istruzioni potrebbe influire sul modo in cui la console visualizza gli aggiornamenti apportati all'istruzione.

1. (Facoltativo) È possibile consentire ad altri Account AWS di utilizzare questa chiave KMS per operazioni crittografiche. A tale scopo, nella Account AWS sezione **Altro** in fondo alla pagina, scegli **Aggiungi un altro** account Account AWS e inserisci il numero di Account AWS identificazione di un account esterno. Per aggiungere più account esterni, ripetere questo passaggio.
**Nota**  
Per consentire ai principali negli account esterni di utilizzare la chiave KMS, gli amministratori dell'account esterno devono creare policy IAM che forniscono tali autorizzazioni. Per ulteriori informazioni, consultare [Autorizzazione per gli utenti in altri account di utilizzare una chiave KMS](key-policy-modifying-external-accounts.md).

1. Scegli **Next (Successivo)**.

1. Consulta le principali dichiarazioni politiche per la chiave. Per apportare modifiche alla politica chiave, seleziona **Modifica**.

1. Scegli **Next (Successivo)**.

1. Esaminare le principali impostazioni scelte. È comunque possibile tornare indietro e modificare tutte le impostazioni.

1. Scegli **Termina** per creare la chiave KMS.

## Utilizzo dell' AWS KMS API
<a name="create-keys-api"></a>

È possibile utilizzare l'[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operazione per creare AWS KMS keys di tutti i tipi. Questi esempi utilizzano il [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/). Per esempi in più linguaggi di programmazione, consulta [Utilizzo `CreateKey` con un AWS SDK o una CLI](example_kms_CreateKey_section.md).

**Importante**  
Non includere informazioni riservate o sensibili nei campi `Description` o `Tags`. Questi campi possono apparire in testo semplice nei CloudTrail log e in altri output.

La seguente operazione crea una chiave di crittografia simmetrica in una singola regione supportata da materiale chiave generato da. AWS KMS Questa operazione non include parametri obbligatori. È possibile anche utilizzare il parametro `Policy` per specificare una policy delle chiavi. È possibile modificare la politica della chiave ([PutKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html)) e aggiungere elementi opzionali, come una [descrizione](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) e [tag](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html), in qualsiasi momento. È inoltre possibile anche creare [chiavi asimmetriche](asymm-create-key.md#create-asymmetric-keys-api), [chiavi multi-regione](create-primary-keys.md), chiavi con [materiale chiave importato](importing-keys-create-cmk.md#importing-keys-create-cmk-api) e chiavi in [archivi delle chiavi personalizzate](create-cmk-keystore.md#create-cmk-keystore-api). Per creare chiavi di dati per la crittografia lato client, utilizzate l'[GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)operazione.

L'`CreateKey`operazione non consente di specificare un alias, ma è possibile utilizzare l'[CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html)operazione per creare un alias per la nuova chiave KMS.

Di seguito è riportato un esempio di una chiamata all'operazione `CreateKey` senza parametri. Questo comando utilizza tutti i valori predefiniti. Crea una chiave KMS di crittografia simmetrica per crittografare e decrittografare con materiale della chiave generato da AWS KMS.

```
$ aws kms create-key
{
    "KeyMetadata": {
        "Origin": "AWS_KMS",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "Description": "",
        "KeyManager": "CUSTOMER",
        "Enabled": true,
        "KeySpec": "SYMMETRIC_DEFAULT",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Enabled",
        "CreationDate": 1502910355.475,
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "AWSAccountId": "111122223333",
        "MultiRegion": false
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ],
    }
}
```

Se non specifichi una policy delle chiavi per la nuova chiave KMS, la [policy delle chiavi predefinita](key-policy-default.md) che `CreateKey` applica è diversa dalla policy delle chiavi predefinita che la console applica quando la utilizzi per creare una nuova chiave KMS. 

Ad esempio, questa chiamata all'[GetKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html)operazione restituisce la politica chiave applicabile. `CreateKey` Fornisce l' Account AWS accesso alla chiave KMS e le consente di creare politiche AWS Identity and Access Management (IAM) per la chiave KMS. Per informazioni dettagliate sulle policy IAM e sulle policy delle chiavi KMS, consulta [Accesso e autorizzazioni alle chiavi KMS](control-access.md).

```
$ aws kms get-key-policy --key-id 1234abcd-12ab-34cd-56ef-1234567890ab --policy-name default --output text
```

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Id" : "key-default-1",
  "Statement" : [ {
    "Sid" : "EnableIAMUserPermissions",
    "Effect" : "Allow",
    "Principal" : {
      "AWS" : "arn:aws:iam::111122223333:root"
    },
    "Action" : "kms:*",
    "Resource" : "*"
  } ]
}
```

------

# Creazione di una chiave KMS asimmetrica
<a name="asymm-create-key"></a>

[Puoi creare [chiavi KMS asimmetriche](symmetric-asymmetric.md) nella AWS KMS console, utilizzando l'API o utilizzando il [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)modello. AWS::KMS::Key CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-kms-key.html) Una chiave KMS asimmetrica rappresenta una coppia di chiavi pubblica e privata che può essere utilizzata per la crittografia, la firma o la derivazione di segreti condivisi. La chiave privata rimane all'interno. AWS KMS Per scaricare la chiave pubblica da utilizzare all'esterno AWS KMS, vedere[Scarica la chiave pubblica](download-public-key.md).

Quando crei una chiave KMS asimmetrica, devi selezionare una specifica chiave. Spesso la scelta delle specifiche chiave è determinata da requisiti normativi, di sicurezza o aziendali. Potrebbe essere influenzata anche dalla dimensione dei messaggi che è necessario crittografare o firmare. In generale, le chiavi di crittografia più lunghe sono più resistenti agli attacchi a forza bruta. Per una descrizione dettagliata di tutte le specifiche chiave supportate, consulta. [Riferimento alle specifiche chiave](symm-asymm-choose-key-spec.md)

AWS i servizi che si integrano con AWS KMS non supportano le chiavi KMS asimmetriche. Se desideri creare una chiave KMS che crittografa i dati archiviati o gestiti in un AWS servizio, [crea](create-symmetric-cmk.md) una chiave KMS di crittografia simmetrica. 

Per informazioni sulle autorizzazioni richieste per la creazione di chiavi KMS, consultare [Autorizzazioni per la creazione di chiavi KMS](create-keys.md#create-key-permissions).

## Utilizzo della console AWS KMS
<a name="create-asymmetric-keys-console"></a>

È possibile utilizzare il Console di gestione AWS per creare elementi asimmetrici AWS KMS keys (chiavi KMS). Ogni chiave KMS asimmetrica rappresenta una coppia di chiavi pubbliche e private.

**Importante**  
Non includere informazioni riservate o sensibili nell'alias, nella descrizione o nei tag. Questi campi possono apparire in testo semplice nei CloudTrail log e in altri output.

1. Accedi a Console di gestione AWS e apri la console AWS Key Management Service (AWS KMS) in [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.

1. Nel riquadro di navigazione, scegli **Chiavi gestite dal cliente**.

1. Scegli **Crea chiave**.

1. Per creare una chiave KMS asimmetrica, in **Key type (Tipo di chiave)** scegli **Asymmetric (Asimmetrica)**.

1. Per creare una chiave KMS asimmetrica per la crittografia a chiave pubblica, in **Key usage (Utilizzo chiave)** scegliere **Encrypt and decrypt (Crittografa e decritta)**. 

   ****Per creare una chiave KMS asimmetrica per la firma dei messaggi e la verifica delle firme, in Utilizzo delle chiavi, scegli Firma e verifica.****

   ****Per creare una chiave KMS asimmetrica per ricavare segreti condivisi, in Utilizzo delle chiavi, scegli Contratto chiave.****

   Per informazioni sulla scelta di un valore di utilizzo chiave, consulta [Scelta del tipo di chiave KMS da creare](create-keys.md#symm-asymm-choose).

1. Seleziona le specifiche (**Key spec (Specifiche chiave)**) per la tua chiave KMS asimmetrica. 

1. Scegli **Next (Successivo)**.

1. Digita un [alias](kms-alias.md) per la chiave KMS. Un nome di alias non può iniziare con **aws/**. Il prefisso **aws/** è riservato da Amazon Web Services per rappresentare le Chiavi gestite da AWS nel tuo account.

   Un *alias* è un nome descrittivo che puoi usare per identificare la chiave KMS nella console e in alcune console. AWS KMS APIs È consigliabile scegliere un alias che indica il tipo di dati che desideri proteggere o l'applicazione che desideri utilizzare con la chiave KMS. 

   Gli alias sono obbligatori quando si crea una chiave KMS nella Console di gestione AWS. Non è possibile specificare un alias quando si utilizza l'[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operazione, ma è possibile utilizzare la console o l'[CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html)operazione per creare un alias per una chiave KMS esistente. Per informazioni dettagliate, vedi [Alias in AWS KMS](kms-alias.md).

1. (Facoltativo) Digita una descrizione per la chiave KMS.

   Inserire una descrizione che illustra il tipo di dati che si desidera proteggere o l'applicazione che si desidera utilizzare con la chiave KMS.

   Puoi aggiungere una descrizione ora o aggiornarla in qualsiasi momento, a meno che lo [stato della chiave](key-state.md) non sia `Pending Deletion` o `Pending Replica Deletion`. Per aggiungere, modificare o eliminare la descrizione di una chiave gestita dal cliente esistente, modifica la descrizione nella pagina dei dettagli della chiave KMS inclusa nell'operazione Console di gestione AWS o utilizza l'operazione. [UpdateKeyDescription](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateKeyDescription.html)

1. (Facoltativo) Digitare una chiave di tag e un valore di tag facoltativo. Per aggiungere più di un tag alla chiave KMS scegli **Add tag (Aggiungi tag)**.

   Quando aggiungi tag alle tue AWS risorse, AWS genera un rapporto sull'allocazione dei costi con utilizzo e costi aggregati per tag. I tag possono essere utilizzati anche per controllare l'accesso a una chiave KMS. Per informazioni sull'assegnazione di tag delle chiavi KMS, consulta [Tag in AWS KMS](tagging-keys.md) e [ABAC per AWS KMS](abac.md). 

1. Seleziona **Next (Successivo)**.

1. Seleziona i ruoli e gli utenti IAM che possono gestire la chiave KMS.
**Note**  
Questa politica chiave offre il Account AWS pieno controllo di questa chiave KMS. Consente agli amministratori dell'account di utilizzare policy IAM per concedere ad altri principali l'autorizzazione per la gestione della chiave KMS. Per informazioni dettagliate, vedi [Policy delle chiavi predefinita](key-policy-default.md).  
Le best practice di IAM disincentivano l'uso di utenti IAM con credenziali a lungo termine. Quando possibile, utilizza i ruoli IAM che forniscono credenziali temporanee. Per i dettagli, consulta la sezione [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l'utente IAM*.  
La AWS KMS console aggiunge gli amministratori chiave alla politica chiave sotto l'identificatore dell'istruzione. `"Allow access for Key Administrators"` La modifica di questo identificatore di istruzione potrebbe influire sul modo in cui la console visualizza gli aggiornamenti apportati all'istruzione.

1. (Facoltativo) Per impedire ai ruoli e agli utenti IAM selezionati di eliminare questa chiave KMS, nella sezione **Eliminazione chiave** nella parte inferiore della pagina, deseleziona la casella di controllo **Consenti agli amministratori delle chiavi di eliminare questa chiave**.

1. Scegli **Next (Successivo)**.

1. Seleziona i ruoli e gli utenti IAM che possono utilizzare la chiave KMS per [operazioni di crittografia](kms-cryptography.md#cryptographic-operations).
**Note**  
Le best practice di IAM disincentivano l'uso di utenti IAM con credenziali a lungo termine. Quando possibile, utilizza i ruoli IAM che forniscono credenziali temporanee. Per i dettagli, consulta la sezione [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l'utente IAM*.  
La AWS KMS console aggiunge gli utenti chiave alla politica chiave sotto gli `"Allow use of the key"` identificatori di dichiarazione e. `"Allow attachment of persistent resources"` La modifica di questi identificatori delle istruzioni potrebbe influire sul modo in cui la console visualizza gli aggiornamenti apportati all'istruzione.

1. (Facoltativo) È possibile consentire ad altri Account AWS di utilizzare questa chiave KMS per operazioni crittografiche. A questo proposito, nella sezione **Altri Account AWS**, nella parte inferiore della pagina, scegli **Aggiungi un altro Account AWS** e inserisci il numero di identificazione Account AWS di un account esterno. Per aggiungere più account esterni, ripetere questo passaggio.
**Nota**  
Per consentire ai principali negli account esterni di utilizzare la chiave KMS, gli amministratori dell'account esterno devono creare policy IAM che forniscono tali autorizzazioni. Per ulteriori informazioni, consultare [Autorizzazione per gli utenti in altri account di utilizzare una chiave KMS](key-policy-modifying-external-accounts.md).

1. Scegli **Next (Successivo)**.

1. Consulta le principali dichiarazioni politiche relative alla chiave. Per apportare modifiche alla politica chiave, seleziona **Modifica**.

1. Scegli **Next (Successivo)**.

1. Esaminare le principali impostazioni scelte. È comunque possibile tornare indietro e modificare tutte le impostazioni.

1. Scegli **Termina** per creare la chiave KMS.

## Utilizzo dell' AWS KMS API
<a name="create-asymmetric-keys-api"></a>

È possibile utilizzare l'[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operazione per creare un'asimmetria AWS KMS key. Questi esempi utilizzano la [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), ma puoi usare anche qualsiasi linguaggio di programmazione supportato. 

Quando crei una chiave KMS asimmetrica devi specificare il parametro `KeySpec` che determina il tipo di chiavi create. Inoltre, è necessario specificare un `KeyUsage` valore di ENCRYPT\$1DECRYPT, SIGN\$1VERIFY o KEY\$1AGREEMENT. Una volta creata la chiave KMS, non è più possibile modificare queste proprietà.

L'`CreateKey`operazione non consente di specificare un alias, ma è possibile utilizzare l'[CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html)operazione per creare un alias per la nuova chiave KMS.

**Importante**  
Non includere informazioni riservate o sensibili nei campi `Description` o `Tags`. Questi campi possono apparire in testo semplice nei CloudTrail log e in altri output.

**Crea una coppia di chiavi KMS asimmetrica per la crittografia pubblica**  
Nell'esempio seguente viene utilizzata l'operazione `CreateKey` per creare una chiave KMS asimmetrica di chiavi RSA a 4096-bit progettata per la crittografia a chiave pubblica.

```
$ aws kms create-key --key-spec RSA_4096 --key-usage ENCRYPT_DECRYPT
{
    "KeyMetadata": {
        "KeyState": "Enabled",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "KeyManager": "CUSTOMER",
        "Description": "",
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "CreationDate": 1569973196.214,
        "MultiRegion": false,
        "KeySpec": "RSA_4096",
        "CustomerMasterKeySpec": "RSA_4096",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "EncryptionAlgorithms": [
            "RSAES_OAEP_SHA_1",
            "RSAES_OAEP_SHA_256"
        ],
        "AWSAccountId": "111122223333",
        "Origin": "AWS_KMS",
        "Enabled": true
    }
}
```

**Crea una coppia di chiavi KMS asimmetrica per la firma e la verifica**  
Il comando di esempio seguente crea una chiave KMS asimmetrica che rappresenta una coppia di chiavi ECC utilizzate per la firma e la verifica. Non è possibile creare una coppia di chiavi a curva ellittica per la crittografia e la decrittografia.

```
$ aws kms create-key --key-spec ECC_NIST_P521 --key-usage SIGN_VERIFY
{
    "KeyMetadata": {
        "KeyState": "Enabled",
        "KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
        "CreationDate": 1570824817.837,
        "Origin": "AWS_KMS",
        "SigningAlgorithms": [
            "ECDSA_SHA_512"
        ],
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
        "AWSAccountId": "111122223333",
        "KeySpec": "ECC_NIST_P521",
        "CustomerMasterKeySpec": "ECC_NIST_P521",
        "KeyManager": "CUSTOMER",
        "Description": "",
        "Enabled": true,
        "MultiRegion": false,
        "KeyUsage": "SIGN_VERIFY"
    }
}
```

**Crea una coppia di chiavi KMS asimmetrica per derivare segreti condivisi**  
Il comando di esempio seguente crea una chiave KMS asimmetrica che rappresenta una coppia di chiavi ECDH utilizzate per derivare segreti condivisi. Non è possibile creare una coppia di chiavi a curva ellittica per la crittografia e la decrittografia.

```
$ aws kms create-key --key-spec ECC_NIST_P256 --key-usage KEY_AGREEMENT
{
    "KeyMetadata": {
        "AWSAccountId": "111122223333",
        "KeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321",
        "CreationDate": "2023-12-27T19:10:15.063000+00:00",
        "Enabled": true,
        "Description": "",
        "KeyUsage": "KEY_AGREEMENT",
        "KeyState": "Enabled",
        "Origin": "AWS_KMS",
        "KeyManager": "CUSTOMER",
        "CustomerMasterKeySpec": "ECC_NIST_P256",
        "KeySpec": "ECC_NIST_P256",
        "KeyAgreementAlgorithms": [
            "ECDH"
        ],
        "MultiRegion": false
    }
}
```

# Creazione di una chiave KMS HMAC
<a name="hmac-create-key"></a>

[Puoi creare chiavi KMS HMAC nella AWS KMS console, utilizzando l'[https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)API o utilizzando il modello. AWS::KMS::Key CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-kms-key.html)

Quando crei una chiave KMS HMAC, devi selezionare una specifica chiave. AWS KMS supporta diverse [specifiche chiave per le chiavi HMAC](symm-asymm-choose-key-spec.md#hmac-key-specs) KMS. La scelta della specifica della chiave può essere determinata da requisiti normativi, di sicurezza o aziendali. In generale, le chiavi più lunghe sono più resistenti agli attacchi a forza bruta.

Per informazioni sulle autorizzazioni richieste per la creazione di chiavi KMS, consultare [Autorizzazioni per la creazione di chiavi KMS](create-keys.md#create-key-permissions).

## Utilizzo della console AWS KMS
<a name="create-hmac-key-console"></a>

È possibile utilizzare il Console di gestione AWS per creare chiavi KMS HMAC. Le chiavi KMS HMAC sono chiavi simmetriche con un utilizzo della chiave **Generate and verify MAC** (Genera e verifica MAC). È possibile anche creare chiavi HMAC multi-regione. 

1. [Accedi a Console di gestione AWS e apri la console AWS Key Management Service (AWS KMS) in /kms. https://console.aws.amazon.com](https://console.aws.amazon.com/kms)

1. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.

1. Nel riquadro di navigazione, scegli **Chiavi gestite dal cliente**.

1. Scegli **Crea chiave**.

1. Alla voce **Key type (Tipo di chiave)**, scegliere **Symmetric (Simmetrica)**.

   Le chiavi KMS HMAC sono simmetriche. Usa la stessa chiave per generare e verificare i tag HMAC.

1. Per **Key usage** (Utilizzo della chiave), scegli **Generate and verify MAC** (Genera e verifica MAC).

   Generate and verify MAC (Genera e verifica MAC) è l'unico utilizzo valido per le chiavi KMS HMAC.
**Nota**  
**Key usage** (Utilizzo della chiave) viene visualizzato per le chiavi simmetriche solo quando le chiavi KMS HMAC sono supportate nella regione selezionata.

1. Seleziona un valore **Key spec** (Specifica della chiave) per la tua chiave KMS HMAC. 

   La scelta della specifica della chiave può essere determinata da requisiti normativi, di sicurezza o aziendali. In generale, le chiavi più lunghe sono più sicure.

1. Per creare una chiave HMAC [primaria](multi-region-keys-overview.md) *multi-regione*, in **Advanced options** (Opzioni avanzate) scegli **Multi-Region key** (Chiave multi-regione). Le [proprietà condivise](multi-region-keys-overview.md#mrk-sync-properties) che definisci per questa chiave KMS, come il tipo di chiave e l'utilizzo della chiave, saranno condivise con le relative chiavi di replica.

   Non è possibile utilizzare questa procedura per creare una chiave di replica. Per creare una chiave HMAC di *replica* multi-regione, segui le [istruzioni per creare una chiave di replica](multi-region-keys-replicate.md).

1. Scegli **Next (Successivo)**.

1. Inserisci un [alias](kms-alias.md) per la chiave KMS. Un nome di alias non può iniziare con **aws/**. Il prefisso **aws/** è riservato da Amazon Web Services per rappresentare le Chiavi gestite da AWS nel tuo account.

   Ti consigliamo di utilizzare un alias che identifichi la chiave KMS come chiave HMAC, ad esempio `HMAC/test-key`. In questo modo sarà più facile identificare le chiavi HMAC nella AWS KMS console, dove è possibile ordinare e filtrare le chiavi in base a tag e alias, ma non in base alle specifiche o all'utilizzo delle chiavi.

   Gli alias sono obbligatori quando si crea una chiave KMS nella Console di gestione AWS. Non è possibile specificare un alias quando si utilizza l'[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operazione, ma è possibile utilizzare la console o l'[CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html)operazione per creare un alias per una chiave KMS esistente. Per informazioni dettagliate, vedi [Alias in AWS KMS](kms-alias.md).

1. (Facoltativo) Inserisci una descrizione per la chiave KMS.

   Inserire una descrizione che illustra il tipo di dati che si desidera proteggere o l'applicazione che si desidera utilizzare con la chiave KMS.

   Puoi aggiungere una descrizione ora o aggiornarla in qualsiasi momento, a meno che lo [stato della chiave](key-state.md) non sia `Pending Deletion` o `Pending Replica Deletion`. Per aggiungere, modificare o eliminare la descrizione di una chiave gestita dal cliente esistente, modifica la descrizione nella pagina dei dettagli della chiave KMS Console di gestione AWS o utilizza Console di gestione AWS l'operazione. [UpdateKeyDescription](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateKeyDescription.html)

1. (Facoltativo) Inserisci un tag della chiave e un valore facoltativo. Per aggiungere più di un tag alla chiave KMS scegli **Add tag (Aggiungi tag)**.

   Puoi anche aggiungere un tag che identifica la chiave come chiave HMAC, ad esempio `Type=HMAC`. In questo modo sarà più facile identificare le chiavi HMAC nella AWS KMS console, dove è possibile ordinare e filtrare le chiavi in base a tag e alias, ma non in base alle specifiche o all'utilizzo delle chiavi.

   Quando aggiungi tag alle tue AWS risorse, AWS genera un rapporto sull'allocazione dei costi con utilizzo e costi aggregati per tag. I tag possono essere utilizzati anche per controllare l'accesso a una chiave KMS. Per informazioni sull'assegnazione di tag delle chiavi KMS, consulta [Tag in AWS KMS](tagging-keys.md) e [ABAC per AWS KMS](abac.md). 

1. Seleziona **Next (Successivo)**.

1. Seleziona i ruoli e gli utenti IAM che possono gestire la chiave KMS.
**Note**  
Questa politica chiave offre il Account AWS pieno controllo di questa chiave KMS. Consente agli amministratori dell'account di utilizzare policy IAM per concedere ad altri principali l'autorizzazione per la gestione della chiave KMS. Per informazioni dettagliate, vedi [Policy delle chiavi predefinita](key-policy-default.md).  
Le best practice di IAM disincentivano l'uso di utenti IAM con credenziali a lungo termine. Quando possibile, utilizza i ruoli IAM che forniscono credenziali temporanee. Per i dettagli, consulta la sezione [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l'utente IAM*.  
La AWS KMS console aggiunge gli amministratori chiave alla politica chiave sotto l'identificatore dell'istruzione. `"Allow access for Key Administrators"` La modifica di questo identificatore di istruzione potrebbe influire sul modo in cui la console visualizza gli aggiornamenti apportati all'istruzione.

1. (Facoltativo) Per impedire ai ruoli e agli utenti IAM selezionati di eliminare questa chiave KMS, nella sezione **Eliminazione chiave** nella parte inferiore della pagina, deseleziona la casella di controllo **Consenti agli amministratori delle chiavi di eliminare questa chiave**.

1. Scegli **Next (Successivo)**.

1. Seleziona i ruoli e gli utenti IAM che possono utilizzare la chiave KMS per [operazioni di crittografia](kms-cryptography.md#cryptographic-operations).
**Note**  
Le best practice di IAM disincentivano l'uso di utenti IAM con credenziali a lungo termine. Quando possibile, utilizza i ruoli IAM che forniscono credenziali temporanee. Per i dettagli, consulta la sezione [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l'utente IAM*.  
La AWS KMS console aggiunge gli utenti chiave alla politica chiave sotto gli `"Allow use of the key"` identificatori di dichiarazione e. `"Allow attachment of persistent resources"` La modifica di questi identificatori delle istruzioni potrebbe influire sul modo in cui la console visualizza gli aggiornamenti apportati all'istruzione.

1. (Facoltativo) È possibile consentire ad altri Account AWS di utilizzare questa chiave KMS per operazioni crittografiche. A questo proposito, nella sezione **Altri Account AWS**, nella parte inferiore della pagina, scegli **Aggiungi un altro Account AWS** e inserisci il numero di identificazione Account AWS di un account esterno. Per aggiungere più account esterni, ripetere questo passaggio.
**Nota**  
Per consentire ai principali negli account esterni di utilizzare la chiave KMS, gli amministratori dell'account esterno devono creare policy IAM che forniscono tali autorizzazioni. Per ulteriori informazioni, consultare [Autorizzazione per gli utenti in altri account di utilizzare una chiave KMS](key-policy-modifying-external-accounts.md).

1. Scegli **Next (Successivo)**.

1. Consulta le principali dichiarazioni politiche relative alla chiave. Per apportare modifiche alla politica chiave, seleziona **Modifica**.

1. Scegli **Next (Successivo)**.

1. Esaminare le principali impostazioni scelte. È comunque possibile tornare indietro e modificare tutte le impostazioni.

1. Scegli **Finish** (Termina) per creare la chiave KMS HMAC.

## Utilizzo dell' AWS KMS API
<a name="create-keys-api"></a>

È possibile utilizzare l'[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operazione per creare una chiave KMS HMAC. Questi esempi utilizzano la [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), ma puoi usare anche qualsiasi linguaggio di programmazione supportato. 

Quando crei una chiave KMS HMAC, devi specificare il parametro `KeySpec` che determina il tipo di chiave KMS. Inoltre, devi specificare il valore `KeyUsage` di GENERATE\$1VERIFY\$1MAC, anche se è l'unico valore valido per l'utilizzo della chiave per le chiavi HMAC. Per creare una chiave KMS HMAC [multi-regione](multi-region-keys-overview.md), aggiungi il parametro `MultiRegion` con un valore `true`. Una volta creata la chiave KMS, non è più possibile modificare queste proprietà. 

L'`CreateKey`operazione non consente di specificare un alias, ma è possibile utilizzare l'[CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html)operazione per creare un alias per la nuova chiave KMS. Ti consigliamo di utilizzare un alias che identifichi la chiave KMS come chiave HMAC, ad esempio `HMAC/test-key`. In questo modo sarà più facile identificare le chiavi HMAC nella AWS KMS console, dove è possibile ordinare e filtrare le chiavi per alias, ma non per specifica chiave o utilizzo della chiave.

Se si tenta di creare una chiave KMS HMAC in un ambiente Regione AWS in cui le chiavi HMAC non sono supportate, l'operazione restituisce un `CreateKey` `UnsupportedOperationException`

Gli esempi seguenti utilizzano l'operazione `CreateKey` per creare una chiave KMS HMAC a 512 bit.

```
$ aws kms create-key --key-spec HMAC_512 --key-usage GENERATE_VERIFY_MAC
{
    "KeyMetadata": {
        "KeyState": "Enabled",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "KeyManager": "CUSTOMER",
        "Description": "",
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "CreationDate": 1669973196.214,
        "MultiRegion": false,
        "KeySpec": "HMAC_512",
        "CustomerMasterKeySpec": "HMAC_512",
        "KeyUsage": "GENERATE_VERIFY_MAC",
        "MacAlgorithms": [
            "HMAC_SHA_512"
        ],
        "AWSAccountId": "111122223333",
        "Origin": "AWS_KMS",
        "Enabled": true
    }
}
```

# Creazione di chiavi primarie multiregionali
<a name="create-primary-keys"></a>

Puoi creare una [chiave primaria multiregionale](multi-region-keys-overview.md#mrk-primary-key) nella AWS KMS console o utilizzando l'API. AWS KMS È possibile creare la chiave primaria Regione AWS ovunque AWS KMS supporti le chiavi multiregionali.

Per creare una chiave primaria multiregionale, il principale necessita delle [stesse autorizzazioni](create-keys.md#create-key-permissions) di cui ha bisogno per creare qualsiasi chiave KMS, inclusa l'CreateKeyautorizzazione [kms:](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html) in una policy IAM. [Il preside necessita anche dell'autorizzazione iam:. CreateServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceLinkedRole.html) Puoi usare la chiave [kms: MultiRegionKeyType](conditions-kms.md#conditions-kms-multiregion-key-type) condition per consentire o negare l'autorizzazione alla creazione di chiavi primarie multiregionali.

**Nota**  
Quando crei la tua chiave primaria multiregionale, considera attentamente gli utenti e i ruoli IAM che scegli per amministrare e utilizzare la chiave. Le policy IAM possono fornire ad altri ruoli e utenti IAM l'autorizzazione per gestire la chiave KMS.  
Le best practice di IAM disincentivano l'uso di utenti IAM con credenziali a lungo termine. Quando possibile, utilizza i ruoli IAM che forniscono credenziali temporanee. Per i dettagli, consulta la sezione [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l'utente IAM*.

## Utilizzo della console AWS KMS
<a name="create-primary-console"></a>

Per creare una chiave primaria multiregionale nella AWS KMS console, utilizza lo stesso processo che utilizzeresti per creare qualsiasi chiave KMS. Seleziona una chiave multiregione in **Opzioni avanzate**. Per istruzioni complete, consulta [Creare una chiave KMS](create-keys.md).

**Importante**  
Non includere informazioni riservate o sensibili nell'alias, nella descrizione o nei tag. Questi campi possono apparire in testo semplice nei CloudTrail log e in altri output.

1. Accedi a Console di gestione AWS e apri la console AWS Key Management Service (AWS KMS) in [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.

1. Nel riquadro di navigazione, scegli **Chiavi gestite dal cliente**.

1. Scegli **Crea chiave**.

1. Selezionare un tipo di chiave [simmetrico o asimmetrico](symmetric-asymmetric.md). Le chiavi simmetriche sono le chiavi di default.

   È possibile creare chiavi simmetriche e asimmetriche multi-regione, incluse le chiavi KMS HMAC multi-regione, che sono simmetriche. 

1. Seleziona l'utilizzo della chiave. **Encrypt and decrypt** (Crittografa e decrittografa) è l'utilizzo di default.

   Per assistenza, consulta le sezioni [Creare una chiave KMS](create-keys.md), [Creazione di una chiave KMS asimmetrica](asymm-create-key.md) o [Creazione di una chiave KMS HMAC](hmac-create-key.md).

1. Espandi **Opzioni avanzate**.

1. **In **Origine del materiale chiave**, per AWS KMS generare il materiale chiave che condivideranno le chiavi principali e di replica, scegli KMS.** Se [importi il materiale della chiave](importing-keys-create-cmk.md) nelle chiavi primarie e di replica, scegli **External (Import key material)** (Esterna (Importa materiale della chiave)). 

1. **In **Regionalità**, scegli la chiave multiregionale.**

   Non è possibile modificare questa impostazione dopo aver creato la chiave KMS. 

1. Digita un [alias](kms-alias.md) per la chiave primaria. 

   Gli alias non sono una proprietà condivisa delle chiavi multiregione. Puoi assegnare alla tua chiave primaria multiregionale e alle sue repliche lo stesso alias o alias diversi. AWS KMS non sincronizza gli alias delle chiavi multiregionali.
**Nota**  
L'aggiunta, l'eliminazione o l'aggiornamento di un alias può consentire o negare l'autorizzazione alla chiave KMS. Per informazioni dettagliate, consulta [ABAC per AWS KMS](abac.md) e [Usa gli alias per controllare l'accesso alle chiavi KMS](alias-authorization.md).

1. (Facoltativo) Digita una descrizione della chiave primaria.

   Le descrizioni non sono una proprietà condivisa delle chiavi multiregione. È possibile assegnare alla chiave primaria multiregione e alle relative repliche la stessa descrizione o descrizioni diverse. AWS KMS non sincronizza le descrizioni dei tasti delle chiavi multiregionali.

1. (Facoltativo) Digita tag per una chiave di un valore di tag facoltativo. Per assegnare più di un tag alla chiave primaria, scegli **Aggiungi tag**.

   I tag non sono una proprietà condivisa delle chiavi multiregione. È possibile assegnare alla chiave primaria multiregione e alle relative repliche gli stessi tag o tag diversi. AWS KMS non sincronizza i tag delle chiavi multiregione. Puoi modificare i tag nelle chiaviKMS in qualsiasi momento.
**Nota**  
L'applicazione o l'eliminazione di un tag chiave KMS può consentire o negare l'autorizzazione alla chiave KMS. Per informazioni dettagliate, consulta [ABAC per AWS KMS](abac.md) e [Usa i tag per controllare l'accesso alle chiavi KMS](tag-authorization.md).

1. Seleziona i ruoli e gli utenti IAM che possono gestire la chiave primaria.
**Note**  
Questo passaggio avvia il processo di creazione di una [policy chiave](key-policies.md) per la chiave primaria. Le policy chiave non sono una proprietà condivisa delle chiavi multiregione. È possibile assegnare alla chiave primaria multiregionale e alle relative repliche la stessa politica chiave o politiche chiave diverse. AWS KMS non sincronizza le politiche chiave delle chiavi multiregionali. È possibile modificare la policy chiave di una chiave KMS in qualsiasi momento.
Quando crei una chiave primaria multiregionale, prendi in considerazione l'utilizzo della [politica di chiave predefinita](key-policy-default.md) generata dalla console. Se modifichi questa politica, la console non fornirà i passaggi per selezionare gli amministratori e gli utenti chiave durante la creazione delle chiavi di replica, né aggiungerà le dichiarazioni politiche corrispondenti. Di conseguenza, dovrai aggiungerle manualmente.
La AWS KMS console aggiunge gli amministratori chiave alla policy chiave sotto l'identificatore `"Allow access for Key Administrators"` dell'istruzione. La modifica di questo identificatore di istruzione potrebbe influire sul modo in cui la console visualizza gli aggiornamenti apportati all'istruzione.

1. (Facoltativo) Per impedire ai ruoli e agli utenti IAM selezionati di eliminare questa chiave KMS, nella sezione **Eliminazione chiave** nella parte inferiore della pagina, deseleziona la casella di controllo **Consenti agli amministratori delle chiavi di eliminare questa chiave**.

1. Scegli **Next (Successivo)**.

1. Seleziona i ruoli e gli utenti IAM che possono utilizzare la chiave KMS per [operazioni di crittografia](kms-cryptography.md#cryptographic-operations).
**Note**  
La AWS KMS console aggiunge gli utenti chiave alla politica chiave sotto gli `"Allow use of the key"` identificatori di dichiarazione e. `"Allow attachment of persistent resources"` La modifica di questi identificatori delle istruzioni potrebbe influire sul modo in cui la console visualizza gli aggiornamenti apportati all'istruzione.

1. (Facoltativo) È possibile consentire ad altri Account AWS di utilizzare questa chiave KMS per operazioni crittografiche. A questo proposito, nella sezione **Altri Account AWS**, nella parte inferiore della pagina, scegli **Aggiungi un altro Account AWS** e inserisci il numero di identificazione Account AWS di un account esterno. Per aggiungere più account esterni, ripetere questo passaggio.
**Nota**  
Per consentire ai principali negli account esterni di utilizzare la chiave KMS, gli amministratori dell'account esterno devono creare policy IAM che forniscono tali autorizzazioni. Per ulteriori informazioni, consultare [Autorizzazione per gli utenti in altri account di utilizzare una chiave KMS](key-policy-modifying-external-accounts.md).

1. Scegli **Next (Successivo)**.

1. Consulta le principali dichiarazioni politiche relative alla chiave. Per apportare modifiche alla politica chiave, seleziona **Modifica**.

1. Scegli **Next (Successivo)**.

1. Esaminare le principali impostazioni scelte. È comunque possibile tornare indietro e modificare tutte le impostazioni.

1. Scegli **Fine** per creare la chiave primaria multiregionale.

## Utilizzo dell'API AWS KMS
<a name="create-primary-api"></a>

Per creare una chiave primaria multiregionale, usa l'[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operazione. Usa il parametro `MultiRegion` con valore `True`.

Ad esempio, il comando seguente crea una chiave primaria multiregionale in quella del chiamante ( Regione AWS us-east-1). Accetta valori predefiniti per tutte le altre proprietà, inclusa la policy chiave. I valori predefiniti per le chiavi primarie multiregione sono gli stessi dei valori predefiniti per tutte le altre chiavi KMS, inclusa la proprietà [policy chiave predefinita](key-policy-default.md). Questa procedura crea una chiave di crittografia simmetrica, la chiave KMS di default. 

La risposta include l'elemento `MultiRegion` e l'elemento `MultiRegionConfiguration` con sottoelementi e valori tipici per una chiave primaria multiregione senza chiavi di replica. L'[ID chiave](concepts.md#key-id-key-id) di una chiave multiregione inizia sempre con `mrk-`.

**Importante**  
Non includere informazioni riservate o sensibili nei campi `Description` o `Tags`. Questi campi possono apparire in testo semplice nei CloudTrail log e in altri output.

```
$ aws kms create-key --multi-region
{
    "KeyMetadata": {
        "Origin": "AWS_KMS",
        "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
        "Description": "",
        "KeyManager": "CUSTOMER",
        "Enabled": true,
        "KeySpec": "SYMMETRIC_DEFAULT",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Enabled",
        "CreationDate": 1606329032.475,
        "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
        "AWSAccountId": "111122223333",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ],
        "MultiRegion": true,
        "MultiRegionConfiguration": { 
            "MultiRegionKeyType": "PRIMARY",
            "PrimaryKey": { 
                "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                "Region": "us-east-1"
            },
            "ReplicaKeys": [ ]
      }
    }
}
```

# Creazione di chiavi di replica multiregionali
<a name="multi-region-keys-replicate"></a>

[È possibile creare una [chiave di replica multiregionale](multi-region-keys-overview.md#mrk-primary-key) nella AWS KMS console, utilizzando l'[ReplicateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html)operazione o utilizzando un modello. AWS::KMS::ReplicaKey CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-kms-replicakey.html) Non è possibile utilizzare l'[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operazione per creare una chiave di replica.

È possibile utilizzare queste procedure per replicare qualsiasi chiave primaria multi-regione, incluse le [chiavi KMS di crittografia simmetrica](symm-asymm-choose-key-spec.md#symmetric-cmks), le [chiavi KMS asimmetriche](symmetric-asymmetric.md) e le [chiavi KMS HMAC](hmac.md).

Al termine di questa operazione, la nuova chiave di replica presenta uno [stato chiave](key-state.md) `Creating`. Lo stato della chiave cambia in `Enabled` (o `PendingImport` se si crea una chiave multiregionale con [materiale chiave importato](importing-keys.md)) dopo alcuni secondi, quando il processo di creazione della nuova chiave di replica è completo. Quando lo stato della chiave è `Creating`, puoi visualizzare e gestire la chiave, ma non utilizzarla per operazioni di crittografia. Se state creando e utilizzando la chiave di replica a livello di codice, riprovate `KMSInvalidStateException` o chiamate [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)per verificarne il valore prima di utilizzarla. `KeyState` 

Se si elimina accidentalmente una chiave di replica, è possibile utilizzare questa procedura per ricrearla. Se si replica la stessa chiave primaria nella stessa regione, la nuova chiave di replica creata avrà le stesse [proprietà condivise](multi-region-keys-overview.md#mrk-sync-properties) della chiave di replica originale.

**Importante**  
Non includere informazioni riservate o sensibili nell'alias, nella descrizione o nei tag. Questi campi possono apparire in testo semplice nei CloudTrail log e in altri output.

Per utilizzare un AWS CloudFormation modello per creare una chiave di replica, consulta [AWS::KMS::ReplicaKey](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-kms-replicakey.html)la Guida per l'*AWS CloudFormation utente*.

## Passaggio 1: Scegli le regioni di replica
<a name="replica-region"></a>

In genere si sceglie di replicare una chiave multiregionale in una in Regione AWS base al modello di business e ai requisiti normativi. Ad esempio, puoi replicare una chiave nelle Regioni in cui conservi le tue risorse. In alternativa, per soddisfare i requisiti di ripristino di emergenza, è possibile replicare una chiave in Regioni geograficamente distanti. 

Di seguito sono riportati i AWS KMS requisiti per le regioni di replica. Se la Regione scelta non è conforme a questi requisiti, i tentativi di replicare una chiave hanno esito negativo.
+ **Una chiave multiregione correlata per Regione**: non è possibile creare una chiave di replica nella stessa Regione della chiave primaria o nella stessa Regione di un'altra replica della chiave primaria.

  Se si prova a replicare una chiave primaria in una regione che ha già una replica di quella chiave primaria, il tentativo avrà esito negativo. Se la chiave di replica corrente nella regione si trova nello [stato delle chiavi `PendingDeletion`](key-state.md), è possibile [annullare l'eliminazione della chiave di replica](deleting-keys-scheduling-key-deletion.md) oppure attendere fino a quando la chiave di replica non viene eliminata.
+ **Più chiavi multiregione non correlate nella stessa Regione** — È possibile avere più chiavi multiregione non correlate nella stessa Regione. Ad esempio, è possibile avere due chiavi primarie multiregione nella Regione `us-east-1`. Ciascuna delle chiavi primarie può avere una chiave di replica nella Regione `us-west-2`.
+ **Regioni nella stessa partizione** — La Regione della chiave di replica deve trovarsi nella stessa [partizione AWS](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) della Regione della chiave primaria.
+ **La Regione deve essere abilitata** — Se una regione è [disabilitata per impostazione predefinita](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html#rande-manage-enable), non è possibile creare alcuna risorsa in tale Regione finché non viene abilitata per il tuo Account AWS. 

## Passaggio 2: Creare chiavi di replica
<a name="create-replica-keys"></a>

**Nota**  
Quando crei le chiavi di replica, considera attentamente gli utenti e i ruoli IAM che scegli per amministrare e utilizzare la chiave di replica. Le policy IAM possono fornire ad altri ruoli e utenti IAM l'autorizzazione per gestire la chiave KMS.  
Le best practice di IAM disincentivano l'uso di utenti IAM con credenziali a lungo termine. Quando possibile, utilizza i ruoli IAM che forniscono credenziali temporanee. Per i dettagli, consulta la sezione [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l'utente IAM*.

### Utilizzo della console AWS KMS
<a name="replicate-console"></a>

Nella AWS KMS console, è possibile creare una o più repliche di una chiave primaria multiregionale con la stessa operazione. 

Questa procedura è simile alla creazione di una chiave KMS standard per singola Regione nella console. Tuttavia, poiché una chiave di replica è basata sulla chiave primaria, non è possibile selezionare i valori per le [proprietà condivise](multi-region-keys-overview.md#mrk-sync-properties), ad esempio la specifica della chiave (simmetrica o asimmetrica), l'utilizzo della chiave o l'origine della chiave. 

È possibile specificare proprietà non condivise, tra cui un alias, tag, una descrizione e una policy chiave. Per comodità, la console visualizza i valori delle proprietà correnti della chiave primaria, ma è possibile modificarli. Anche se si mantengono i valori della chiave primaria, questi valori AWS KMS non vengono mantenuti sincronizzati.

**Importante**  
Non includere informazioni riservate o sensibili nell'alias, nella descrizione o nei tag. Questi campi possono apparire in testo semplice nei CloudTrail log e in altri output.

1. Accedi Console di gestione AWS e apri la console AWS Key Management Service (AWS KMS) in [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.

1. Nel riquadro di navigazione, scegli **Chiavi gestite dal cliente**.

1. Seleziona l'alias o l'ID chiave di una [chiave primaria multiregione](multi-region-keys-overview.md#mrk-primary-key). In questo modo si apre la pagina dei dettagli delle chiavi per la chiave KMS.

   Per identificare una chiave primaria multiregione, utilizza l'icona dello strumento nell'angolo in alto a destra per aggiungere la colonna **Regionalità** nella tabella.

1. Seleziona la tab **Regionalità**.

1. Nella sezione **Chiavi multiregione correlate**, scegli **Crea nuove chiavi di replica**.

   Le **chiavi multiregione correlate** mostrano la Regione della chiave primaria e le relative chiavi di replica. È possibile utilizzare questa visualizzazione per scegliere la Regione per la nuova chiave di replica.

1. Scegli una o più Regioni AWS. Questa procedura crea una chiave di replica in ciascuna delle Regioni selezionate. 

   Il menu include solo le regioni nella stessa AWS partizione della chiave primaria. Le Regioni che dispongono già di una chiave multiregione correlata vengono visualizzate, ma non sono selezionabili. È possibile che non si disponga dell'autorizzazione per replicare una chiave in tutte le Regioni del menu.

   Quando hai finito di scegliere Regioni, chiudi il menu. Vengono visualizzate le Regioni selezionate. Per annullare la replica in una Regione, scegli la casella di controllo **X** accanto al nome della Regione.

1. Digita un [alias](kms-alias.md) per la chiave di replica. 

   La console visualizza uno degli alias correnti della chiave primaria, ma è possibile modificarlo. È possibile assegnare alla chiave primaria multiregione e alle relative repliche gli stessi alias o alias diversi. Gli alias non sono una [proprietà condivisa delle chiavi](multi-region-keys-overview.md#mrk-sync-properties) multiregionali. AWS KMS non sincronizza gli alias delle chiavi multiregionali.

   L'aggiunta, l'eliminazione o l'aggiornamento di un alias può consentire o negare l'autorizzazione alla chiave KMS. Per informazioni dettagliate, consulta [ABAC per AWS KMS](abac.md) e [Usa gli alias per controllare l'accesso alle chiavi KMS](alias-authorization.md).

1. (Facoltativo) Digita una descrizione della chiave di replica.

   La console visualizza la descrizione corrente della chiave primaria, ma è possibile modificarla. Le descrizioni non sono una proprietà condivisa delle chiavi multiregione. È possibile assegnare alla chiave primaria multiregione e alle relative repliche la stessa descrizione o descrizioni diverse. AWS KMS non sincronizza le descrizioni dei tasti delle chiavi multiregionali.

1. (Facoltativo) Digita tag per una chiave di un valore di tag facoltativo. Per assegnare più di un tag alla chiave di replica, scegli **Aggiungi tag**.

   Nella console vengono visualizzati i tag attualmente collegati alla chiave primaria, ma è possibile modificarli. I tag non sono una proprietà condivisa delle chiavi multiRegione. È possibile assegnare alla chiave primaria multiregione e alle relative repliche gli stessi tag o tag diversi. AWS KMS non sincronizza i tag delle chiavi multiregionali. 

   L'applicazione o l'eliminazione di un tag chiave KMS può consentire o negare l'autorizzazione alla chiave KMS. Per informazioni dettagliate, consulta [ABAC per AWS KMS](abac.md) e [Usa i tag per controllare l'accesso alle chiavi KMS](tag-authorization.md).

1. Seleziona i ruoli e gli utenti IAM che possono gestire la chiave di replica.
**Note**  
 Se hai modificato la politica delle chiavi predefinita durante la creazione della chiave primaria multiregionale, la console non ti chiederà di selezionare gli amministratori o gli utenti chiave (passaggi 11-15) durante la creazione della chiave di replica. **In questo caso, dovrai aggiungere manualmente le autorizzazioni necessarie per gli amministratori e gli utenti principali alla politica chiave selezionando **Modifica nel passaggio Modifica** la politica chiave (Passaggio 17).**
Questo passaggio avvia il processo di creazione di una [policy chiave](key-policies.md) per la chiave di replica. Nella console vengono visualizzate le policy chiave correnti della chiave primaria, ma è possibile modificarle. Le policy chiave non sono una proprietà condivisa delle chiavi multiregione. È possibile assegnare alla chiave primaria multiregione e alle relative repliche le stesse policy chiave o policy chiave diverse. AWS KMS non sincronizza le policy chiave. È possibile modificare la policy chiave delle chiavi KMS in qualsiasi momento.
La AWS KMS console aggiunge gli amministratori chiave alla politica chiave sotto l'identificatore dell'istruzione. `"Allow access for Key Administrators"` La modifica di questo identificatore di istruzione potrebbe influire sul modo in cui la console visualizza gli aggiornamenti apportati all'istruzione.

1. (Facoltativo) Per impedire ai ruoli e agli utenti IAM selezionati di eliminare questa chiave KMS, nella sezione **Eliminazione chiave** nella parte inferiore della pagina, deseleziona la casella di controllo **Consenti agli amministratori delle chiavi di eliminare questa chiave**.

1. Scegli **Next (Successivo)**.

1. Seleziona i ruoli e gli utenti IAM che possono utilizzare la chiave KMS per [operazioni di crittografia](kms-cryptography.md#cryptographic-operations).
**Nota**  
La AWS KMS console aggiunge gli utenti chiave alla politica chiave sotto gli `"Allow use of the key"` identificatori di dichiarazione e. `"Allow attachment of persistent resources"` La modifica di questi identificatori delle istruzioni potrebbe influire sul modo in cui la console visualizza gli aggiornamenti apportati all'istruzione.

1. (Facoltativo) È possibile consentire ad altri Account AWS di utilizzare questa chiave KMS per operazioni crittografiche. A questo proposito, nella sezione **Altri Account AWS**, nella parte inferiore della pagina, scegli **Aggiungi un altro Account AWS** e inserisci il numero di identificazione Account AWS di un account esterno. Per aggiungere più account esterni, ripetere questo passaggio.
**Nota**  
Per consentire ai principali negli account esterni di utilizzare la chiave KMS, gli amministratori dell'account esterno devono creare policy IAM che forniscono tali autorizzazioni. Per ulteriori informazioni, consultare [Autorizzazione per gli utenti in altri account di utilizzare una chiave KMS](key-policy-modifying-external-accounts.md).

1. Scegli **Next (Successivo)**.

1. Consulta le principali dichiarazioni politiche relative alla chiave. Per apportare modifiche alla politica chiave, seleziona **Modifica**.

1. Scegli **Next (Successivo)**.

1. Esaminare le principali impostazioni scelte. È comunque possibile tornare indietro e modificare tutte le impostazioni.

1. Scegli **Fine** per creare la chiave di replica multiregionale.

### Utilizzo dell'API AWS KMS
<a name="replicate-api"></a>

Per creare una chiave di replica multiregionale, utilizzare l'[ReplicateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html)operazione. Non è possibile utilizzare l'[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operazione per creare una chiave di replica. Questa operazione crea una chiave di replica per volta. La regione specificata deve essere conforme ai [Requisiti per le Regioni](#replica-region) per le chiavi di replica.

Quando si utilizza l'operazione `ReplicateKey`, non specificare valori per le [proprietà condivise](multi-region-keys-overview.md#mrk-sync-properties) delle chiavi multiregione. I valori delle proprietà condivise vengono copiati dalla chiave primaria e mantenuti sincronizzati. Tuttavia, è possibile specificare valori per proprietà non condivise. Altrimenti, AWS KMS applica i valori predefiniti standard per le chiavi KMS, non i valori della chiave primaria.

**Nota**  
Se non specifichi valori per i `Tags` parametri`Description`, o`KeyPolicy`, AWS KMS crea la chiave di replica con una descrizione di stringa vuota, la [politica di chiave predefinita](key-policy-default.md) e nessun tag.  
Non includere informazioni riservate o sensibili nei campi `Description` o `Tags`. Questi campi possono apparire in testo semplice nei CloudTrail log e in altri output.

Ad esempio, il seguente comando crea una chiave di replica multiregione nella Regione Asia Pacifico (Sydney) (ap-southeast-2). Questa chiave di replica è modellata sulla chiave primaria nella Regione Stati Uniti orientali (Virginia settentrionale) (us-east-1), identificata dal valore del parametro `KeyId`. Questo esempio accetta valori predefiniti per tutte le altre proprietà, inclusa la policy chiave.

La risposta descrive la nuova chiave di replica. Include i campi per le proprietà condivise, ad esempio `KeyId`, `KeySpec`, `KeyUsage` e l'origine del materiale chiave (`Origin`). Include anche proprietà indipendenti dalla chiave primaria, come la `Description`, la policy chiave (`ReplicaKeyPolicy`), e i tag (`ReplicaTags`). 

La risposta include anche l'ARN chiave e la Regione della chiave primaria e tutte le relative chiavi di replica, inclusa quella appena creata nella Regione ap-southeast-2. In questo esempio, l'elemento `ReplicaKey` mostra che questa chiave primaria è già stata replicata nella Regione Europa (Irlanda) (eu-west-1).

```
$ aws kms replicate-key \
    --key-id arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \
    --replica-region ap-southeast-2
{
    "ReplicaKeyMetadata": {
        "MultiRegion": true,
        "MultiRegionConfiguration": {
            "MultiRegionKeyType": "REPLICA",
            "PrimaryKey": {
                "Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                "Region": "us-east-1"
            },
            "ReplicaKeys": [
                {
                    "Arn": "arn:aws:kms:ap-southeast-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                    "Region": "ap-southeast-2"
                },
                {
                    "Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
                    "Region": "eu-west-1"
                }
            ]
        },
        "AWSAccountId": "111122223333",
        "Arn": "arn:aws:kms:ap-southeast-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
        "CreationDate": 1607472987.918,
        "Description": "",
        "Enabled": true,
        "KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
        "KeyManager": "CUSTOMER",
        "KeySpec": "SYMMETRIC_DEFAULT",
        "KeyState": "Enabled",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "Origin": "AWS_KMS",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ]
    },
    "ReplicaKeyPolicy": "{\n  \"Version\" : \"2012-10-17\",\n  \"Id\" : \"key-default-1\",...,
    "ReplicaTags": []
}
```

# Crea una chiave KMS con materiale chiave importato
<a name="importing-keys-conceptual"></a>

Il materiale chiave importato consente di proteggere le AWS risorse con le chiavi crittografiche generate dall'utente. La seguente panoramica illustra come importare il materiale della chiave in AWS KMS. Per ulteriori dettagli su ogni fase del processo, consultate gli argomenti corrispondenti.

1. [Crea una chiave KMS senza materiale della chiave](importing-keys-create-cmk.md): l'origine deve essere `EXTERNAL`. Un'origine chiave di `EXTERNAL` indica che la chiave è progettata per il materiale chiave importato e AWS KMS impedisce la generazione di materiale chiave per la chiave KMS. In una fase successiva importerai il tuo materiale della chiave in questa chiave KMS.

   Il materiale chiave che importate deve essere compatibile con le specifiche chiave della chiave associata AWS KMS . Per ulteriori informazioni sulla compatibilità, vedere[Requisiti per il materiale della chiave importato](#importing-keys-material-requirements).

1. [Scarica la chiave pubblica di wrapping e il token di importazione](importing-keys-get-public-key-and-token.md): dopo aver completato la fase 1, scarica una chiave pubblica di wrapping e un token di importazione. Questi articoli proteggono il materiale chiave durante l'importazione AWS KMS.

   In questa fase, scegli il tipo ("specifica chiave") della chiave di wrapping RSA e l'algoritmo di wrapping che utilizzerai per la crittografia dei dati in transito in AWS KMS. Puoi scegliere una specifica della chiave di wrapping e un algoritmo della chiave di wrapping diversi ogni volta che importi o reimporti lo stesso materiale della chiave. 

1. [Decripta il materiale della chiave](importing-keys-encrypt-key-material.md): usa la chiave pubblica di wrapping che hai scaricato nella fase 2 per crittografare il materiale della chiave che hai creato sul tuo sistema.

1. [Importa il materiale chiave](importing-keys-import-key-material.md) – Carica il materiale della chiave crittografato che hai creato nella fase 3 e il token di importazione che hai scaricato nella fase 2.

   In questa fase, puoi [impostare una scadenza facoltativa](importing-keys-import-key-material.md#importing-keys-expiration). Quando il materiale chiave importato scade, lo AWS KMS elimina e la chiave KMS diventa inutilizzabile. Per continuare a utilizzare la chiave KMS, devi importare nuovamente lo **stesso** materiale della chiave.

   Quando l'operazione di importazione viene completata correttamente, lo stato della chiave della chiave KMS cambia da `PendingImport` a `Enabled`. ora, puoi utilizzare la chiave KMS nelle operazioni di crittografia.

AWS KMS [registra una voce nel AWS CloudTrail registro quando si [crea la chiave KMS, si scarica la chiave](ct-createkey.md)[pubblica di wrapping e si importa il token e si importa il materiale chiave](ct-getparametersforimport.md).](ct-importkeymaterial.md) AWS KMS registra anche una voce quando si elimina materiale chiave importato o quando si AWS KMS [elimina materiale chiave scaduto](ct-deleteexpiredkeymaterial.md). 

## Autorizzazioni per l'importazione del materiale della chiave
<a name="importing-keys-permissions"></a>

Per creare e gestire le chiave KMS con materiale della chiave importato, l'utente deve avere l'autorizzazione per le operazioni di questo processo. Puoi fornire le autorizzazioni `kms:GetParametersForImport`, `kms:ImportKeyMaterial`, e `kms:DeleteImportedKeyMaterial` nella policy delle chiavi quando crei la chiave KMS. Nella AWS KMS console, queste autorizzazioni vengono aggiunte automaticamente per gli amministratori chiave quando si crea una chiave con un'origine materiale **esterna**.

Per creare chiavi KMS con materiale della chiave importato, il principale richiede le seguenti autorizzazioni.
+ [kms: CreateKey (politica IAM](customer-managed-policies.md#iam-policy-example-create-key))
  + Per limitare questa autorizzazione alle chiavi KMS con materiale chiave importato, utilizza la condizione [kms: KeyOrigin](conditions-kms.md#conditions-kms-key-origin) policy con un valore di. `EXTERNAL`

    ```
    {
      "Sid": "CreateKMSKeysWithoutKeyMaterial",
      "Effect": "Allow",
      "Resource": "*",
      "Action": "kms:CreateKey",
      "Condition": {
        "StringEquals": {
          "kms:KeyOrigin": "EXTERNAL"
        }
      }
    }
    ```
+ [kms: GetParametersForImport](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetParametersForImport.html) (Politica chiave o politica IAM)
  + [Per limitare questa autorizzazione alle richieste che utilizzano un particolare algoritmo di wrapping e una specifica chiave di wrapping, utilizza le condizioni delle policy [kms: WrappingAlgorithm e kms:](conditions-kms.md#conditions-kms-wrapping-algorithm). WrappingKeySpec](conditions-kms.md#conditions-kms-wrapping-key-spec) 
+ [kms: ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html) (Politica chiave o politica IAM)
  + Per consentire o vietare la scadenza del materiale chiave e controllare la data di scadenza, utilizza le condizioni delle politiche [kms: ExpirationModel e [kms](conditions-kms.md#conditions-kms-valid-to):](conditions-kms.md#conditions-kms-expiration-model). ValidTo

[Per reimportare il materiale chiave importato, il principale necessita delle autorizzazioni kms: e [kms:](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetParametersForImport.html). GetParametersForImport ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html)

[Per eliminare il materiale chiave importato, il principale necessita dell'autorizzazione kms:. DeleteImportedKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteImportedKeyMaterial.html)

Ad esempio, per dare a `KMSAdminRole` di esempio l'autorizzazione per gestire tutti gli aspetti di una chiave KMS con materiale chiave importato, includi una dichiarazione di policy delle chiavi come la seguente nella policy della chiave KMS.

```
{
  "Sid": "Manage KMS keys with imported key material",
  "Effect": "Allow",
  "Resource": "*",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:role/KMSAdminRole"
  },
  "Action": [
    "kms:GetParametersForImport",
    "kms:ImportKeyMaterial",
    "kms:DeleteImportedKeyMaterial"
  ]  
}
```

## Requisiti per il materiale della chiave importato
<a name="importing-keys-material-requirements"></a>

Il materiale della chiave importato deve essere compatibile con le [specifiche chiave](create-keys.md#key-spec) della chiave KMS associata. Per le coppie di chiavi asimmetriche, importa solo la chiave privata della coppia. AWS KMS ricava la chiave pubblica dalla chiave privata.

AWS KMS supporta le seguenti specifiche chiave per le chiavi KMS con materiale chiave importato.
+ **Chiavi di crittografia simmetrica**
  + **Specifiche chiave:**
    + SYMMETRIC\$1DEFAULT.
  + **Requisiti:**
    + 256 bit (32 byte) di dati binari.
    + Nelle regioni cinesi, devono essere dati binari a 128 bit (16 byte).
+ **Chiavi HMAC**
  + **Specifiche chiave:**
    + HMAC\$1224
    + HMAC\$1256
    + HMAC\$1384
    + HMAC\$1512
  + **Requisiti:**
    + Il materiale della chiave HMAC deve essere conforme alla [RFC 2104](https://datatracker.ietf.org/doc/html/rfc2104).
    + La lunghezza della chiave deve essere almeno la stessa lunghezza specificata dalle specifiche della chiave. La lunghezza massima della chiave è di 1024 bit.
    + Se il materiale della chiave supera i 1024 bit, è possibile eseguire l'hash del materiale chiave e importare l'output dell'hash. L'algoritmo di hashing deve corrispondere alle specifiche chiave della chiave HMAC KMS che stai creando.
  + **Esempio**:
    + Per importare 2048 bit di materiale chiave in una chiave HMAC\$1256, calcola prima l'hash SHA-256 del materiale chiave a 2048 bit, quindi importa l'output hash a 256 bit risultante nella chiave KMS.
  + **Lunghezze di chiave valide:**
    + HMAC\$1224:224—1024 bit
    + HMAC\$1256:256-1024 bit
    + HMAC\$1384:384—1024 bit
    + HMAC\$1512:512—1024 bit
+ **Chiave privata asimmetrica RSA**
  + **Specifiche chiave:**
    + RSA\$12048
    + RSA\$13072
    + RSA\$14096
  + **Requisiti:**
    + La chiave privata asimmetrica RSA importata deve far parte di una coppia di chiavi conforme alla [RFC 3447.](https://datatracker.ietf.org/doc/html/rfc3447/)
    + **Modulo**: 2048 bit, 3072 bit o 4096 bit
    + **Numero di numeri primi**: 2 (le chiavi RSA con più numeri primi non sono supportate)
    + [Il materiale a chiave asimmetrica deve essere codificato in BER o DER nel formato Public-Key Cryptography Standards (PKCS) \$18 conforme alla RFC 5208.](https://datatracker.ietf.org/doc/html/rfc5208)
+ **Chiave privata asimmetrica a curva ellittica**
  + **Specifiche chiave:**
    + ECC\$1NIST\$1P256 (secp256r1)
    + ECC\$1NIST\$1P384 (secp384r1)
    + ECC\$1NIST\$1P521 (secp521r1)
    + ECC\$1SECG\$1P256K1 (secp256k1)
    + EDWARDS25519 ECC\$1NIST\$1 (ed25519)
  + **Requisiti:**
    + La chiave privata asimmetrica RSA importata deve far parte di una coppia di chiavi conforme alla [RFC 5915](https://datatracker.ietf.org/doc/html/rfc5915/).
    + **Curva:** NIST P-256, NIST P-384, NIST P-521, SecP256k1, NIST Ed25519.
    + **Parametri: solo curve con nome (le chiavi ECC con parametri espliciti vengono rifiutate).**
    + **Coordinate pubbliche dei punti:** possono essere compresse, non compresse o proiettive.
    + [Il materiale a chiave asimmetrica deve essere codificato in BER o DER nel formato Public-Key Cryptography Standards (PKCS) \$18 conforme alla RFC 5208.](https://datatracker.ietf.org/doc/html/rfc5208)
+ **Chiave ML-DSA**
  + **Specifiche chiave:**
    + ML\$1DSA\$144
    + ML\$1DSA\$165
    + ML\$1DSA\$187
**Importante**  
L'importazione di chiavi ML-DSA non è supportata.
+ SM2 chiave **privata asimmetrica (solo regioni della Cina)**
  + **Requisiti:**
    + La chiave privata SM2 asimmetrica importata deve far parte di una coppia di chiavi conforme a 0003. GM/T 
    + ** SM2Curva**:.
    + **Parametri:** solo curva con nome (SM2 le chiavi con parametri espliciti vengono rifiutate).
    + **Coordinate pubbliche dei punti:** possono essere compresse, non compresse o proiettive.
    + [Il materiale a chiave asimmetrica deve essere codificato in BER o DER nel formato Public-Key Cryptography Standards (PKCS) \$18 conforme alla RFC 5208.](https://datatracker.ietf.org/doc/html/rfc5208)

# Fase 1: Creare un materiale AWS KMS key senza chiave
<a name="importing-keys-create-cmk"></a>

Per impostazione predefinita, AWS KMS crea automaticamente il materiale chiave quando crei una chiave KMS. Per importare invece il materiale della propria chiave, avvia creando una chiave KMS senza materiale chiave. Quindi, importare il materiale chiave. Per creare una chiave KMS senza materiale chiave, usa la AWS KMS console o l'[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operazione.

Per creare una chiave senza materiale della chiave, specifica un'[origine](create-keys.md#key-origin) `EXTERNAL`. La proprietà dell'origine di una chiave KMS è immutabile. Una volta creata, non è possibile convertire una chiave KMS progettata per il materiale chiave importato in una chiave KMS con materiale chiave proveniente da AWS KMS o da qualsiasi altra fonte.

Lo [stato della chiave](key-state.md) di una chiave KMS con un origine `EXTERNAL` e nessun materiale chiave è `PendingImport`. Una chiave KMS può rimanere in uno stato `PendingImport` indefinitamente. Tuttavia, non puoi utilizzare una chiave KMS in stato `PendingImport` in operazioni crittografiche. Quando importi il materiale della chiave, lo stato della chiave KMS diventa `Enabled` e puoi utilizzarla in operazioni crittografiche.

AWS KMS registra un evento nel AWS CloudTrail registro quando si [crea la chiave KMS, si scarica la chiave](ct-createkey.md) [pubblica e si importa il token e si importa](ct-getparametersforimport.md) [il](ct-importkeymaterial.md) materiale chiave. AWS KMS registra anche un CloudTrail evento quando si [elimina materiale chiave importato o quando si AWS KMS elimina materiale chiave](ct-deleteimportedkeymaterial.md) [scaduto](ct-deleteexpiredkeymaterial.md).

**Topics**
+ [

## Creazione di una chiave KMS senza materiale della chiave (console)
](#importing-keys-create-cmk-console)
+ [

## Creazione di una chiave KMS senza materiale chiave (API)AWS KMS
](#importing-keys-create-cmk-api)

## Creazione di una chiave KMS senza materiale della chiave (console)
<a name="importing-keys-create-cmk-console"></a>

Devi solo creare una sola volta una chiave KMS per il materiale della chiave importato. Puoi importare e reimportare quando vuoi lo stesso materiale della chiave nella chiave KMS, ma non puoi importare materiale della chiave diverso in una chiave KMS. Per informazioni dettagliate, vedi [Fase 2: download della chiave pubblica di wrapping e del token di importazione](importing-keys-get-public-key-and-token.md).

Per trovare le chiavi KMS esistenti con materiale della chiave importato nella tabella **Customer managed keys** (Chiavi gestite dal cliente), utilizza l'icona a forma di ingranaggio nell'angolo in alto a destra per mostrare la colonna **Origin** (Origine) nell'elenco delle chiavi KMS. Il valore di **Origine** per le chiavi importate è **Esterna (Importa il materiale della chiave)**.

Per creare una chiave KMS con materiale chiave importato, inizia seguendo le [istruzioni per creare una chiave KMS del tipo di chiave preferito](create-keys.md), con la seguente eccezione.

Una volta scelto l'utilizzo della chiave, effettua le seguenti operazioni:

1. Espandi **Opzioni avanzate**.

1. In **Key material origin** (Origine del materiale della chiave), seleziona **External (Import key material)** (Esterna (Importa materiale della chiave)).

1. Scegli la casella di controllo accanto a **Comprendo le implicazioni in termini di sicurezza e durabilità derivanti dall'utilizzo di una chiave importata)** per confermare di aver compreso le implicazioni dell'utilizzo del materiale della chiave importato. Per leggere queste implicazioni, consulta [Protezione del materiale della chiave importato](import-keys-protect.md).

1. **Facoltativo: per creare una chiave [KMS multiregionale con materiale chiave](multi-region-keys-overview.md) importato, in **Regionalità seleziona Chiave multiregionale**.**

1. Torna alle istruzioni basilari. Le fasi rimanenti della procedura basilare sono identici per tutte le chiavi KMS di tale tipo. 

Quando scegli **Fine**, hai creato una chiave KMS senza materiale della chiave con lo stato ([stato chiave](key-state.md)) **Importazione in attesa**. 

Tuttavia, invece di tornare alla tabella delle **Chiavi gestite dal cliente**, la console visualizza una pagina in cui puoi scaricare la chiave pubblica e importare il token necessario per l'importazione del materiale della chiave. A questo punto, puoi continuare con la fase di download o scegliere **Annulla** per fermarti a questo punto. Puoi tornare a questa fase di download in qualunque momento.

Successivo: [Fase 2: download della chiave pubblica di wrapping e del token di importazione](importing-keys-get-public-key-and-token.md).

## Creazione di una chiave KMS senza materiale chiave (API)AWS KMS
<a name="importing-keys-create-cmk-api"></a>

Per utilizzare l'[AWS KMS API](https://docs.aws.amazon.com/kms/latest/APIReference/) per creare una chiave KMS di crittografia simmetrica senza materiale chiave, invia una [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)richiesta con il `Origin` parametro impostato su. `EXTERNAL` L'esempio seguente mostra come eseguire questa operazione con l'[AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/).

```
$ aws kms create-key --origin EXTERNAL
```

Se il comando viene eseguito correttamente, verrà visualizzato un output simile al seguente. La AWS KMS chiave `Origin` è `EXTERNAL` e la sua è. `KeyState` `PendingImport`

**Suggerimento**  
Se l'esito del comando non è positivo, potresti visualizzare un'`KMSInvalidStateException` o un'`NotFoundException`. Puoi ritentare la richiesta.

```
{
    "KeyMetadata": {
        "Origin": "EXTERNAL",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "Description": "",
        "Enabled": false,
        "MultiRegion": false,
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "PendingImport",
        "CreationDate": 1568289600.0,
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "AWSAccountId": "111122223333",
        "KeyManager": "CUSTOMER",
        "KeySpec": "SYMMETRIC_DEFAULT",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ]
    }
}
```

Copia il valore `KeyId` dall'output del comando per utilizzarlo in un secondo momento, quindi passa a [Fase 2: download della chiave pubblica di wrapping e del token di importazione](importing-keys-get-public-key-and-token.md).

**Nota**  
Questo comando crea una chiave KMS di crittografia simmetrica con `KeySpec` `SYMMETRIC_DEFAULT` e `KeyUsage` `ENCRYPT_DECRYPT`. Puoi utilizzare i parametri opzionali `--key-spec` e `--key-usage` per creare una chiave KMS HMAC o asimmetrica. Per maggiori informazioni, vedi l'operazione [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html).

# Fase 2: download della chiave pubblica di wrapping e del token di importazione
<a name="importing-keys-get-public-key-and-token"></a>

Dopo aver [creato un materiale AWS KMS key senza chiave](importing-keys-create-cmk.md), scarica una chiave pubblica di wrapping e un token di importazione per quella chiave KMS utilizzando la AWS KMS console o l'API. [GetParametersForImport](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetParametersForImport.html) La chiave pubblica di wrapping e il token di importazione costituiscono due elementi di un set indivisibile che devono essere usati assieme.

Utilizzerai la chiave pubblica di wrapping per [crittografare il materiale della chiave](importing-keys-encrypt-key-material.md) per il trasporto. [Prima di scaricare una coppia di chiavi di wrapping RSA, seleziona la lunghezza (specifica chiave) della coppia di chiavi di wrapping RSA e l'algoritmo di wrapping che utilizzerai per crittografare il materiale chiave importato per il trasporto nella fase 3.](importing-keys-encrypt-key-material.md) AWS KMS supporta anche le specifiche della chiave di SM2 avvolgimento (solo regioni della Cina).

Ogni set di chiave pubblica di wrapping e token di importazione è valido per 24 ore. Se non lo utilizzi per importare il materiale della chiave entro 24 ore dal download, devi scaricare un nuovo set. Puoi scaricare set con una nuova chiave pubblica di wrapping e token di importazione in qualunque momento. Ciò consente di modificare la lunghezza della chiave di wrapping RSA ("specifica chiave") o di sostituire un set perso.

Puoi importare un set con chiave pubblica di wrapping e token di importazione anche per [importare nuovamente lo stesso materiale della chiave](importing-keys-import-key-material.md#reimport-key-material) in una chiave KMS. Puoi eseguire questa operazione per importare o modificare la data di scadenza del materiale della chiave o per ripristinare materiale della chiave scaduto o eliminato. È necessario scaricare e crittografare nuovamente il materiale chiave ogni volta che lo si importa in. AWS KMS

**Utilizzo della chiave pubblica di wrapping**  
Il download include una chiave pubblica unica per te Account AWS, chiamata anche chiave pubblica di *wrapping*.  
Prima di importare il materiale chiave, crittografate il materiale chiave con la chiave di wrapping pubblica, quindi caricate il materiale della chiave crittografata su. AWS KMS Quando AWS KMS riceve il materiale della chiave crittografata, lo decripta con la chiave privata corrispondente, quindi cripta nuovamente il materiale chiave con una chiave simmetrica AES, il tutto all'interno di un modulo di sicurezza hardware (HSM). AWS KMS 

**Utilizzo dei token di importazione**  
Il download include un token di importazione con i metadati che assicura che il materiale della chiave sia stato importato correttamente. Quando carichi il materiale della tua chiave crittografata su AWS KMS, devi caricare lo stesso token di importazione scaricato in questa fase.

## Selezione di una specifica della chiave pubblica di wrapping
<a name="select-wrapping-key-spec"></a>

Per proteggere il materiale chiave durante l'importazione, lo crittografate utilizzando la chiave pubblica di wrapping da AWS KMS cui scaricate e un algoritmo di [wrapping](#select-wrapping-algorithm) supportato. Seleziona una specifica chiave prima di scaricare la chiave pubblica di wrapping e il token di importazione. Tutte le coppie di chiavi di wrapping vengono generate in moduli di sicurezza AWS KMS hardware (). HSMs La chiave non esce mai dal modulo HSM in testo semplice.

**Specifiche principali del wrapping RSA**  
Le *specifiche chiave* della chiave pubblica di wrapping determinano la lunghezza delle chiavi nella coppia di chiavi RSA che protegge il materiale della chiave durante il trasporto in AWS KMS. In generale, consigliamo di utilizzare la chiave pubblica di wrapping più lunga possibile tale che sia pratica. Offriamo diverse specifiche di wrapping public key per supportare una varietà di HSMs gestori chiave.  
AWS KMS supporta le seguenti specifiche chiave per le chiavi di wrapping RSA utilizzate per importare materiale chiave di tutti i tipi, ad eccezione di quanto indicato.   
+ RSA\$14096 (consigliato)
+ RSA\$13072
+ RSA\$12048
**Nota**  
La seguente combinazione NON è supportata: materiale della chiave ECC\$1NIST\$1P521, specifica della chiave di wrapping pubblica RSA\$12048 e algoritmo di wrapping RSAES\$1OAEP\$1SHA\$1\$1.  
Non puoi eseguire il wrapping del materiale della chiave ECC\$1NIST\$1P521 direttamente con una chiave di wrapping pubblica RSA\$12048. Usa una chiave di wrapping più grande o un algoritmo di wrapping RSA\$1AES\$1KEY\$1WRAP\$1SHA\$1\$1.

**SM2 specifiche della chiave di avvolgimento (solo regioni della Cina)**  
AWS KMS supporta le seguenti specifiche chiave per le chiavi di SM2 avvolgimento utilizzate per importare materiale chiave asimmetrico.  
+ SM2

## Selezione di un algoritmo di wrapping
<a name="select-wrapping-algorithm"></a>

Per proteggere il materiale della chiave durante l'importazione, crittografalo utilizzando la chiave pubblica di wrapping scaricata e un algoritmo di wrapping supportato. 

AWS KMS supporta diversi algoritmi di wrapping RSA standard e un algoritmo di wrapping ibrido in due fasi. In generale, consigliamo di utilizzare l'algoritmo di wrapping più sicuro che sia compatibile con il materiale della chiave importato e con le [specifiche della chiave di wrapping](#select-wrapping-key-spec). Di solito, puoi scegliere un algoritmo che è supportato del modulo di sicurezza hardware (HSM) o del sistema di gestione delle chiavi che protegge il materiale della chiave.

La tabella seguente mostra gli algoritmi di wrapping supportati per ogni tipo di chiave KMS e materiale della chiave. Gli algoritmi sono elencati in ordine di preferenza.


| Materiale chiave | Specifiche e algoritmo di wrapping supportati | 
| --- | --- | 
| Chiave di crittografia simmetrica Chiave AES a 256-bit    SM4 Chiave a 128 bit (solo regioni della Cina) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/kms/latest/developerguide/importing-keys-get-public-key-and-token.html)  | 
| Chiave privata RSA asimmetrica  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/kms/latest/developerguide/importing-keys-get-public-key-and-token.html)  | 
| Chiave privata a curva ellittica asimmetrica (ECC)   Non puoi utilizzare gli algoritmi di wrapping RSAES\$1OAEP\$1SHA\$1\$1 con la specifica della chiave di wrapping RSA\$12048 per eseguire il wrapping del materiale della chiave ECC\$1NIST\$1P521. |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/kms/latest/developerguide/importing-keys-get-public-key-and-token.html)  | 
| Chiave SM2 privata asimmetrica (solo regioni della Cina) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/kms/latest/developerguide/importing-keys-get-public-key-and-token.html)  | 
| Chiave HMAC |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/kms/latest/developerguide/importing-keys-get-public-key-and-token.html)  | 

**Nota**  
Gli algoritmi `RSA_AES_KEY_WRAP_SHA_256` and `RSA_AES_KEY_WRAP_SHA_1` wrapping non sono supportati nelle regioni della Cina.
+ `RSA_AES_KEY_WRAP_SHA_256`: algoritmo di wrapping ibrido in due fasi che combina la crittografia del materiale della chiave con una chiave simmetrica AES generata da te, quindi la crittografia della chiave simmetrica AES con la chiave di wrapping pubblica RSA scaricata e l'algoritmo di wrapping RSAES\$1OAEP\$1SHA\$1256.

  È necessario un algoritmo di `RSA_AES_KEY_WRAP_SHA_*` wrapping per il wrapping del materiale a chiave privata RSA, tranne nelle regioni della Cina, dove è necessario utilizzare l'`SM2PKE`algoritmo di wrapping.
+ `RSA_AES_KEY_WRAP_SHA_1`: algoritmo di wrapping ibrido in due fasi che combina la crittografia del materiale della chiave con una chiave simmetrica AES generata da te, quindi la crittografia della chiave simmetrica AES con la chiave pubblica di wrapping RSA scaricata e l'algoritmo di wrapping RSAES\$1OAEP\$1SHA\$11.

  È necessario un algoritmo di `RSA_AES_KEY_WRAP_SHA_*` wrapping per il wrapping del materiale a chiave privata RSA, tranne nelle regioni della Cina, dove è necessario utilizzare l'`SM2PKE`algoritmo di wrapping.
+ `RSAES_OAEP_SHA_256`: l'algoritmo di crittografia RSA con Optimal Asymmetric Encryption Padding (OAEP) con la funzione hash SHA-256.
+ `RSAES_OAEP_SHA_1`: l'algoritmo di crittografia RSA con Optimal Asymmetric Encryption Padding (OAEP) con la funzione hash SHA-1.
+ `RSAES_PKCS1_V1_5`(Obsoleto; al 10 ottobre 2023, AWS KMS non supporta l'algoritmo di wrapping RSAES\$1 PKCS1 \$1V1\$15) — L'algoritmo di crittografia RSA con il formato di riempimento definito in PKCS \$11 versione 1.5.
+ `SM2PKE`(Solo regioni della Cina) — Un algoritmo di crittografia basato sulla curva ellittica definito dall'OSCCA nel 0003.4-2012. GM/T 

**Topics**
+ [

## Selezione di una specifica della chiave pubblica di wrapping
](#select-wrapping-key-spec)
+ [

## Selezione di un algoritmo di wrapping
](#select-wrapping-algorithm)
+ [

## Download della chiave pubblica di wrapping e del token di importazione (console)
](#importing-keys-get-public-key-and-token-console)
+ [

## Scaricamento della chiave pubblica di wrapping e del token di importazione (API)AWS KMS
](#importing-keys-get-public-key-and-token-api)

## Download della chiave pubblica di wrapping e del token di importazione (console)
<a name="importing-keys-get-public-key-and-token-console"></a>

È possibile utilizzare la AWS KMS console per scaricare la chiave pubblica di wrapping e importare il token.

1. Se hai appena completato la procedura per [creare una chiave KMS senza materiale chiave](importing-keys-create-cmk.md#importing-keys-create-cmk-console) e ti trovi sulla pagina **Scarica la chiave di wrapping e il token di importazione**, passa a [Step 10](#id-wrap-step).

1. Accedi Console di gestione AWS e apri la console AWS Key Management Service (AWS KMS) su [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.

1. Nel riquadro di navigazione, scegli **Chiavi gestite dal cliente**.
**Suggerimento**  
Puoi importare il materiale della chiave solo in una chiave KMS con **Origine** **Esterna (Importa il materiale della chiave)**. Ciò indica che la chiave KMS è stata creata senza materiale chiave. Per aggiungere una colonna **Origin (Origine)** alla tabella, nell'angolo in alto a destra della pagina scegliere l'icona delle impostazioni (![\[Gear or cog icon representing settings or configuration options.\]](http://docs.aws.amazon.com/it_it/kms/latest/developerguide/images/console-icon-settings-new.png)). Attivare l'origine in **Origine (Origine)**, quindi scegliere **Confirm (Conferma)**.

1. Scegli l'alias o l'ID chiave della chiave KMS che è in attesa di importazione.

1. Scegli la tab **Configurazione crittografica** e visualizzane i valori. Le tab si trovano nella sezione **Configurazione generale**.

   Puoi importare il materiale della chiave solo in chiavi KMS con **Origine** **Esterna (Importa il materiale della chiave)**. Per ulteriori informazioni sulla creazione di chiavi KMS con materiale chiave importato, consulta [Importazione di materiale chiave per le AWS KMS chiavi](importing-keys.md).

1. Scegli la scheda appropriata in base al tipo di chiave. 
   + **Per le chiavi asimmetriche e HMAC, scegli la scheda Materiale chiave.**
   + **Per le chiavi di crittografia simmetriche, scegliete la scheda Materiale chiave e rotazioni.**

1. Scegli l'azione di importazione.
   + **Per le chiavi asimmetriche e HMAC, scegli Importa materiale chiave.**
   + Per le chiavi di crittografia simmetriche, scegliete una delle seguenti opzioni:
     + **Importa il materiale chiave iniziale** (se non è stato ancora importato alcun materiale chiave)
     + **Importa nuovo materiale chiave** (per aggiungere nuovo materiale per la rotazione)
     + **Reimporta il materiale chiave** (disponibile dal menu **Azioni** nella tabella dei materiali chiave)
**Nota**  
Per le chiavi multiregionali, è necessario prima importare il nuovo materiale chiave nella chiave Region principale. Quindi, importa lo stesso materiale chiave in ogni chiave regionale di replica.  
Per le chiavi multiregionali principali, la tabella **Materiali chiave** include una colonna **dello stato di importazione della replica che mostra lo stato** dell'importazione in tutte le aree di replica (ad esempio, «0 su 3 importate»). Scegliete il valore dello stato di importazione della replica per aprire una finestra modale che mostri lo stato di importazione per ogni regione della replica. Il modale fornisce collegamenti ai **materiali chiave di importazione** per le aree di replica in cui il nuovo materiale chiave non è stato importato.

1. Per **Seleziona le specifiche della chiave di wrapping**, scegli la configurazione per la tua chiave KMS. Dopo aver creato questa chiave, non puoi modificare le specifiche della chiave. 

1. <a name="id-wrap-step"></a>In **Select wrapping algorithm (Seleziona algoritmo di wrapping)**, scegliere l'opzione da utilizzare per crittografare il materiale della chiave. Per ulteriori informazioni sulle opzioni, consulta [Selezione di un algoritmo di wrapping](#select-wrapping-algorithm).

1. Scegli **Scarica la chiave pubblica di wrapping e il token di importazione)**, quindi salva il file. 

   Se è presente un'opzione **Next (Successivo)**, per continuare il processo ora scegliere **Next (Successivo)**. Per continuare in un secondo momento, scegliere **Cancel (Annulla)**. 

1. Decomprimere il file `.zip` salvato nella fase precedente (`Import_Parameters_<key_id>_<timestamp>`).

   La cartella contiene i file seguenti:
   + Una chiave pubblica che avvolge un file denominato. `WrappingPublicKey.bin`
   + Un token di importazione in un file denominato `ImportToken.bin`.
   + Un file di testo denominato README.txt. Questo file contiene informazioni sulla chiave pubblica di wrapping, l'algoritmo di wrapping da utilizzare per crittografare il materiale della chiave e la data e l'ora in cui di scadenza della chiave pubblica di wrapping e del token di importazione.

1. Per continuare il processo, [crittografare il materiale della chiave](importing-keys-encrypt-key-material.md). 

## Scaricamento della chiave pubblica di wrapping e del token di importazione (API)AWS KMS
<a name="importing-keys-get-public-key-and-token-api"></a>

Per scaricare la chiave pubblica e il token di importazione, utilizza l'[GetParametersForImport](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetParametersForImport.html)API. Specifica la chiave KMS che verrà associata al materiale della chiave importato. Questa chiave KMS deve avere un valore di [origine](create-keys.md#key-origin) pari a `EXTERNAL`.

**Nota**  
Non è possibile importare materiale chiave per le chiavi KMS ML-DSA.

Questo esempio specifica l'algoritmo di wrapping `RSA_AES_KEY_WRAP_SHA_256`, la specifica della chiave pubblica di wrapping RSA\$13072 e un esempio di ID chiave. Sostituisci questi valori di esempio con valori validi per il download. Per l'ID della chiave puoi utilizzare l'[ID della chiave](concepts.md#key-id-key-id) o l'[ARN della chiave](concepts.md#key-id-key-ARN), ma non puoi utilizzare un [nome alias](concepts.md#key-id-alias-name) o l'[ARN alias](concepts.md#key-id-alias-ARN) in questa operazione.

```
$ aws kms get-parameters-for-import \
    --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --wrapping-algorithm RSA_AES_KEY_WRAP_SHA_256 \
    --wrapping-key-spec RSA_3072
```

Se il comando viene eseguito correttamente, verrà visualizzato un output simile al seguente:

```
{
    "ParametersValidTo": 1568290320.0,
    "PublicKey": "public key (base64 encoded)",
    "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "ImportToken": "import token (base64 encoded)"
}
```

Per preparare i dati per il passaggio successivo, base64 decodifica la chiave pubblica e il token di importazione e salva i valori decodificati nei file.

Perché base64 decodifichi la chiave pubblica e importi il token:

1. Copiate la chiave pubblica codificata in base64 (rappresentata *public key (base64 encoded)* nell'output di esempio), incollatela in un nuovo file e salvate il file. Assegna al file un nome descrittivo, ad esempio `PublicKey.b64`.

1. Utilizza [OpenSSL](https://openssl.org/) per decodificare su base64 il contenuto del file e salvare i dati decodificati in un nuovo file. L'esempio seguente decodifica i dati nel file salvato nel passaggio precedente (`PublicKey.b64`) e salva l'output in un nuovo file con nome `WrappingPublicKey.bin`.

   ```
   $ openssl enc -d -base64 -A -in PublicKey.b64 -out WrappingPublicKey.bin
   ```

1. Copiate il token di importazione codificato in base64 (rappresentato *import token (base64 encoded)* nell'output di esempio), incollatelo in un nuovo file e salvate il file. Assegna al file un nome descrittivo, ad esempio `importtoken.b64`.

1. Utilizza [OpenSSL](https://openssl.org/) per decodificare su base64 il contenuto del file e salvare i dati decodificati in un nuovo file. L'esempio seguente decodifica i dati nel file salvato nel passaggio precedente (`ImportToken.b64`) e salva l'output in un nuovo file con nome `ImportToken.bin`.

   ```
   $ openssl enc -d -base64 -A -in importtoken.b64 -out ImportToken.bin
   ```

Passa a [Fase 3: crittografare il materiale delle chiavi](importing-keys-encrypt-key-material.md).

# Fase 3: crittografare il materiale delle chiavi
<a name="importing-keys-encrypt-key-material"></a>

Dopo aver [scaricato la chiave pubblica e il token di importazione](importing-keys-get-public-key-and-token.md), esegue la crittografia del materiale della chiave utilizzando la chiave pubblica scaricata e l'algoritmo di wrapping specificato. Se devi sostituire la chiave pubblica o il token di importazione oppure modificare l'algoritmo di wrapping, devi scaricare una nuova chiave pubblica e un nuovo token di importazione. Per informazioni sulle chiavi pubbliche e sugli algoritmi di wrapping AWS KMS supportati, consulta e. [Selezione di una specifica della chiave pubblica di wrapping](importing-keys-get-public-key-and-token.md#select-wrapping-key-spec) [Selezione di un algoritmo di wrapping](importing-keys-get-public-key-and-token.md#select-wrapping-algorithm)

Il materiale delle chiavi deve essere in formato binario. Per informazioni dettagliate, consulta [Requisiti per il materiale della chiave importato](importing-keys-conceptual.md#importing-keys-material-requirements).

**Nota**  
Per le coppie di chiavi asimmetriche, crittografa e importa solo la chiave privata. AWS KMS ricava la chiave pubblica dalla chiave privata.  
La seguente combinazione NON è supportata: materiale della chiave ECC\$1NIST\$1P521, specifica della chiave di wrapping pubblica RSA\$12048 e algoritmo di wrapping RSAES\$1OAEP\$1SHA\$1\$1.  
Non puoi eseguire il wrapping del materiale della chiave ECC\$1NIST\$1P521 direttamente con una chiave di wrapping pubblica RSA\$12048. Usa una chiave di wrapping più grande o un algoritmo di wrapping RSA\$1AES\$1KEY\$1WRAP\$1SHA\$1\$1.  
Gli algoritmi di wrapping RSA\$1AES\$1KEY\$1WRAP\$1SHA\$1256 e RSA\$1AES\$1KEY\$1WRAP\$1SHA\$11 non sono supportati nelle regioni della Cina.

Di solito, è possibile crittografare il materiale delle chiavi quando viene esportato dal modulo di sicurezza hardware (HSM) o dal sistema di gestione delle chiavi. Per informazioni su come esportare il materiale delle chiavi in formato binario, consulta la documentazione per il tuo HSM o per il sistema di gestione delle chiavi. È anche possibile consultare la sezione seguente che fornisce un proof of concept sull'utilizzo di OpenSSL.

Quando crittografi il materiale della chiave, usa lo stesso algoritmo di wrapping specificato quando hai [scaricato la chiave pubblica e il token di importazione](importing-keys-get-public-key-and-token.md). Per trovare l'algoritmo di wrapping specificato, consulta l'evento di registro per la richiesta associata. CloudTrail [GetParametersForImport](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetParametersForImport.html)

## Genera il materiale della chiave per i test
<a name="importing-keys-example-key-material"></a>

I comandi OpenSSL indicati di seguito generano il materiale della chiave di ogni tipo supportato per i test. Questi esempi vengono forniti solo a scopo di test e proof-of-concept dimostrazioni. Per i sistemi di produzione, usa un metodo più sicuro per generare e memorizzare il materiale della chiave, ad esempio un modulo di sicurezza hardware o un sistema di gestione delle chiavi.

Per convertire le chiavi private delle coppie di chiavi asimmetriche in formato con codifica DER, reindirizza il comando di generazione del materiale della chiave sul comando `openssl pkcs8` seguente. Il parametro `topk8` indica a OpenSSL di accettare una chiave privata come input e restituire una chiave in formato PKCS \$18. (Il comportamento predefinito è l'opposto.) 

```
openssl pkcs8 -topk8 -outform der -nocrypt
```

I comandi indicati di seguito generano il materiale della chiave per ogni tipo di chiave supportato.
+ Chiavi di crittografia simmetrica (32 byte)

  Questo comando genera una chiave simmetrica a 256 bit (stringa casuale di 32 byte) e la salva nel file `PlaintextKeyMaterial.bin`. Non è necessario codificare questo materiale della chiave. 

  ```
  openssl rand -out PlaintextKeyMaterial.bin 32
  ```

  Solo nelle regioni cinesi, devi generare una chiave simmetrica a 128 bit (stringa casuale di 16 byte).

  ```
  openssl rand -out PlaintextKeyMaterial.bin 16
  ```
+ Chiavi HMAC

  Questo comando genera una stringa di byte casuale della dimensione specificata. Non è necessario codificare questo materiale della chiave. 

  La lunghezza della chiave HMAC deve corrispondere alla lunghezza definita dalle specifiche della chiave KMS. Ad esempio, se la chiave KMS è HMAC\$1384, devi importare una chiave a 384 bit (48 byte).

  ```
  openssl rand -out HMAC_224_PlaintextKey.bin 28
  
  openssl rand -out HMAC_256_PlaintextKey.bin 32
  
  openssl rand -out HMAC_384_PlaintextKey.bin 48
  
  openssl rand -out HMAC_512_PlaintextKey.bin 64
  ```
+ Chiavi private RSA

  ```
  openssl genpkey -algorithm rsa -pkeyopt rsa_keygen_bits:2048 | openssl pkcs8 -topk8 -outform der -nocrypt > RSA_2048_PrivateKey.der
  
  openssl genpkey -algorithm rsa -pkeyopt rsa_keygen_bits:3072 | openssl pkcs8 -topk8 -outform der -nocrypt > RSA_3072_PrivateKey.der
  
  openssl genpkey -algorithm rsa -pkeyopt rsa_keygen_bits:4096 | openssl pkcs8 -topk8 -outform der -nocrypt > RSA_4096_PrivateKey.der
  ```
+ Chiavi private EEC

  ```
  openssl genpkey -algorithm ec -pkeyopt ec_paramgen_curve:P-256 | openssl pkcs8 -topk8 -outform der -nocrypt > ECC_NIST_P256_PrivateKey.der
  
  openssl genpkey -algorithm ec -pkeyopt ec_paramgen_curve:P-384 | openssl pkcs8 -topk8 -outform der -nocrypt > ECC_NIST_P384_PrivateKey.der
  
  openssl genpkey -algorithm ec -pkeyopt ec_paramgen_curve:P-521 | openssl pkcs8 -topk8 -outform der -nocrypt > ECC_NIST_P521_PrivateKey.der
  
  openssl genpkey -algorithm ec -pkeyopt ec_paramgen_curve:secp256k1 | openssl pkcs8 -topk8 -outform der -nocrypt > ECC_SECG_P256K1_PrivateKey.der
  ```
+ SM2 chiavi private (solo regioni della Cina)

  ```
  openssl genpkey -algorithm ec -pkeyopt ec_paramgen_curve:sm2 | openssl pkcs8 -topk8 -outform der -nocrypt > SM2_PrivateKey.der
  ```

## Esempio di crittografia del materiale della chiave con OpenSSL
<a name="importing-keys-encrypt-key-material-openssl"></a>

Gli esempi seguenti descrivono l'utilizzo di [OpenSSL](https://openssl.org/) per crittografare il materiale della chiave con la chiave pubblica scaricata. Per crittografare il materiale chiave utilizzando una chiave SM2 pubblica (solo regioni della Cina), usa la [`SM2OfflineOperationHelper`classe](offline-operations.md#key-spec-sm-offline-helper). Per ulteriori informazioni sui principali tipi di materiali supportati da ciascun algoritmo di wrapping, consulta. [Selezione di un algoritmo di wrapping](importing-keys-get-public-key-and-token.md#select-wrapping-algorithm)

**Importante**  
Questo esempio è solo una dimostrazione di proof of concept. Per i sistemi di produzione, utilizzare un metodo più sicuro (ad esempio un sistema di gestione delle chiavi commerciale o HSM) per generare e memorizzare il materiale delle chiavi.  
La seguente combinazione NON è supportata: materiale della chiave ECC\$1NIST\$1P521, specifica della chiave di wrapping pubblica RSA\$12048 e algoritmo di wrapping RSAES\$1OAEP\$1SHA\$1\$1.  
Non puoi eseguire il wrapping del materiale della chiave ECC\$1NIST\$1P521 direttamente con una chiave di wrapping pubblica RSA\$12048. Usa una chiave di wrapping più grande o un algoritmo di wrapping RSA\$1AES\$1KEY\$1WRAP\$1SHA\$1\$1.

------
#### [ RSAES\$1OAEP\$1SHA\$11 ]

AWS KMS supporta RSAES\$1OAEP\$1SHA\$11 per chiavi di crittografia simmetriche (SYMMETRIC\$1DEFAULT), chiavi private a curva ellittica (ECC), chiavi private e chiavi HMAC. SM2 

RSAES\$1OAEP\$1SHA\$11 non è supportato per le chiavi private RSA. Inoltre, non puoi utilizzare una chiave di wrapping pubblica RSA\$12048 con un algoritmo di wrapping RSAES\$1OAEP\$1SHA\$1\$1 per eseguire il wrapping di una chiave privata ECC\$1NIST\$1P521 (secp521r1). Devi utilizzare una chiave di wrapping più grande o un algoritmo di wrapping RSA\$1AES\$1KEY\$1WRAP.

Nell'esempio seguente il materiale della chiave viene criptato con la [chiave pubblica scaricata](importing-keys-get-public-key-and-token.md) e l'algoritmo di wrapping RSAES\$1OAEP\$1SHA\$11, quindi viene salvato nel file `EncryptedKeyMaterial.bin`. 

In questo esempio:
+ *`WrappingPublicKey.bin`* è il file che contiene la chiave pubblica di wrapping scaricata. 
+ *`PlaintextKeyMaterial.bin`* è il file che contiene il materiale della chiave da crittografare, ad esempio `PlaintextKeyMaterial.bin`, `HMAC_384_PlaintextKey.bin` o `ECC_NIST_P521_PrivateKey.der`.

```
$ openssl pkeyutl \
    -encrypt \
    -in PlaintextKeyMaterial.bin \
    -out EncryptedKeyMaterial.bin \
    -inkey WrappingPublicKey.bin \
    -keyform DER \
    -pubin \
    -pkeyopt rsa_padding_mode:oaep \
    -pkeyopt rsa_oaep_md:sha1
```

------
#### [ RSAES\$1OAEP\$1SHA\$1256 ]

AWS KMS supporta RSAES\$1OAEP\$1SHA\$1256 per chiavi di crittografia simmetriche (SYMMETRIC\$1DEFAULT), chiavi private a curva ellittica (ECC), chiavi private e chiavi HMAC. SM2 

RSAES\$1OAEP\$1SHA\$1256 non è supportato per le chiavi private RSA. Inoltre, non puoi utilizzare una chiave di wrapping pubblica RSA\$12048 con un algoritmo di wrapping RSAES\$1OAEP\$1SHA\$1\$1 per eseguire il wrapping di una chiave privata ECC\$1NIST\$1P521 (secp521r1). Devi utilizzare una chiave pubblica più grande o un algoritmo di wrapping RSA\$1AES\$1KEY\$1WRAP.

Nell'esempio seguente, il materiale della chiave viene criptato con la [chiave pubblica scaricata](importing-keys-get-public-key-and-token.md) e l'algoritmo di wrapping RSAES\$1OAEP\$1SHA\$1256, quindi viene salvato nel file `EncryptedKeyMaterial.bin`. 

In questo esempio:
+ *`WrappingPublicKey.bin`* è il file che contiene la chiave di wrapping pubblica scaricata. Se hai scaricato la chiave pubblica dalla console, questo file è denominato `wrappingKey_KMS key_key_ID_timestamp` (ad esempio `wrappingKey_f44c4e20-f83c-48f4-adc6-a1ef38829760_0809092909`). 
+ *`PlaintextKeyMaterial.bin`* è il file che contiene il materiale della chiave da crittografare, ad esempio `PlaintextKeyMaterial.bin`, `HMAC_384_PlaintextKey.bin` o `ECC_NIST_P521_PrivateKey.der`.

```
$ openssl pkeyutl \
    -encrypt \
    -in PlaintextKeyMaterial.bin \
    -out EncryptedKeyMaterial.bin \
    -inkey WrappingPublicKey.bin \
    -keyform DER \
    -pubin \
    -pkeyopt rsa_padding_mode:oaep \
    -pkeyopt rsa_oaep_md:sha256 \
    -pkeyopt rsa_mgf1_md:sha256
```

------
#### [ RSA\$1AES\$1KEY\$1WRAP\$1SHA\$11 ]

L'algoritmo di wrapping RSA\$1AES\$1KEY\$1WRAP\$1SHA\$11 prevede due operazioni di crittografia.

1. Esegui la crittografia del materiale della chiave con una chiave simmetrica AES generata da te e un algoritmo di crittografia simmetrica AES.

1. Esegui la crittografia della chiave simmetrica AES che hai usato con la chiave pubblica che hai scaricato e l'algoritmo di wrapping RSAES\$1OAEP\$1SHA\$11.

L'algoritmo di wrapping RSA\$1AES\$1KEY\$1WRAP\$1SHA\$11 richiede OpenSSL versione 3.*x* o versione successiva.

1. 

**Genera una chiave di crittografia simmetrica AES a 256-bit**

   Questo comando genera una chiave di crittografia simmetrica AES composta da 256 bit casuali e la salva nel file `aes-key.bin`

   ```
   # Generate a 32-byte AES symmetric encryption key
   $ openssl rand -out aes-key.bin 32
   ```

1. 

**Esegui la crittografia del materiale della chiave con la chiave di crittografia simmetrica AES**

   Questo comando esegue la crittografia del materiale chiave con la chiave di crittografia simmetrica AES e salva il materiale della chiave crittografato nel file `key-material-wrapped.bin`.

   In questo esempio di comando:
   + *`PlaintextKeyMaterial.bin`* è il file che contiene il materiale della chiave da importare, ad esempio `PlaintextKeyMaterial.bin`, `HMAC_384_PlaintextKey.bin`, `RSA_3072_PrivateKey.der` o `ECC_NIST_P521_PrivateKey.der`.
   + *`aes-key.bin`* è il file che contiene la chiave di crittografia simmetrica AES a 256 bit generata nel comando precedente.

   ```
   # Encrypt your key material with the AES symmetric encryption key
   $ openssl enc -id-aes256-wrap-pad \
           -K "$(xxd -p < aes-key.bin | tr -d '\n')" \
           -iv A65959A6 \
           -in PlaintextKeyMaterial.bin \
           -out key-material-wrapped.bin
   ```

1. 

**Esegui la crittografia della chiave di crittografia simmetrica AES con la chiave pubblica**

   Questo comando esegue la crittografia della chiave di crittografia simmetrica AES con la chiave pubblica scaricata e l'algoritmo di wrapping RSAES\$1OAEP\$1SHA\$11, applica la codifica DER e la salva nel file `aes-key-wrapped.bin`. 

   In questo esempio di comando:
   + *`WrappingPublicKey.bin`* è il file che contiene la chiave di wrapping pubblica scaricata. Se hai scaricato la chiave pubblica dalla console, questo file è denominato `wrappingKey_KMS key_key_ID_timestamp` (ad esempio `wrappingKey_f44c4e20-f83c-48f4-adc6-a1ef38829760_0809092909`).
   + *`aes-key.bin`* è il file che contiene la chiave di crittografia simmetrica AES a 256 bit generata nel primo comando in questa sequenza di esempi.

   ```
   # Encrypt your AES symmetric encryption key with the downloaded public key
   $ openssl pkeyutl \
       -encrypt \
       -in aes-key.bin \
       -out aes-key-wrapped.bin \
       -inkey WrappingPublicKey.bin \
       -keyform DER \
       -pubin \
       -pkeyopt rsa_padding_mode:oaep \
       -pkeyopt rsa_oaep_md:sha1 \
       -pkeyopt rsa_mgf1_md:sha1
   ```

1. 

**Generare il file da importare**

   Concatena il file con il materiale della chiave crittografato e il file con la chiave AES crittografata. Salvali nel file `EncryptedKeyMaterial.bin`, che è il file che importerai in [Fase 4: importare il materiale delle chiavi](importing-keys-import-key-material.md).

   In questo esempio di comando:
   + *`key-material-wrapped.bin`* è il file che contiene il materiale della chiave crittografato.
   + *`aes-key-wrapped.bin`* è il file che contiene la chiave di crittografia AES crittografata.

   ```
   # Combine the encrypted AES key and encrypted key material in a file
   $ cat aes-key-wrapped.bin key-material-wrapped.bin > EncryptedKeyMaterial.bin
   ```

------
#### [ RSA\$1AES\$1KEY\$1WRAP\$1SHA\$1256 ]

L'algoritmo di wrapping RSA\$1AES\$1KEY\$1WRAP\$1SHA\$1256 prevede due operazioni di crittografia.

1. Esegui la crittografia del materiale della chiave con una chiave simmetrica AES generata da te e un algoritmo di crittografia simmetrica AES.

1. Esegui la crittografia della chiave simmetrica AES che hai usato con la chiave pubblica che hai scaricato e l'algoritmo di wrapping RSAES\$1OAEP\$1SHA\$1256.

L'algoritmo di wrapping RSA\$1AES\$1KEY\$1WRAP\$1SHA\$1256 richiede OpenSSL versione 3.*x* o versione successiva.

1. 

**Genera una chiave di crittografia simmetrica AES a 256-bit**

   Questo comando genera una chiave di crittografia simmetrica AES composta da 256 bit casuali e la salva nel file `aes-key.bin`

   ```
   # Generate a 32-byte AES symmetric encryption key
   $ openssl rand -out aes-key.bin 32
   ```

1. 

**Esegui la crittografia del materiale della chiave con la chiave di crittografia simmetrica AES**

   Questo comando esegue la crittografia del materiale chiave con la chiave di crittografia simmetrica AES e salva il materiale della chiave crittografato nel file `key-material-wrapped.bin`.

   In questo esempio di comando:
   + *`PlaintextKeyMaterial.bin`* è il file che contiene il materiale della chiave da importare, ad esempio `PlaintextKeyMaterial.bin`, `HMAC_384_PlaintextKey.bin`, `RSA_3072_PrivateKey.der` o `ECC_NIST_P521_PrivateKey.der`.
   + *`aes-key.bin`* è il file che contiene la chiave di crittografia simmetrica AES a 256 bit generata nel comando precedente.

   ```
   # Encrypt your key material with the AES symmetric encryption key
   $ openssl enc -id-aes256-wrap-pad \
           -K "$(xxd -p < aes-key.bin | tr -d '\n')" \
           -iv A65959A6 \
           -in PlaintextKeyMaterial.bin \
           -out key-material-wrapped.bin
   ```

1. 

**Esegui la crittografia della chiave di crittografia simmetrica AES con la chiave pubblica**

   Questo comando esegue la crittografia della chiave di crittografia simmetrica AES con la chiave pubblica scaricata e l'algoritmo di wrapping RSAES\$1OAEP\$1SHA\$1256, applica la codifica DER e la salva nel file `aes-key-wrapped.bin`. 

   In questo esempio di comando:
   + *`WrappingPublicKey.bin`* è il file che contiene la chiave di wrapping pubblica scaricata. Se hai scaricato la chiave pubblica dalla console, questo file è denominato `wrappingKey_KMS key_key_ID_timestamp` (ad esempio `wrappingKey_f44c4e20-f83c-48f4-adc6-a1ef38829760_0809092909`).
   + *`aes-key.bin`* è il file che contiene la chiave di crittografia simmetrica AES a 256 bit generata nel primo comando in questa sequenza di esempi.

   ```
   # Encrypt your AES symmetric encryption key with the downloaded public key
   $ openssl pkeyutl \
       -encrypt \
       -in aes-key.bin \
       -out aes-key-wrapped.bin \
       -inkey WrappingPublicKey.bin \
       -keyform DER \
       -pubin \
       -pkeyopt rsa_padding_mode:oaep \
       -pkeyopt rsa_oaep_md:sha256 \
       -pkeyopt rsa_mgf1_md:sha256
   ```

1. 

**Generare il file da importare**

   Concatena il file con il materiale della chiave crittografato e il file con la chiave AES crittografata. Salvali nel file `EncryptedKeyMaterial.bin`, che è il file che importerai in [Fase 4: importare il materiale delle chiavi](importing-keys-import-key-material.md).

   In questo esempio di comando:
   + *`key-material-wrapped.bin`* è il file che contiene il materiale della chiave crittografato.
   + *`aes-key-wrapped.bin`* è il file che contiene la chiave di crittografia AES crittografata.

   ```
   # Combine the encrypted AES key and encrypted key material in a file
   $ cat aes-key-wrapped.bin key-material-wrapped.bin > EncryptedKeyMaterial.bin
   ```

------

Passa a [Fase 4: importare il materiale delle chiavi](importing-keys-import-key-material.md).

# Fase 4: importare il materiale delle chiavi
<a name="importing-keys-import-key-material"></a>

Dopo aver [crittografato il materiale della chiave](importing-keys-encrypt-key-material.md), puoi importarlo per utilizzarlo con una AWS KMS key. Per importare il materiale della chiave, è possibile caricare il materiale della chiave crittografato da [Fase 3: crittografare il materiale delle chiavi](importing-keys-encrypt-key-material.md) e il token di importazione scaricato in [Fase 2: download della chiave pubblica di wrapping e del token di importazione](importing-keys-get-public-key-and-token.md). È necessario importare il materiale nella stessa chiave KMS che hai specificato quando hai [scaricato la chiave pubblica e il token di importazione](importing-keys-get-public-key-and-token.md). Quando il materiale della chiave viene importato correttamente, lo [stato chiave](key-state.md) della chiave KMS diventa `Enabled`, per cui puoi utilizzare la chiave KMS in operazioni crittografiche.

Quando importi il materiale della chiave, puoi [impostare un'ora di scadenza facoltativa](#importing-keys-expiration) per il materiale della chiave. Quando il materiale della chiave scade, AWS KMS elimina tale materiale e la chiave KMS diventa inutilizzabile. Dopo aver importato il materiale della chiave, non potrai impostare, modificare o annullare la data di scadenza dell'importazione corrente. Per modificare questi valori, devi [reimportare](#reimport-key-material) lo stesso materiale chiave.

Per tutte le chiavi KMS con `EXTERNAL` origine, il primo materiale chiave importato diventa corrente e ad esso associato permanentemente. Le chiavi di crittografia simmetriche con `EXTERNAL` origine supportano la rotazione su richiesta. È possibile associare più materiali chiave a chiavi importate che supportano la rotazione su richiesta. [Il processo di importazione di nuovo materiale chiave è diverso per le chiavi a regione singola e per quelle multiregionali, come descritto nella sezione Importazione di nuovo materiale chiave.](#import-new-key-material) È necessario impostare il `importType` parametro su `NEW_KEY_MATERIAL` con l'[ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html)azione per associare il nuovo materiale chiave a una chiave KMS. Il valore predefinito del `ImportType` parametro opzionale è`EXISTING_KEY_MATERIAL`. Quando omettete il `ImportType` parametro o lo specificate come`EXISTING_KEY_MATERIAL`, dovete importare un materiale chiave precedentemente associato alla chiave KMS.

Per le chiavi KMS asimmetriche o HMAC con `EXTERNAL` origine, è possibile associare un solo materiale chiave alla chiave. AWS KMS rifiuterà le richieste API con il parametro [ ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html). `ImportType`

Quando tutti i materiali chiave associati in modo permanente a una chiave KMS vengono importati, la chiave KMS è disponibile per l'uso nelle operazioni crittografiche. Se uno qualsiasi di questi materiali chiave viene eliminato o lasciato scadere, lo stato della chiave KMS diventa `PendingImport` e la chiave è inutilizzabile per le operazioni crittografiche.

Per importare materiale chiave, puoi utilizzare la [AWS KMS console](#importing-keys-import-key-material-console) o l'API. [ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html) È possibile utilizzare l'API direttamente effettuando richieste HTTP oppure utilizzando un [AWS SDKs](https://aws.amazon.com/tools/#sdk), [AWS Command Line Interface](https://docs.aws.amazon.com/cli/latest/userguide/)o [AWS Strumenti per PowerShell](https://docs.aws.amazon.com/powershell/latest/userguide/).

Quando importate il materiale chiave, viene aggiunta una [ImportKeyMaterialvoce](ct-importkeymaterial.md) al AWS CloudTrail registro per registrare l'`ImportKeyMaterial`operazione. La CloudTrail voce è la stessa sia che si utilizzi la AWS KMS console che l' AWS KMS API.

## Impostazione di una data di scadenza (facoltativo)
<a name="importing-keys-expiration"></a>

Quando importi il materiale della chiave per la chiave KMS, puoi impostare facoltativamente una data e un'ora di scadenza per il materiale della chiave fino a 365 giorni dalla data di importazione. Quando il materiale chiave importato scade, lo AWS KMS elimina. Questa azione modifica lo [stato chiave](key-state.md#key-state-table) della chiave KMS in `PendingImport`, impedendone l'utilizzo in qualsiasi operazione di crittografia. Per utilizzare la chiave KMS, devi [reimportare una copia del materiale della chiave originale](#reimport-key-material). 

Garantire che il materiale della chiave importato scada frequentemente può aiutarti a soddisfare i requisiti normativi, ma comporta un ulteriore rischio per i dati crittografati con la chiave KMS. Fino a quando non reimporti una copia del materiale della chiave originale, la chiave KMS con il materiale della chiave scaduto è inutilizzabile e tutti i dati crittografati con essa sono inaccessibili. Se per qualsiasi motivo non riesci a reimportare il materiale della chiave o se perdi il materiale della chiave originale, la chiave KMS è definitivamente inutilizzabile e i dati crittografati con essa non sono recuperabili. 

Per mitigare questo rischio, assicuratevi che la copia del materiale chiave importato sia accessibile e progettate un sistema per eliminare e reimportare il materiale chiave prima che scada e interrompa il carico di lavoro. AWS Ti consigliamo di [configurare un allarme](imported-key-material-expiration-alarm.md) per la scadenza del materiale della chiave importato, in modo da avere tutto il tempo necessario per reimportarlo prima che scada. [È inoltre possibile utilizzare CloudTrail i registri per controllare le operazioni di [importazione (e reimportazione) del materiale chiave e l'eliminazione del materiale chiave](ct-importkeymaterial.md)[importato, nonché l'operazione per eliminare il AWS KMS materiale chiave](ct-deleteimportedkeymaterial.md) scaduto.](ct-deleteexpiredkeymaterial.md)

AWS KMS non è possibile ripristinare, recuperare o riprodurre il materiale chiave eliminato. Invece di impostare una scadenza, puoi periodicamente [eliminare](importing-keys-delete-key-material.md) e [reimportare](#reimport-key-material) a livello di programmazione il materiale della chiave importato, tuttavia i requisiti per conservare una copia del materiale della chiave originale sono gli stessi.

Puoi determinare l'eventuale scadenza del materiale della chiave importato durante la sua importazione. Tuttavia è possibile attivare e disattivare la scadenza o impostare una nuova data di scadenza reimportando il materiale chiave. Utilizzate il `ExpirationModel` parametro di [ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html)per attivare (`KEY_MATERIAL_EXPIRES`) e disattivare la scadenza (`KEY_MATERIAL_DOES_NOT_EXPIRE`) e il `ValidTo` parametro per impostare l'ora di scadenza. Il tempo massimo è di 365 giorni dall'importazione dei dati. Sebbene non sia prevista una data minima, l'ora di scadenza deve essere successiva alla data corrente.

## Imposta la descrizione del materiale chiave
<a name="set-key-material-description"></a>

Alle chiavi di crittografia simmetriche con `EXTERNAL` origine possono essere associati più materiali chiave. È possibile specificare una descrizione facoltativa del materiale chiave quando si importa il materiale chiave in tali chiavi. La descrizione può essere utilizzata per tenere traccia di dove il materiale chiave corrispondente viene conservato all'esterno in modo duraturo. AWS KMS

Per le chiavi multiregionali, è possibile impostare o modificare la descrizione del materiale chiave solo sulla chiave Region principale. AWS KMS propaga automaticamente la descrizione del materiale chiave alle chiavi regionali di replica.

## Importazione di nuovo materiale della chiave
<a name="import-new-key-material"></a>

Per eseguire la rotazione su richiesta su una chiave KMS di crittografia simmetrica con materiale chiave importato, devi prima importare nuovo materiale chiave, non precedentemente associato alla chiave.
+ **Chiavi a regione singola**
  + Utilizzate l'[ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html)operazione con il `ImportType` parametro impostato `NEW_KEY_MATERIAL` per eseguire questa operazione. Questo materiale chiave non viene associato in modo permanente alla chiave finché non si esegue l'[RotateKeyOnDemand](https://docs.aws.amazon.com/kms/latest/APIReference/API_RotateKeyOnDemand.html)operazione o si ruota la chiave nel. Console di gestione AWS Fino ad allora, questo materiale chiave è disponibile`PENDING_ROTATION`. Una chiave KMS può avere al massimo un materiale chiave `PENDING_ROTATION` in qualsiasi momento. Un materiale chiave in `PENDING_ROTATION` stato può essere eliminato senza influire sull'usabilità della chiave nelle operazioni crittografiche.
+ **Chiavi multi-regione**
  + Per importare il materiale chiave in una chiave multiregionale, è necessario prima importare il nuovo materiale chiave nella chiave Region principale. Non è possibile importare direttamente nuovi materiali chiave nelle chiavi regionali di replica. Dopo aver importato il nuovo materiale chiave nella chiave di regione principale, è possibile importare gli stessi materiali chiave nelle chiavi di regione di replica.
  + Utilizzate l'[https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html)operazione con il `ImportType` parametro impostato su **NEW\$1KEY\$1MATERIAL** per la chiave Region principale per eseguire questa operazione. Per la chiave Region di replica, utilizzare il **EXISTING\$1KEY\$1MATERIAL** parametro `ImportType` per l'`ImportKeyMaterial`operazione.
  + Il materiale chiave per la crittografia simmetrica Le chiavi multiregionali devono essere importate in tutte le chiavi di regione di replica e nelle chiavi di regione primarie prima che lo stato del materiale chiave cambi in stato. `PENDING_ROTATION` Fino ad allora, lo stato del nuovo materiale chiave è. `PENDING_MULTI_REGION_IMPORT_AND_ROTATION` Una chiave KMS può avere al massimo un materiale chiave `PENDING_ROTATION` o uno `PENDING_MULTI_REGION_IMPORT_AND_ROTATION` stato alla volta (vedi la `KeyMaterialState` descrizione in [RotationsListEntry](https://docs.aws.amazon.com/kms/latest/APIReference/API_RotationsListEntry.html)). Un materiale chiave in `PENDING_MULTI_REGION_IMPORT_AND_ROTATION` o in `PENDING_ROTATION` uno stato non è associato in modo permanente alla chiave e può essere eliminato senza influire sull'usabilità della chiave nelle operazioni crittografiche. 

## Reimporta il materiale chiave
<a name="reimport-key-material"></a>

Se gestisci una chiave KMS con materiale chiave importato, potresti dover reimportare il materiale della chiave. Puoi reimportare il materiale della chiave per sostituire il materiale della chiave in scadenza o eliminato oppure per modificare il modello di scadenza o la data di scadenza del materiale.

Puoi reimportare il materiale della chiave in qualsiasi momento e secondo qualsiasi pianificazione che soddisfi i requisiti di sicurezza. Non è necessario attendere che il materiale della chiave sia scaduto o prossimo alla scadenza.

La procedura per reimportare il materiale chiave è la stessa procedura utilizzata per importare il materiale chiave per la prima volta, con le seguenti eccezioni.
+ Utilizzare una chiave KMS del servizio di gestione delle chiavi esistenti anziché creare una nuova chiave KMS del servizio di gestione delle chiavi. Puoi saltare la [fase 1](importing-keys-create-cmk.md) della procedura di importazione.
+ Quando si reimporta il materiale della chiave, è possibile modificare il modello di scadenza e la data di scadenza. Per le chiavi di crittografia simmetriche, è inoltre possibile modificare la descrizione del materiale della chiave.

  Per le chiavi multiregionali, è possibile impostare o modificare la descrizione del materiale chiave solo sulla chiave regionale principale. AWS KMS propaga automaticamente la descrizione del materiale chiave alle chiavi regionali di replica.

Ogni volta che importi materiale della chiave in una chiave KMS, devi [scaricare e utilizzare una nuova chiave di wrapping e un nuovo token di importazione](importing-keys-get-public-key-and-token.md) per la chiave KMS. La procedura di wrapping non influisce sul contenuto del materiale della chiave, per cui puoi utilizzare chiavi pubbliche di wrapping diverse e algoritmi di wrapping diversi per importare lo stesso materiale della chiave.

## Importazione del materiale della chiave (console)
<a name="importing-keys-import-key-material-console"></a>

È possibile utilizzare il Console di gestione AWS per importare materiale chiave.

1. Se ti trovi nella pagina **Carica il materiale della chiave di wrapping**, passa a [Step 10](#id-key-materials-step).

1. Accedi a Console di gestione AWS e apri la console AWS Key Management Service (AWS KMS) in [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.

1. Nel riquadro di navigazione, scegli **Chiavi gestite dal cliente**.

1. Scegli l'alias o l'ID chiave della chiave KMS per la quale hai scaricato il token di importazione e la chiave pubblica.

1. Scegli la tab **Configurazione crittografica** e visualizzane i valori. Le tab si trovano nella pagina dei dettagli di una chiave KMS sotto la sezione **Configurazione generale**.

   Puoi importare il materiale della chiave solo in chiavi KMS con **Origine** **Esterna (Importa materiale chiave)**. Per ulteriori informazioni sulla creazione di chiavi KMS con materiale della chiave importato, consulta [Importazione di materiale chiave per le AWS KMS chiavi](importing-keys.md).

1. Scegli la scheda appropriata in base al tipo di chiave.
   + **Per le chiavi asimmetriche e HMAC, scegli la scheda Materiale chiave.**
   + **Per le chiavi di crittografia simmetriche, scegliete la scheda Materiale chiave e rotazioni.**

1. Scegli l'azione di importazione.
   + **Per le chiavi asimmetriche e HMAC, scegli Importa materiale chiave.**
   + Per le chiavi di crittografia simmetriche, scegliete una delle seguenti opzioni:
     + **Importa il materiale chiave iniziale** (se non è stato ancora importato alcun materiale chiave)
     + **Importa nuovo materiale chiave** (per aggiungere nuovo materiale per la rotazione)
     + **Reimporta il materiale chiave** (disponibile dal menu **Azioni** nella tabella dei materiali chiave)
**Nota**  
Per le chiavi multiregionali, è necessario prima importare il nuovo materiale chiave nella chiave Region principale. Quindi, importa lo stesso materiale chiave in ogni chiave regionale di replica.  
Per le chiavi multiregionali principali, la tabella **Materiali chiave** include una colonna **dello stato di importazione della replica che mostra lo stato** dell'importazione in tutte le aree di replica (ad esempio, «0 su 3 importate»). Scegliete il valore dello stato di importazione della replica per aprire una finestra modale che mostri lo stato di importazione per ogni regione della replica. Il modale fornisce collegamenti ai **materiali chiave di importazione** per le aree di replica in cui il nuovo materiale chiave non è stato importato.

1. Se hai scaricato il materiale della chiave, il token di importazione e hai crittografato il materiale della chiave, scegli **Avanti**.
**Nota**  
Per le chiavi multiregionali, è necessario prima importare il nuovo materiale chiave nella chiave regionale principale. Quindi è possibile importare lo stesso materiale chiave nelle chiavi regionali di replica.

1. <a name="id-key-materials-step"></a>Nella sezione **Materiale della chiave crittografato e token di importazione**, effettua le operazioni seguenti.

   1. In **Materiale della chiave di wrapping**, scegli **Scegli file**. Quindi caricare il file contenente il materiale delle chiave (crittografato) sottoposto a wrapping. 

   1. In **Token di importazione**, sceglie **Scegli file**. Caricare il file contenente il token di importazione [scaricato](importing-keys-get-public-key-and-token.md#importing-keys-get-public-key-and-token-console).

1. Nella sezione **Choose an expiration option (Scegli un'opzione di scadenza)** stabilire se il materiale della chiave scade. Per impostare una data e un'ora di scadenza, scegliere **Key material expires (Il materiale chiave scade)** e utilizzare il calendario per selezionare una data e un'ora. Puoi specificare una data fino a 365 giorni dalla data e dall'ora corrente.

1. Per le chiavi di crittografia simmetriche, è possibile specificare facoltativamente una descrizione per il materiale chiave da importare. 

1. Scegliete **Importa materiale chiave**.

## Importa materiale chiave (AWS KMS API)
<a name="importing-keys-import-key-material-api"></a>

Per importare materiale chiave, utilizzate l'[ImportKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html)operazione. Gli esempi seguenti utilizzano la [AWS CLI](https://aws.amazon.com/cli/), ma puoi usare anche qualsiasi linguaggio di programmazione supportato.

Per utilizzare questo esempio:

1. Sostituisci `1234abcd-12ab-34cd-56ef-1234567890ab` con l'ID chiave della chiave KMS specificata per il download della chiave pubblica e del token di importazione. Per identificare la chiave KMS utilizza [l'ID chiave](concepts.md#key-id-key-id) o [l'ARN di chiave](concepts.md#key-id-key-ARN). Per questa operazione, non puoi utilizzare un [nome alias](concepts.md#key-id-alias-name) o un [ARN alias](concepts.md#key-id-alias-ARN).

1. Sostituire `EncryptedKeyMaterial.bin` con il nome del file che contiene il materiale della chiave crittografato.

1. Sostituire `ImportToken.bin` con il nome del file che contiene il token di importazione.

1. Se desideri che il materiale della chiave importato abbia una scadenza, imposta il valore del parametro `expiration-model` sul valore predefinito, `KEY_MATERIAL_EXPIRES`, oppure ometti il parametro `expiration-model`. Quindi, sostituisci il valore del parametro `valid-to` con la data e l'ora in cui desideri che il materiale della chiave scada. La data e l'ora possono arrivare fino a 365 giorni dal momento della richiesta. 

   ```
   $ aws kms import-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
       --encrypted-key-material fileb://EncryptedKeyMaterial.bin \
       --import-token fileb://ImportToken.bin \
       --expiration-model KEY_MATERIAL_EXPIRES \
       --valid-to 2023-06-17T12:00:00-08:00
   ```

   Se desideri che il materiale della chiave importato abbia una scadenza, imposta il valore del parametro `expiration-model` su `KEY_MATERIAL_DOES_NOT_EXPIRE` e ometti il parametro `valid-to` dal comando.

   ```
   $ aws kms import-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
       --encrypted-key-material fileb://EncryptedKeyMaterial.bin \
       --import-token fileb://ImportToken.bin \
       --expiration-model KEY_MATERIAL_DOES_NOT_EXPIRE
   ```

1. Se desideri importare nuovo materiale chiave, non precedentemente associato alla chiave KMS, imposta il `ImportType` parametro su. `NEW_KEY_MATERIAL` Questa opzione può essere utilizzata solo con chiavi di crittografia simmetriche. Per queste chiavi, puoi anche utilizzare il `KeyMaterialDescription` parametro opzionale per impostare una descrizione del materiale chiave importato nel seguente esempio da riga di comando: 

   ```
   $ aws kms import-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
       --encrypted-key-material fileb://EncryptedKeyMaterial.bin \
       --import-token fileb://ImportToken.bin \
       --expiration-model KEY_MATERIAL_EXPIRES \
       --valid-to 2023-06-17T12:00:00-08:00 \
       --import-type NEW_KEY_MATERIAL \
       --key-material-description "Q2 2025 Rotation"
   ```

1. Per le chiavi multiregionali, è possibile impostare o modificare la descrizione del materiale chiave solo sulla chiave Region principale. AWS KMS propaga automaticamente la descrizione del materiale chiave alle chiavi regionali di replica.

**Suggerimento**  
Se l'esito del comando non è positivo, potresti visualizzare un'`KMSInvalidStateException` o un'`NotFoundException`. Puoi ritentare la richiesta.

# Crea una chiave KMS in un archivio di AWS CloudHSM chiavi
<a name="create-cmk-keystore"></a>

Dopo aver creato un archivio di AWS CloudHSM chiavi, puoi crearlo AWS KMS keys nel tuo archivio di chiavi. Devono essere [chiavi KMS con crittografia simmetrica](symm-asymm-choose-key-spec.md#symmetric-cmks) con materiale chiave generato. AWS KMS Non è possibile creare [chiavi KMS asimmetriche](symmetric-asymmetric.md), [chiavi KMS HMAC](hmac.md) o chiavi KMS con [materiale della chiave importato](importing-keys.md) in un archivio delle chiavi personalizzate. Inoltre, non è possibile utilizzare chiavi KMS di crittografia simmetrica in un archivio delle chiavi personalizzate per generare coppie di chiavi di dati asimmetriche. KMS non può comunicare con gli archivi di chiavi. IPv6 AWS CloudHSM 

Per creare una chiave KMS in un AWS CloudHSM key store, l'archivio AWS CloudHSM chiavi deve essere [connesso al AWS CloudHSM cluster associato e il cluster](connect-keystore.md) deve contenere almeno due chiavi attive HSMs in diverse zone di disponibilità. Per trovare lo stato e il numero di connessioni HSMs, visualizza la [pagina degli archivi di AWS CloudHSM chiavi](view-keystore.md#view-keystore-console) in. Console di gestione AWS Quando si utilizzano le operazioni API, utilizzare l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operazione per verificare che l'archivio delle AWS CloudHSM chiavi sia connesso. Per verificare il numero di persone attive HSMs nel cluster e le relative zone di disponibilità, utilizzate l' AWS CloudHSM [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)operazione.

Quando crei una chiave KMS nel tuo archivio AWS CloudHSM chiavi, AWS KMS crea la chiave KMS in. AWS KMS Tuttavia, crea il materiale chiave per la chiave KMS nel cluster associato. AWS CloudHSM In particolare, AWS KMS accede al cluster come [`kmsuser`CU che hai](create-keystore.md#before-keystore) creato. Crea quindi una chiave simmetrica AES (Advanced Encryption Standard) a 256 bit non estraibile e persistente nel cluster. AWS KMS imposta il valore [dell'attributo dell'etichetta di chiave](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-attributes.html), visibile solo nel cluster, sull'Amazon Resource Name (ARN) della chiave KMS.

Quando il comando riesce, lo [stato di chiave](key-state.md) della nuova chiave KMS è `Enabled` e la relativa origine è `AWS_CLOUDHSM`. Non puoi modificare l'origine di una chiave KMS dopo averla creata. Quando si visualizza una chiave KMS in un AWS CloudHSM key store della AWS KMS console o utilizzando l'[DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)operazione, è possibile visualizzare le proprietà tipiche, come l'ID della chiave, lo stato della chiave e la data di creazione. Ma puoi anche visualizzare l'ID store chiavi personalizzate ed eventualmente l'ID del cluster AWS CloudHSM . 

Se il tentativo di creare una chiave KMS nell'archivio delle AWS CloudHSM chiavi fallisce, utilizza il messaggio di errore per determinarne la causa. Potrebbe indicare che l'archivio AWS CloudHSM chiavi non è connesso (`CustomKeyStoreInvalidStateException`) o HSMs che il AWS CloudHSM cluster associato non ha le due chiavi attive necessarie per questa operazione (`CloudHsmClusterInvalidConfigurationException`). Per assistenza, consulta [Risoluzione di problemi relativi a store delle chiavi personalizzate](fix-keystore.md).

Per un esempio del AWS CloudTrail registro dell'operazione che crea una chiave KMS in un archivio di AWS CloudHSM chiavi, vedi[CreateKey](ct-createkey.md).

## Crea una nuova chiave KMS nel tuo key store CloudHSM
<a name="create-key-keystore"></a>

Puoi creare una chiave KMS di crittografia simmetrica nel tuo archivio di AWS CloudHSM chiavi nella AWS KMS console o utilizzando l'operazione. [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)

### Utilizzo della console AWS KMS
<a name="create-cmk-keystore-console"></a>

Utilizzare la procedura seguente per creare una chiave KMS di crittografia simmetrica in un AWS CloudHSM archivio di chiavi. 

**Nota**  
Non includere informazioni riservate o sensibili nell'alias, nella descrizione o nei tag. Questi campi possono apparire in testo semplice nei CloudTrail log e in altri output.

1. Accedi Console di gestione AWS e apri la console AWS Key Management Service (AWS KMS) in [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.

1. Nel riquadro di navigazione, scegli **Chiavi gestite dal cliente**.

1. Scegli **Crea chiave**.

1. Scegliere **Symmetric (Simmetrica)**.

1. In **Key usage** (Utilizzo della chiave), l'opzione **Encrypt and decrypt** (Crittografa e decrittografa) è selezionata per default. Non modificarla. 

1. Scegliere **Advanced options (Opzioni avanzate)**.

1. Per **Origine del materiale della chiave**, scegli **Archivio di chiavi AWS CloudHSM **.

   Non è possibile creare una chiave multiregionale in un archivio chiavi. AWS CloudHSM 

1. Scegli **Next (Successivo)**.

1. Seleziona un archivio di AWS CloudHSM chiavi per la tua nuova chiave KMS. Per creare un nuovo archivio AWS CloudHSM chiavi, scegli **Crea archivio chiavi personalizzato**.

   Lo stato dell'archivio AWS CloudHSM chiavi selezionato deve avere lo stato **Connesso**. Il AWS CloudHSM cluster associato deve essere attivo e contenerne almeno due attivi HSMs in diverse zone di disponibilità. 

   Per informazioni sulla connessione di un archivio di AWS CloudHSM chiavi, consulta[Disconnetti un archivio AWS CloudHSM chiavi](connect-keystore.md). Per informazioni sull'aggiunta HSMs, consulta [Aggiungere un HSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/add-remove-hsm.html#add-hsm) nella *Guida per l'AWS CloudHSM utente*.

1. Scegli **Next (Successivo)**.

1. Digita un alias ed eventualmente una descrizione per la chiave KMS.

1. (Facoltativo). Nella pagina **Add Tags** (Aggiungi tag), aggiungi i tag che identificano o categorizzano la chiave KMS.

   Quando aggiungi tag alle tue AWS risorse, AWS genera un rapporto sull'allocazione dei costi con utilizzo e costi aggregati per tag. I tag possono essere utilizzati anche per controllare l'accesso a una chiave KMS. Per informazioni sull'assegnazione di tag delle chiavi KMS, consulta [Tag in AWS KMS](tagging-keys.md) e [ABAC per AWS KMS](abac.md). 

1. Scegli **Next (Successivo)**.

1. Nella sezione **amministratori delle chiavi**, seleziona utenti IAM e ruoli IAM che possono gestire la chiave KMS. Per ulteriori informazioni, consulta [Consente agli amministratori delle chiavi di amministrare la chiave KMS](key-policy-default.md#key-policy-default-allow-administrators).
**Note**  
Le policy IAM possono fornire ad altri ruoli e utenti IAM l'autorizzazione per utilizzare la chiave KMS.  
Le best practice di IAM disincentivano l'uso di utenti IAM con credenziali a lungo termine. Quando possibile, utilizza i ruoli IAM che forniscono credenziali temporanee. Per i dettagli, consulta la sezione [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l'utente IAM*.  
La AWS KMS console aggiunge gli amministratori chiave alla politica chiave sotto l'identificatore dell'istruzione. `"Allow access for Key Administrators"` La modifica di questo identificatore di istruzione potrebbe influire sul modo in cui la console visualizza gli aggiornamenti apportati all'istruzione.

1. (Facoltativo) Per impedire a questi amministratori delle chiavi di eliminare questa chiave KMS, nella parte inferiore della pagina deseleziona **Allow key administrators to delete this key.** (Consenti agli amministratori delle chiavi di eliminare questa chiave).

1. Scegli **Next (Successivo)**.

1. [Nella sezione **Questo account**, seleziona gli utenti e i ruoli IAM Account AWS che possono utilizzare la chiave KMS nelle operazioni crittografiche.](kms-cryptography.md#cryptographic-operations) Per ulteriori informazioni, consulta [Consente agli utenti della chiave di utilizzare la chiave KMS](key-policy-default.md#key-policy-default-allow-users).
**Note**  
Le best practice di IAM disincentivano l'uso di utenti IAM con credenziali a lungo termine. Quando possibile, utilizza i ruoli IAM che forniscono credenziali temporanee. Per i dettagli, consulta la sezione [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l'utente IAM*.  
La AWS KMS console aggiunge gli utenti chiave alla politica chiave sotto gli `"Allow use of the key"` identificatori di dichiarazione e. `"Allow attachment of persistent resources"` La modifica di questi identificatori delle istruzioni potrebbe influire sul modo in cui la console visualizza gli aggiornamenti apportati all'istruzione.

1. (Facoltativo) È possibile consentire ad altri Account AWS di utilizzare questa chiave KMS per operazioni crittografiche. Per farlo, nella Account AWS sezione **Altro** in fondo alla pagina, scegli **Aggiungi un altro** account Account AWS e inserisci l' Account AWS ID di un account esterno. Per aggiungere più account esterni, ripetere questo passaggio.
**Nota**  
Gli amministratori dell'altro Account AWS devono inoltre consentire l'accesso alla chiave KMS creando policy IAM per i propri utenti. Per ulteriori informazioni, consulta [Autorizzazione per gli utenti in altri account di utilizzare una chiave KMS](key-policy-modifying-external-accounts.md).

1. Scegli **Next (Successivo)**.

1. Consulta le principali dichiarazioni politiche relative alla chiave. Per apportare modifiche alla politica chiave, seleziona **Modifica**.

1. Scegli **Next (Successivo)**.

1. Esaminare le principali impostazioni scelte. È comunque possibile tornare indietro e modificare tutte le impostazioni.

1. Al termine, scegli **Crea filtro**.

Quando la procedura ha esito positivo, il display mostra la nuova chiave KMS nell'archivio delle AWS CloudHSM chiavi che hai scelto. Quando scegli il nome o l'alias della nuova chiave KMS, la scheda **Configurazione crittografica** nella relativa pagina dei dettagli mostra l'origine della chiave KMS (**AWS CloudHSM**), il nome, l'ID e il tipo dell'archivio chiavi personalizzato e l'ID del cluster. AWS CloudHSM Se la procedura ha esito negativo, viene visualizzato un messaggio di errore che descrive l'errore.

**Suggerimento**  
Per agevolare l'identificazione delle chiavi KMS in uno store delle chiavi personalizzate, nella pagina **Chiavi gestite cliente**, aggiungi la colonna **ID dell'archivio delle chiavi personalizzate** alla visualizzazione. Fai clic sull'icona che raffigura un ingranaggio in alto a destra e seleziona **Custom key store ID (ID store chiavi personalizzate)**. Per informazioni dettagliate, vedi [Personalizza la visualizzazione della console](viewing-console-customize.md).

### AWS KMS Utilizzo dell'API
<a name="create-cmk-keystore-api"></a>

Per creare una nuova AWS KMS key (chiave KMS) nel tuo archivio AWS CloudHSM chiavi, usa l'[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operazione. Utilizza il parametro `CustomKeyStoreId` per identificare lo store e specifica `AWS_CLOUDHSM` per `Origin`. 

Potresti anche voler utilizzare il parametro `Policy` per specificare una policy delle chiavi. Puoi modificare la politica chiave ([PutKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html)) e aggiungere elementi opzionali, come una [descrizione](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) e dei [tag](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html) in qualsiasi momento.

Gli esempi in questa sezione utilizzano [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), ma puoi usare anche qualsiasi linguaggio di programmazione supportato. 

L'esempio seguente inizia con una chiamata all'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operazione per verificare che l'archivio AWS CloudHSM chiavi sia connesso al AWS CloudHSM cluster associato. Per impostazione predefinita, questa operazione restituisce tutti gli store delle chiavi personalizzate presenti nel tuo account e nella regione. Per descrivere solo un particolare archivio di AWS CloudHSM chiavi, utilizzate il relativo `CustomKeyStoreName` parametro `CustomKeyStoreId` o (ma non entrambi).

Prima di eseguire questo comando, sostituisci l'ID store chiavi personalizzate di esempio con un ID valido.

**Nota**  
Non includere informazioni riservate o sensibili nei campi `Description` o `Tags`. Questi campi possono apparire in testo semplice nei CloudTrail log e in altri output.

```
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "CustomKeyStoreType": "AWS CloudHSM key store",
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "CONNECTED"
   ],
}
```

Il comando di esempio successivo utilizza l'[DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)operazione per verificare che il AWS CloudHSM cluster associato a `ExampleKeyStore` (cluster-1a23b4cdefg) ne abbia almeno due attivi. HSMs Se il cluster ne ha meno di due, l'operazione ha esito negativo. HSMs `CreateKey`

```
$ aws cloudhsmv2 describe-clusters
{
    "Clusters": [
        {
            "SubnetMapping": {
               ...
            },
            "CreateTimestamp": 1507133412.351,
            "ClusterId": "cluster-1a23b4cdefg",
            "SecurityGroup": "sg-865af2fb",
            "HsmType": "hsm1.medium",
            "VpcId": "vpc-1a2b3c4d",
            "BackupPolicy": "DEFAULT",
            "Certificates": {
                "ClusterCertificate": "-----BEGIN CERTIFICATE-----\...\n-----END CERTIFICATE-----\n"
            },
            "Hsms": [
                {
                    "AvailabilityZone": "us-west-2a",
                    "EniIp": "10.0.1.11",
                    "ClusterId": "cluster-1a23b4cdefg",
                    "EniId": "eni-ea8647e1",
                    "StateMessage": "HSM created.",
                    "SubnetId": "subnet-a6b10bd1",
                    "HsmId": "hsm-abcdefghijk",
                    "State": "ACTIVE"
                },
                {
                    "AvailabilityZone": "us-west-2b",
                    "EniIp": "10.0.0.2",
                    "ClusterId": "cluster-1a23b4cdefg",
                    "EniId": "eni-ea8647e1",
                    "StateMessage": "HSM created.",
                    "SubnetId": "subnet-b6b10bd2",
                    "HsmId": "hsm-zyxwvutsrqp",
                    "State": "ACTIVE"
                },
            ],
            "State": "ACTIVE"
        }
    ]
}
```

Questo comando di esempio utilizza l'[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operazione per creare una chiave KMS in un archivio di AWS CloudHSM chiavi. Per creare una chiave KMS in un archivio AWS CloudHSM chiavi, è necessario fornire l'ID dell'archivio chiavi personalizzato dell'archivio AWS CloudHSM chiavi e specificare il `Origin` valore di. `AWS_CLOUDHSM`

La risposta include l'archivio IDs di chiavi personalizzato e il AWS CloudHSM cluster. 

Prima di eseguire questo comando, sostituisci l'ID store chiavi personalizzate di esempio con un ID valido.

```
$ aws kms create-key --origin AWS_CLOUDHSM --custom-key-store-id cks-1234567890abcdef0
{
  "KeyMetadata": {
    "AWSAccountId": "111122223333",
    "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "CreationDate": 1.499288695918E9,
    "Description": "Example key",
    "Enabled": true,
    "MultiRegion": false,
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyManager": "CUSTOMER",
    "KeyState": "Enabled",
    "KeyUsage": "ENCRYPT_DECRYPT",    
    "Origin": "AWS_CLOUDHSM"
    "CloudHsmClusterId": "cluster-1a23b4cdefg",
    "CustomKeyStoreId": "cks-1234567890abcdef0"
    "KeySpec": "SYMMETRIC_DEFAULT",
    "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
    "EncryptionAlgorithms": [
        "SYMMETRIC_DEFAULT"
    ]
  }
}
```

# Crea una chiave KMS in archivi di chiavi esterni
<a name="create-xks-keys"></a>

Dopo aver [creato](create-xks-keystore.md) e [collegato](xks-connect-disconnect.md) l'archivio chiavi esterno, puoi crearlo AWS KMS keys nel tuo archivio chiavi. Devono essere [chiavi KMS con crittografia simmetrica](symm-asymm-choose-key-spec.md#symmetric-cmks) con un valore di origine impostato su **External key store** (Archivio delle chiavi esterne) (`EXTERNAL_KEY_STORE`). Non è possibile creare [chiavi KMS asimmetriche](symmetric-asymmetric.md), [chiavi KMS HMAC](hmac.md) o chiavi KMS con [materiale della chiave importato](importing-keys.md) in un archivio delle chiavi personalizzate. Inoltre, non è possibile utilizzare chiavi KMS di crittografia simmetrica in un archivio delle chiavi personalizzate per generare coppie di chiavi di dati asimmetriche.

Una chiave KMS in un archivio delle chiavi esterne potrebbe avere una latenza, una durata e una disponibilità inferiori rispetto a una chiave KMS standard, perché dipende da componenti situati al di fuori di AWS. Prima di creare o utilizzare una chiave KMS in un archivio delle chiavi esterne, verifica che sia necessaria una chiave con proprietà di archivio delle chiavi esterne.

**Nota**  
Alcuni gestori delle chiavi esterne offrono un metodo più semplice per creare chiavi KMS in un archivio delle chiavi esterne. Per ulteriori informazioni, consulta la documentazione del gestore delle chiavi esterne.

Per creare una chiave KMS nell'archivio delle chiavi esterne, devi specificare quanto segue:
+ L'ID dell'archivio delle chiavi esterne.
+ Un'[origine del materiale della chiave](create-keys.md#key-origin) con valore External key store (Archivio delle chiavi esterne) (`EXTERNAL_KEY_STORE`).
+ L'ID di una [chiave esterna](keystore-external.md#concept-external-key) esistente nel [gestore delle chiavi esterne](keystore-external.md#concept-ekm) associato all'archivio delle chiavi esterne. Questa chiave esterna funge da materiale della chiave per la chiave KMS. Non puoi modificare l'ID della chiave esterna dopo aver creato la chiave KMS.

  AWS KMS fornisce l'ID della chiave esterna al proxy dell'archivio chiavi esterno nelle richieste di operazioni di crittografia e decrittografia. AWS KMS non può accedere direttamente al gestore di chiavi esterno o a nessuna delle sue chiavi crittografiche.

Oltre alla chiave esterna, una chiave KMS in un archivio di chiavi esterno contiene anche materiale AWS KMS chiave. Tutti i dati crittografati con la chiave KMS vengono prima crittografati AWS KMS utilizzando il materiale chiave della AWS KMS chiave e poi dal gestore delle chiavi esterno utilizzando la chiave esterna. Questo processo di [doppia crittografia](keystore-external.md#concept-double-encryption) garantisce che il testo criptato protetto da una chiave KMS in un archivio delle chiavi esterne sia almeno altrettanto sicuro del testo criptato protetto solo da AWS KMS. Per informazioni dettagliate, vedi [Funzionamento degli archivi delle chiavi esterne](keystore-external.md#xks-how-it-works).

Quando l'operazione `CreateKey` ha esito positivo, lo [stato chiave](key-state.md) della nuova chiave KMS è `Enabled`. Quando [visualizzi una chiave KMS in un archivio delle chiavi esterne](identify-key-types.md#view-xks-key) puoi vedere proprietà tipiche, come l'ID, le [specifiche della chiave](create-keys.md#key-spec), nonché [l'utilizzo della chiave](create-keys.md#key-usage), [lo stato della chiave](key-state.md) e la data di creazione. Puoi inoltre visualizzare l'ID e lo [stato di connessione](xks-connect-disconnect.md#xks-connection-state) dell'archivio delle chiavi esterne e l'ID della chiave esterna.

Se il tentativo di creare una chiave KMS nell'archivio delle chiavi esterne ha esito negativo, utilizza il messaggio di errore per determinarne la causa. Potrebbe indicare che l'archivio delle chiavi esterne non è connesso (`CustomKeyStoreInvalidStateException`), che il proxy dell'archivio delle chiavi esterne non è in grado di trovare una chiave esterna con l'ID della chiave esterna specificato (`XksKeyNotFoundException`) o che la chiave esterna è già associata a una chiave KMS nello stesso archivio con l'eccezione `XksKeyAlreadyInUseException`.

Per un esempio del AWS CloudTrail registro dell'operazione che crea una chiave KMS in un archivio di chiavi esterno, vedi. [CreateKey](ct-createkey.md)

**Topics**
+ [

## Requisiti per una chiave KMS in un archivio delle chiavi esterne
](#xks-key-requirements)
+ [

## Crea una nuova chiave KMS nel tuo archivio di chiavi esterno
](#create-key-xks)

## Requisiti per una chiave KMS in un archivio delle chiavi esterne
<a name="xks-key-requirements"></a>

Per creare una chiave KMS in un archivio delle chiavi esterne, sono necessarie le seguenti proprietà dell'archivio delle chiavi esterne, della chiave KMS e della chiave esterna che funge da materiale della chiave crittografica esterna per la chiave KMS.

**Requisiti dell'archivio delle chiavi esterne**
+ Deve essere collegato al relativo proxy dell'archivio delle chiavi esterne.

  Per visualizzare lo [stato di connessione](xks-connect-disconnect.md#xks-connection-state) dell'archivio delle chiavi esterne, consulta [Visualizza gli archivi di chiavi esterni](view-xks-keystore.md). Per connettere l'archivio delle chiavi esterne, consulta [Connect e disconnetti gli archivi di chiavi esterni](xks-connect-disconnect.md). 

**Requisiti della chiave KMS**

Dopo aver creato la chiave KMS, non puoi più modificare queste proprietà.
+ Specifica della chiave SYMMETRIC\$1DEFAULT
+ Utilizzo della chiave: ENCRYPT\$1DECRYPT
+ Origine del materiale della chiave: EXTERNAL\$1KEY\$1STORE
+ Multi regione: FALSE

**Requisiti della chiave esterna**
+ Chiave crittografica AES a 256 bit (256 bit casuali). Il valore di `KeySpec` per la chiave esterna deve essere `AES_256`.
+ Attivata e disponibile per l'uso. Il valore di `Status` per la chiave esterna deve essere `ENABLED`.
+ Configurata per la crittografia e la decrittografia. Il valore di `KeyUsage` per la chiave esterna deve includere `ENCRYPT` e `DECRYPT`.
+ Utilizzata solo con questa chiave KMS. Ciascuna `KMS key` in un archivio delle chiavi esterne deve essere associata a una chiave esterna diversa.

  AWS KMS consiglia inoltre di utilizzare la chiave esterna esclusivamente per l'archivio di chiavi esterno. Questa restrizione semplifica l'identificazione e la risoluzione dei problemi relativi alla chiave.
+ Accessibile dal [proxy dell'archivio delle chiavi esterne](keystore-external.md#concept-xks-proxy) per l'archivio delle chiavi esterne.

  Se il proxy dell'archivio delle chiavi esterne non riesce a trovare la chiave utilizzando l'ID della chiave esterna specificato, l'operazione `CreateKey` ha esito negativo.
+ È in grado di gestire il traffico previsto Servizi AWS generato dall'utilizzo. AWS KMS consiglia di predisporre chiavi esterne per gestire fino a 1800 richieste al secondo.

## Crea una nuova chiave KMS nel tuo archivio di chiavi esterno
<a name="create-key-xks"></a>

Puoi creare una nuova chiave KMS nel tuo archivio chiavi esterno nella AWS KMS console o utilizzando l'[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operazione.

### Utilizzo della console AWS KMS
<a name="create-xks-key-console"></a>

Esistono due modi per creare una chiave KMS in un archivio delle chiavi esterne.
+ Metodo 1 (consigliato): scegli un archivio di chiavi esterno e crea una chiave KMS all'interno dell'archivio di chiavi esterno.
+ Metodo 2: crea una chiave KMS e indica che si trova in un archivio di chiavi esterno.

Se utilizzi il Metodo 1, in cui scegli il tuo archivio di chiavi esterno prima di creare la chiave, AWS KMS sceglie automaticamente tutte le proprietà della chiave KMS richieste e inserisce l'ID del tuo archivio di chiavi esterno. Questo metodo evita errori che potrebbero verificarsi durante la creazione della chiave KMS.

**Nota**  
Non includere informazioni riservate o sensibili nell'alias, nella descrizione o nei tag. Questi campi possono apparire in testo semplice nei CloudTrail log e in altri output.

**Metodo 1 (consigliato): inizia dall'archivio di chiavi esterno**

Per utilizzare questo metodo, scegli l'archivio delle chiavi esterne, quindi crea una chiave KMS. La AWS KMS console sceglie per te tutte le proprietà richieste e inserisce l'ID del tuo archivio di chiavi esterno. Questo metodo evita molti errori che potrebbero verificarsi durante la creazione della chiave KMS.

1. [Accedi a Console di gestione AWS e apri la console AWS Key Management Service (AWS KMS) in /kms. https://console.aws.amazon.com](https://console.aws.amazon.com/kms)

1. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.

1. Nel pannello di navigazione, scegli **Custom key stores** (Archivi delle chiavi personalizzate), **External key stores** (Archivi delle chiavi esterne).

1. Scegli il nome dell'archivio delle chiavi esterne.

1. Nell'angolo in alto a destra, scegli **Create a KMS key in this key store** (Crea una chiave KMS in questo archivio delle chiavi).

   Se l'archivio delle chiavi esterne *non* è connesso, ti verrà richiesto di collegarlo. Se il tentativo di connessione fallisce, è necessario risolvere il problema e connettere l'archivio delle chiavi esterne prima di poter creare una nuova chiave KMS al suo interno.

   Se l'archivio delle chiavi esterne è connesso, verrai reindirizzato alla pagina **Customer managed keys** (Chiavi gestite dal cliente) per creare una chiave. I valori di **Key configuration** (Configurazione della chiave) richiesti sono già stati selezionati automaticamente. Inoltre, è già stato inserito l'ID dell'archivio delle chiavi personalizzate per l'archivio delle chiavi esterne, sebbene sia possibile modificarlo.

1. Inserisci l'ID chiave di una [chiave esterna](keystore-external.md#concept-external-key) nel [gestore delle chiavi esterne](keystore-external.md#concept-ekm). Questa chiave esterna deve [soddisfare i requisiti](#xks-key-requirements) per l'uso con una chiave KMS. Non puoi modificare questo valore dopo la creazione della chiave.

   Se la chiave esterna è multipla IDs, inserisci l'ID della chiave utilizzato dal proxy dell'archivio chiavi esterno per identificare la chiave esterna. 

1. Conferma che intendi creare una chiave KMS nell'archivio delle chiavi esterne specificato.

1. Scegli **Next (Successivo)**.

   Il resto di questa procedura è uguale alla [creazione di una chiave KMS standard](create-keys.md). 

1. Digita un alias (obbligatorio) e, facoltativamente, una descrizione della chiave KMS.

1. (Facoltativo). Nella pagina **Add Tags** (Aggiungi tag), aggiungi i tag che identificano o categorizzano la chiave KMS.

   Quando aggiungi tag alle tue AWS risorse, AWS genera un rapporto sull'allocazione dei costi con utilizzo e costi aggregati per tag. I tag possono essere utilizzati anche per controllare l'accesso a una chiave KMS. Per informazioni sull'assegnazione di tag delle chiavi KMS, consulta [Tag in AWS KMS](tagging-keys.md) e [ABAC per AWS KMS](abac.md). 

1. Scegli **Next (Successivo)**.

1. Nella sezione **amministratori delle chiavi**, seleziona utenti IAM e ruoli IAM che possono gestire la chiave KMS. Per ulteriori informazioni, consulta [Consente agli amministratori delle chiavi di amministrare la chiave KMS](key-policy-default.md#key-policy-default-allow-administrators).
**Nota**  
Le policy IAM possono fornire ad altri ruoli e utenti IAM l'autorizzazione per utilizzare la chiave KMS.  
Le best practice di IAM disincentivano l'uso di utenti IAM con credenziali a lungo termine. Quando possibile, utilizza i ruoli IAM che forniscono credenziali temporanee. Per i dettagli, consulta la sezione [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l'utente IAM*.

1. (Facoltativo) Per impedire a questi amministratori delle chiavi di eliminare tale chiave KMS, deseleziona la casella di controllo **Allow key administrators to delete this key.** (Consenti agli amministratori delle chiavi di eliminare questa chiave).

   L'eliminazione di una chiave KMS è un'operazione distruttiva e irreversibile che può rendere il testo criptato irrecuperabile. Non puoi ricreare una chiave KMS simmetrica in un archivio delle chiavi esterne, anche se disponi del materiale della chiave. L'eliminazione di una chiave KMS non ha alcun effetto sulla chiave esterna associata. Per informazioni sull'eliminazione di una chiave KMS da un archivio di chiavi esterno, consulta [Considerazioni speciali](deleting-keys.md#special-considerations-delete) per l'eliminazione delle chiavi.

1. Scegli **Next (Successivo)**.

1. [Nella sezione **Questo account**, seleziona gli utenti e i ruoli IAM Account AWS che possono utilizzare la chiave KMS nelle operazioni crittografiche.](kms-cryptography.md#cryptographic-operations) Per ulteriori informazioni, consulta [Consente agli utenti della chiave di utilizzare la chiave KMS](key-policy-default.md#key-policy-default-allow-users).
**Nota**  
Le policy IAM possono fornire ad altri ruoli e utenti IAM l'autorizzazione per utilizzare la chiave KMS.  
Le best practice di IAM disincentivano l'uso di utenti IAM con credenziali a lungo termine. Quando possibile, utilizza i ruoli IAM che forniscono credenziali temporanee. Per i dettagli, consulta la sezione [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l'utente IAM*.

1. (Facoltativo) Puoi consentire ad altri di Account AWS utilizzare questa chiave KMS per operazioni crittografiche. A tale scopo, nella Account AWS sezione **Altro** in fondo alla pagina, scegli **Aggiungi un altro** account Account AWS e inserisci l' Account AWS ID di un account esterno. Per aggiungere più account esterni, ripetere questo passaggio.
**Nota**  
Gli amministratori dell'altro Account AWS devono inoltre consentire l'accesso alla chiave KMS creando policy IAM per i propri utenti. Per ulteriori informazioni, consulta [Autorizzazione per gli utenti in altri account di utilizzare una chiave KMS](key-policy-modifying-external-accounts.md).

1. Seleziona **Next (Successivo)**.

1. Esaminare le principali impostazioni scelte. È comunque possibile tornare indietro e modificare tutte le impostazioni.

1. Al termine, scegli **Crea filtro**.

**Metodo 2: inizia dalle chiavi gestite dal cliente**

Questa procedura è la stessa di quella per creare una chiave di crittografia simmetrica con materiale chiave. AWS KMS Tuttavia, in questa procedura puoi specificare l'ID dell'archivio delle chiavi personalizzate dell'archivio delle chiavi esterne e l'ID chiave della chiave esterna. Puoi inoltre specificare i [valori delle proprietà richiesti](#xks-key-requirements) per una chiave KMS in un archivio delle chiavi esterne, come le specifiche e l'utilizzo della chiave.

1. [Accedi a Console di gestione AWS e apri la console AWS Key Management Service (AWS KMS) su https://console.aws.amazon.com /kms.](https://console.aws.amazon.com/kms)

1. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.

1. Nel riquadro di navigazione, scegli **Chiavi gestite dal cliente**.

1. Scegli **Crea chiave**.

1. Scegliere **Symmetric (Simmetrica)**.

1. In **Key usage** (Utilizzo della chiave), l'opzione **Encrypt and decrypt** (Crittografa e decrittografa) è selezionata per default. Non modificarla. 

1. Scegliere **Advanced options (Opzioni avanzate)**.

1. In **Key material origin** (Origine del materiale della chiave), scegli **External key store** (Archivio delle chiavi esterne).

1. Conferma che intendi creare una chiave KMS nell'archivio delle chiavi esterne specificato.

1. Scegli **Next (Successivo)**.

1. Scegli la riga che rappresenta l'archivio delle chiavi esterne per la nuova chiave KMS. 

   Non puoi scegliere un archivio delle chiavi esterne disconnesso. Per connettere un archivio delle chiavi disconnesso, scegli il nome dell'archivio, quindi in **Key store actions** (Operazioni per l'archivio delle chiavi), scegli **Connect** (Connetti). Per informazioni dettagliate, vedi [Utilizzo della console AWS KMS](about-xks-connecting.md#connect-xks-console).

1. Inserisci l'ID chiave di una [chiave esterna](keystore-external.md#concept-external-key) nel [gestore delle chiavi esterne](keystore-external.md#concept-ekm). Questa chiave esterna deve [soddisfare i requisiti](#xks-key-requirements) per l'uso con una chiave KMS. Non puoi modificare questo valore dopo la creazione della chiave.

   Se la chiave esterna è multipla IDs, inserisci l'ID della chiave utilizzato dal proxy dell'archivio chiavi esterno per identificare la chiave esterna. 

1. Scegli **Next (Successivo)**.

   Il resto di questa procedura è uguale alla [creazione di una chiave KMS standard](create-keys.md). 

1. Digita un alias ed eventualmente una descrizione per la chiave KMS.

1. (Facoltativo). Nella pagina **Add Tags** (Aggiungi tag), aggiungi i tag che identificano o categorizzano la chiave KMS.

   Quando aggiungi tag alle tue AWS risorse, AWS genera un rapporto sull'allocazione dei costi con utilizzo e costi aggregati per tag. I tag possono essere utilizzati anche per controllare l'accesso a una chiave KMS. Per informazioni sull'assegnazione di tag delle chiavi KMS, consulta [Tag in AWS KMS](tagging-keys.md) e [ABAC per AWS KMS](abac.md). 

1. Scegli **Next (Successivo)**.

1. Nella sezione **amministratori delle chiavi**, seleziona utenti IAM e ruoli IAM che possono gestire la chiave KMS. Per ulteriori informazioni, consulta [Consente agli amministratori delle chiavi di amministrare la chiave KMS](key-policy-default.md#key-policy-default-allow-administrators).
**Nota**  
Le policy IAM possono fornire ad altri ruoli e utenti IAM l'autorizzazione per utilizzare la chiave KMS.

1. (Facoltativo) Per impedire a questi amministratori delle chiavi di eliminare tale chiave KMS, deseleziona la casella di controllo **Allow key administrators to delete this key.** (Consenti agli amministratori delle chiavi di eliminare questa chiave).

   L'eliminazione di una chiave KMS è un'operazione distruttiva e irreversibile che può rendere il testo criptato irrecuperabile. Non puoi ricreare una chiave KMS simmetrica in un archivio delle chiavi esterne, anche se disponi del materiale della chiave. L'eliminazione di una chiave KMS non ha alcun effetto sulla chiave esterna associata. Per informazioni sull'eliminazione di una chiave KMS da un archivio delle chiavi esterne, consulta [Eliminare un AWS KMS key](deleting-keys.md).

1. Scegli **Next (Successivo)**.

1. [Nella sezione **Questo account**, seleziona gli utenti e i ruoli IAM in grado di utilizzare la chiave KMS nelle operazioni crittografiche. Account AWS](kms-cryptography.md#cryptographic-operations) Per ulteriori informazioni, consulta [Consente agli utenti della chiave di utilizzare la chiave KMS](key-policy-default.md#key-policy-default-allow-users).
**Nota**  
Le policy IAM possono fornire ad altri ruoli e utenti IAM l'autorizzazione per utilizzare la chiave KMS.

1. (Facoltativo) Puoi consentire ad altri di Account AWS utilizzare questa chiave KMS per operazioni crittografiche. A tale scopo, nella Account AWS sezione **Altro** in fondo alla pagina, scegli **Aggiungi un altro** account Account AWS e inserisci l' Account AWS ID di un account esterno. Per aggiungere più account esterni, ripetere questo passaggio.
**Nota**  
Gli amministratori dell'altro Account AWS devono inoltre consentire l'accesso alla chiave KMS creando policy IAM per i propri utenti. Per ulteriori informazioni, consulta [Autorizzazione per gli utenti in altri account di utilizzare una chiave KMS](key-policy-modifying-external-accounts.md).

1. Seleziona **Next (Successivo)**.

1. Esaminare le principali impostazioni scelte. È comunque possibile tornare indietro e modificare tutte le impostazioni.

1. Al termine, scegli **Crea filtro**.

Quando la procedura riesce, la visualizzazione mostra la nuova chiave KMS nell'archivio delle chiavi esterne che hai scelto. Quando scegli il nome o l'alias della nuova chiave KMS, la scheda **Cryptographic configuration** (Configurazione crittografica) nella relativa pagina dei dettagli visualizza l'origine della chiave KMS (**External key store** [Archivio delle chiavi esterne]), il nome, l'ID e il tipo dell'archivio delle chiavi personalizzate, nonché l'ID, l'utilizzo della chiave e lo stato della chiave esterna. Se la procedura ha esito negativo, viene visualizzato un messaggio di errore che descrive l'errore. Per , consulta [Risoluzione dei problemi relativi all'archivio delle chiavi esterne](xks-troubleshooting.md).

**Suggerimento**  
Per agevolare l'identificazione delle chiavi KMS in un archivio delle chiavi personalizzate, nella pagina **Customer managed keys** (Chiavi gestite dal cliente), aggiungi il campo **Origin** (Origine) e la colonna **Custom key store ID** (ID dell'archivio chiavi personalizzate) alla visualizzazione. Per modificare i campi della tabella, scegli l'icona a forma di ingranaggio nell'angolo in alto a destra della pagina. Per informazioni dettagliate, vedi [Personalizza la visualizzazione della console](viewing-console-customize.md).

### Utilizzo dell'API AWS KMS
<a name="create-xks-key-api"></a>

Per creare una nuova chiave KMS in un archivio di chiavi esterno, usa l'[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operazione. I parametri seguenti sono obbligatori:
+ Il valore `Origin` deve essere `EXTERNAL_KEY_STORE`.
+ Il parametro `CustomKeyStoreId` identifica l'archivio delle chiavi esterne. Il valore di [`ConnectionState`](xks-connect-disconnect.md#xks-connection-state) per l'archivio delle chiavi esterne specificato deve essere `CONNECTED`. Per trovare `CustomKeyStoreId` e `ConnectionState`, usa l'operazione `DescribeCustomKeyStores`.
+ Il parametro `XksKeyId` identifica la chiave esterna. Tale chiave deve [soddisfare i requisiti](#xks-key-requirements) per l'associazione a una chiave KMS. 

Puoi inoltre utilizzare uno qualsiasi dei parametri facoltativi dell'operazione `CreateKey`, ad esempio `Policy` o i parametri [Tags](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html) (Tag).

**Nota**  
Non includere informazioni riservate o sensibili nei campi `Description` o `Tags`. Questi campi possono apparire in testo semplice nei CloudTrail log e in altri output.

Gli esempi in questa sezione utilizzano [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), ma puoi usare anche qualsiasi linguaggio di programmazione supportato. 

Questo comando di esempio utilizza l'[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operazione per creare una chiave KMS in un archivio di chiavi esterno. La risposta include le proprietà delle chiavi KMS, l'ID dell'archivio delle chiavi esterne e l'ID, l'utilizzo e lo stato della chiave esterna.

Prima di eseguire questo comando, sostituisci l'ID store chiavi personalizzate di esempio con un ID valido.

```
$ aws kms create-key --origin EXTERNAL_KEY_STORE --custom-key-store-id cks-1234567890abcdef0 --xks-key-id bb8562717f809024
{
  "KeyMetadata": {
    "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "AWSAccountId": "111122223333",
    "CreationDate": "2022-12-02T07:48:55-07:00",
    "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
    "CustomKeyStoreId": "cks-1234567890abcdef0",
    "Description": "",
    "Enabled": true,
    "EncryptionAlgorithms": [
      "SYMMETRIC_DEFAULT"
    ],
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyManager": "CUSTOMER",
    "KeySpec": "SYMMETRIC_DEFAULT",
    "KeyState": "Enabled",
    "KeyUsage": "ENCRYPT_DECRYPT",
    "MultiRegion": false,
    "Origin": "EXTERNAL_KEY_STORE",
    "XksKeyConfiguration": {
      "Id": "bb8562717f809024"
    }
  }
}
```