Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Questo argomento spiega come creare la chiave KMS di base, una chiave KMS di crittografia simmetrica per una singola regione con materiale chiave proveniente da. AWS KMS Puoi utilizzare questa chiave KMS per proteggere le tue risorse in un Servizio AWS.
È possibile creare chiavi KMS di crittografia simmetrica nella AWS KMS console, utilizzando l'CreateKeyAPI o utilizzando il modello. AWS::KMS::Key AWS CloudFormation
La specifica chiave predefinita, SYMMETRIC_DEFAULT, è la specifica chiave per le chiavi KMS di crittografia simmetrica. Quando si seleziona il tipo di chiave Symmetric e l'utilizzo della chiave di crittografia e decrittografia nella console, viene selezionata la specifica della chiave. AWS KMS SYMMETRIC_DEFAULT Nell'CreateKeyoperazione, se non si specifica un valore, viene selezionato SYMMETRIC_DEFAULT. KeySpec Se non hai motivo di utilizzare una specifica della chiave diversa, SYMMETRIC_DEFAULT è una scelta valida.
Per informazioni sulle quote applicabili alle chiavi KMS, consulta Quote.
Puoi usare AWS Management Console per creare AWS KMS keys (chiavi KMS).
Importante
Non includere informazioni riservate o sensibili nell'alias, nella descrizione o nei tag. Questi campi possono apparire in testo semplice nei CloudTrail log e in altri output.
-
Accedi a AWS Management Console e apri la console AWS Key Management Service (AWS KMS) in https://console.aws.amazon.com/kms
. -
Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.
-
Nel riquadro di navigazione, scegli Chiavi gestite dal cliente.
-
Scegliere Create key (Crea chiave).
-
Per creare una chiave KMS di crittografia simmetrica, in Key type (Tipo di chiave) scegli Symmetric (Simmetrica).
-
In Utilizzo della chiave, l'opzione Crittografa e decrittografa è selezionata per impostazione predefinita.
-
Scegli Next (Successivo).
-
Digita un alias per la chiave KMS. Un nome di alias non può iniziare con
aws/. Ilaws/prefisso è riservato da Amazon Web Services per essere rappresentato Chiavi gestite da AWS nel tuo account.Nota
L'aggiunta, l'eliminazione o l'aggiornamento di un alias può consentire o negare l'autorizzazione alla chiave KMS. Per informazioni dettagliate, consulta ABAC per AWS KMS e Usa gli alias per controllare l'accesso alle chiavi KMS.
Un alias è un nome visualizzato che può essere utilizzato per identificare la chiave KMS. È consigliabile scegliere un alias che indica il tipo di dati che desideri proteggere o l'applicazione che desideri utilizzare con la chiave KMS.
Gli alias sono obbligatori quando si crea una chiave KMS nella AWS Management Console. Sono opzionali quando si utilizza l'CreateKeyoperazione.
-
(Facoltativo) Digita una descrizione per la chiave KMS.
Puoi aggiungere una descrizione ora o aggiornarla in qualsiasi momento, a meno che lo stato della chiave non sia
Pending DeletionoPending Replica Deletion. Per aggiungere, modificare o eliminare la descrizione di una chiave gestita dal cliente esistente, modifica la descrizione nella pagina dei dettagli della chiave KMS inclusa nell'operazione AWS Management Console o utilizza l'UpdateKeyDescriptionoperazione. -
(Facoltativo) Digitare una chiave di tag e un valore di tag facoltativo. Per aggiungere più di un tag alla chiave KMS scegli Add tag (Aggiungi tag).
Nota
L'applicazione o l'eliminazione di un tag chiave KMS può consentire o negare l'autorizzazione alla chiave KMS. Per informazioni dettagliate, consulta ABAC per AWS KMS e Usa i tag per controllare l'accesso alle chiavi KMS.
Quando aggiungi tag alle tue AWS risorse, AWS genera un rapporto sull'allocazione dei costi con utilizzo e costi aggregati per tag. I tag possono essere utilizzati anche per controllare l'accesso a una chiave KMS. Per informazioni sull'assegnazione di tag delle chiavi KMS, consulta Tag in AWS KMS e ABAC per AWS KMS.
-
Seleziona Next (Successivo).
-
Seleziona i ruoli e gli utenti IAM che possono gestire la chiave KMS.
Note
Questa politica chiave offre il Account AWS pieno controllo di questa chiave KMS. Consente agli amministratori dell'account di utilizzare policy IAM per concedere ad altri principali l'autorizzazione per la gestione della chiave KMS. Per informazioni dettagliate, consultare Policy delle chiavi predefinita.
Le best practice di IAM disincentivano l'uso di utenti IAM con credenziali a lungo termine. Quando possibile, utilizza i ruoli IAM che forniscono credenziali temporanee. Per i dettagli, consulta la sezione Best practice di sicurezza in IAM nella Guida per l'utente IAM.
La AWS KMS console aggiunge gli amministratori chiave alla politica chiave sotto l'identificatore dell'istruzione.
"Allow access for Key Administrators"La modifica di questo identificatore di istruzione potrebbe influire sul modo in cui la console visualizza gli aggiornamenti apportati all'istruzione. -
(Facoltativo) Per impedire ai ruoli e agli utenti IAM selezionati di eliminare questa chiave KMS, nella sezione Eliminazione chiave nella parte inferiore della pagina, deseleziona la casella di controllo Consenti agli amministratori delle chiavi di eliminare questa chiave.
-
Seleziona Next (Successivo).
-
Selezionare i ruoli e gli utenti IAM che possono utilizzare la chiave nelle operazioni di crittografia.
Note
Le best practice di IAM disincentivano l'uso di utenti IAM con credenziali a lungo termine. Quando possibile, utilizza i ruoli IAM che forniscono credenziali temporanee. Per i dettagli, consulta la sezione Best practice di sicurezza in IAM nella Guida per l'utente IAM.
La AWS KMS console aggiunge gli utenti chiave alla politica chiave sotto gli
"Allow use of the key"identificatori di dichiarazione e."Allow attachment of persistent resources"La modifica di questi identificatori delle istruzioni potrebbe influire sul modo in cui la console visualizza gli aggiornamenti apportati all'istruzione. -
(Facoltativo) È possibile consentire ad altri Account AWS di utilizzare questa chiave KMS per operazioni crittografiche. A tale scopo, nella Account AWS sezione Altro in fondo alla pagina, scegli Aggiungi un altro account Account AWS e inserisci il numero di Account AWS identificazione di un account esterno. Per aggiungere più account esterni, ripetere questo passaggio.
Nota
Per consentire ai principali negli account esterni di utilizzare la chiave KMS, gli amministratori dell'account esterno devono creare policy IAM che forniscono tali autorizzazioni. Per ulteriori informazioni, consultare Autorizzazione per gli utenti in altri account di utilizzare una chiave KMS.
-
Scegli Next (Successivo).
-
Consulta le principali dichiarazioni politiche per la chiave. Per apportare modifiche alla politica chiave, seleziona Modifica.
-
Scegli Next (Successivo).
-
Esaminare le principali impostazioni scelte. È comunque possibile tornare indietro e modificare tutte le impostazioni.
-
Scegli Termina per creare la chiave KMS.
È possibile utilizzare l'CreateKeyoperazione per creare AWS KMS keys di tutti i tipi. Questi esempi utilizzano il AWS Command Line Interface (AWS CLI)
Importante
Non includere informazioni riservate o sensibili nei campi Description o Tags. Questi campi possono apparire in testo semplice nei CloudTrail log e in altri output.
La seguente operazione crea una chiave di crittografia simmetrica in una singola regione supportata da materiale chiave generato da. AWS KMS Questa operazione non include parametri obbligatori. È possibile anche utilizzare il parametro Policy per specificare una policy delle chiavi. È possibile modificare la politica della chiave (PutKeyPolicy) e aggiungere elementi opzionali, come una descrizione e tag in qualsiasi momento. È inoltre possibile anche creare chiavi asimmetriche, chiavi multi-regione, chiavi con materiale chiave importato e chiavi in archivi delle chiavi personalizzate. Per creare chiavi di dati per la crittografia lato client, utilizzate l'GenerateDataKeyoperazione.
L'CreateKeyoperazione non consente di specificare un alias, ma è possibile utilizzare l'CreateAliasoperazione per creare un alias per la nuova chiave KMS.
Di seguito è riportato un esempio di una chiamata all'operazione CreateKey senza parametri. Questo comando utilizza tutti i valori predefiniti. Crea una chiave KMS di crittografia simmetrica per crittografare e decrittografare con materiale della chiave generato da AWS KMS.
$ aws kms create-key
{
"KeyMetadata": {
"Origin": "AWS_KMS",
"KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"Description": "",
"KeyManager": "CUSTOMER",
"Enabled": true,
"KeySpec": "SYMMETRIC_DEFAULT",
"CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
"KeyUsage": "ENCRYPT_DECRYPT",
"KeyState": "Enabled",
"CreationDate": 1502910355.475,
"Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"AWSAccountId": "111122223333",
"MultiRegion": false
"EncryptionAlgorithms": [
"SYMMETRIC_DEFAULT"
],
}
}Se non specifichi una policy delle chiavi per la nuova chiave KMS, la policy delle chiavi predefinita che CreateKey applica è diversa dalla policy delle chiavi predefinita che la console applica quando la utilizzi per creare una nuova chiave KMS.
Ad esempio, questa chiamata all'GetKeyPolicyoperazione restituisce la politica chiave applicabile. CreateKey Fornisce l' Account AWS accesso alla chiave KMS e le consente di creare politiche AWS Identity and Access Management (IAM) per la chiave KMS. Per informazioni dettagliate sulle policy IAM e sulle policy delle chiavi KMS, consulta Accesso e autorizzazioni alle chiavi KMS.
$ aws kms get-key-policy --key-id 1234abcd-12ab-34cd-56ef-1234567890ab --policy-name default --output text
{
"Version" : "2012-10-17",
"Id" : "key-default-1",
"Statement" : [ {
"Sid" : "Enable IAM User Permissions",
"Effect" : "Allow",
"Principal" : {
"AWS" : "arn:aws:iam::111122223333:root"
},
"Action" : "kms:*",
"Resource" : "*"
} ]
}