Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Creazione di una chiave KMS di crittografia simmetrica
Questo argomento spiega come creare la chiave KMS di base, una chiave KMS di [crittografia simmetrica per una singola regione con materiale chiave proveniente](symm-asymm-choose-key-spec.md#symmetric-cmks) da. AWS KMS Puoi utilizzare questa chiave KMS per proteggere le tue risorse in un Servizio AWS.
[È possibile creare chiavi KMS di crittografia simmetrica nella AWS KMS console, utilizzando l'[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)API o utilizzando il modello. AWS::KMS::Key CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-kms-key.html)
La specifica chiave predefinita, [SYMMETRIC\$1DEFAULT, è la specifica chiave per le chiavi KMS di crittografia simmetrica](symm-asymm-choose-key-spec.md#symmetric-cmks). Quando si seleziona il tipo di chiave **Symmetric** e l'utilizzo della chiave di crittografia **e decrittografia** nella console, viene selezionata la specifica della chiave. AWS KMS `SYMMETRIC_DEFAULT` Nell'[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operazione, se non si specifica un valore, viene selezionato SYMMETRIC\$1DEFAULT. `KeySpec` Se non hai motivo di utilizzare una specifica della chiave diversa, SYMMETRIC\$1DEFAULT è una scelta valida.
Per informazioni sulle quote applicabili alle chiavi KMS, consulta [Quote](limits.md).
## Utilizzo della console AWS KMS
Puoi usare Console di gestione AWS per creare AWS KMS keys (chiavi KMS).
**Importante**
Non includere informazioni riservate o sensibili nell'alias, nella descrizione o nei tag. Questi campi possono apparire in testo semplice nei CloudTrail log e in altri output.
1. Accedi a Console di gestione AWS e apri la console AWS Key Management Service (AWS KMS) in [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.
1. Nel riquadro di navigazione, scegli **Chiavi gestite dal cliente**.
1. Scegliere **Create key (Crea chiave)**.
1. Per creare una chiave KMS di crittografia simmetrica, in **Key type** (Tipo di chiave) scegli **Symmetric** (Simmetrica).
1. In **Utilizzo della chiave**, l'opzione **Crittografa e decrittografa** è selezionata per impostazione predefinita.
1. Scegli **Next (Successivo)**.
1. Digita un alias per la chiave KMS. Un nome di alias non può iniziare con **aws/**. Il **aws/** prefisso è riservato da Amazon Web Services per essere rappresentato Chiavi gestite da AWS nel tuo account.
**Nota**
L'aggiunta, l'eliminazione o l'aggiornamento di un alias può consentire o negare l'autorizzazione alla chiave KMS. Per informazioni dettagliate, consulta [ABAC per AWS KMS](abac.md) e [Usa gli alias per controllare l'accesso alle chiavi KMS](alias-authorization.md).
Un alias è un nome visualizzato che può essere utilizzato per identificare la chiave KMS. È consigliabile scegliere un alias che indica il tipo di dati che desideri proteggere o l'applicazione che desideri utilizzare con la chiave KMS.
Gli alias sono obbligatori quando si crea una chiave KMS nella Console di gestione AWS. Sono opzionali quando si utilizza l'[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operazione.
1. (Facoltativo) Digita una descrizione per la chiave KMS.
Puoi aggiungere una descrizione ora o aggiornarla in qualsiasi momento, a meno che lo [stato della chiave](key-state.md) non sia `Pending Deletion` o `Pending Replica Deletion`. Per aggiungere, modificare o eliminare la descrizione di una chiave gestita dal cliente esistente, modifica la descrizione nella pagina dei dettagli della chiave KMS inclusa nell'operazione Console di gestione AWS o utilizza l'[UpdateKeyDescription](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateKeyDescription.html)operazione.
1. (Facoltativo) Digitare una chiave di tag e un valore di tag facoltativo. Per aggiungere più di un tag alla chiave KMS scegli **Add tag (Aggiungi tag)**.
**Nota**
L'applicazione o l'eliminazione di un tag chiave KMS può consentire o negare l'autorizzazione alla chiave KMS. Per informazioni dettagliate, consulta [ABAC per AWS KMS](abac.md) e [Usa i tag per controllare l'accesso alle chiavi KMS](tag-authorization.md).
Quando aggiungi tag alle tue AWS risorse, AWS genera un rapporto sull'allocazione dei costi con utilizzo e costi aggregati per tag. I tag possono essere utilizzati anche per controllare l'accesso a una chiave KMS. Per informazioni sull'assegnazione di tag delle chiavi KMS, consulta [Tag in AWS KMS](tagging-keys.md) e [ABAC per AWS KMS](abac.md).
1. Seleziona **Next (Successivo)**.
1. Seleziona i ruoli e gli utenti IAM che possono gestire la chiave KMS.
**Note**
Questa politica chiave offre il Account AWS pieno controllo di questa chiave KMS. Consente agli amministratori dell'account di utilizzare policy IAM per concedere ad altri principali l'autorizzazione per la gestione della chiave KMS. Per informazioni dettagliate, vedi [Policy delle chiavi predefinita](key-policy-default.md).
Le best practice di IAM disincentivano l'uso di utenti IAM con credenziali a lungo termine. Quando possibile, utilizza i ruoli IAM che forniscono credenziali temporanee. Per i dettagli, consulta la sezione [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l'utente IAM*.
La AWS KMS console aggiunge gli amministratori chiave alla politica chiave sotto l'identificatore dell'istruzione. `"Allow access for Key Administrators"` La modifica di questo identificatore di istruzione potrebbe influire sul modo in cui la console visualizza gli aggiornamenti apportati all'istruzione.
1. (Facoltativo) Per impedire ai ruoli e agli utenti IAM selezionati di eliminare questa chiave KMS, nella sezione **Eliminazione chiave** nella parte inferiore della pagina, deseleziona la casella di controllo **Consenti agli amministratori delle chiavi di eliminare questa chiave**.
1. Seleziona **Next (Successivo)**.
1. Selezionare i ruoli e gli utenti IAM che possono utilizzare la chiave nelle [operazioni di crittografia](kms-cryptography.md#cryptographic-operations).
**Note**
Le best practice di IAM disincentivano l'uso di utenti IAM con credenziali a lungo termine. Quando possibile, utilizza i ruoli IAM che forniscono credenziali temporanee. Per i dettagli, consulta la sezione [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l'utente IAM*.
La AWS KMS console aggiunge gli utenti chiave alla politica chiave sotto gli `"Allow use of the key"` identificatori di dichiarazione e. `"Allow attachment of persistent resources"` La modifica di questi identificatori delle istruzioni potrebbe influire sul modo in cui la console visualizza gli aggiornamenti apportati all'istruzione.
1. (Facoltativo) È possibile consentire ad altri Account AWS di utilizzare questa chiave KMS per operazioni crittografiche. A tale scopo, nella Account AWS sezione **Altro** in fondo alla pagina, scegli **Aggiungi un altro** account Account AWS e inserisci il numero di Account AWS identificazione di un account esterno. Per aggiungere più account esterni, ripetere questo passaggio.
**Nota**
Per consentire ai principali negli account esterni di utilizzare la chiave KMS, gli amministratori dell'account esterno devono creare policy IAM che forniscono tali autorizzazioni. Per ulteriori informazioni, consultare [Autorizzazione per gli utenti in altri account di utilizzare una chiave KMS](key-policy-modifying-external-accounts.md).
1. Scegli **Next (Successivo)**.
1. Consulta le principali dichiarazioni politiche per la chiave. Per apportare modifiche alla politica chiave, seleziona **Modifica**.
1. Scegli **Next (Successivo)**.
1. Esaminare le principali impostazioni scelte. È comunque possibile tornare indietro e modificare tutte le impostazioni.
1. Scegli **Termina** per creare la chiave KMS.
## Utilizzo dell' AWS KMS API
È possibile utilizzare l'[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operazione per creare AWS KMS keys di tutti i tipi. Questi esempi utilizzano il [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/). Per esempi in più linguaggi di programmazione, consulta [Utilizzo `CreateKey` con un AWS SDK o una CLI](example_kms_CreateKey_section.md).
**Importante**
Non includere informazioni riservate o sensibili nei campi `Description` o `Tags`. Questi campi possono apparire in testo semplice nei CloudTrail log e in altri output.
La seguente operazione crea una chiave di crittografia simmetrica in una singola regione supportata da materiale chiave generato da. AWS KMS Questa operazione non include parametri obbligatori. È possibile anche utilizzare il parametro `Policy` per specificare una policy delle chiavi. È possibile modificare la politica della chiave ([PutKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html)) e aggiungere elementi opzionali, come una [descrizione](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) e [tag](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html), in qualsiasi momento. È inoltre possibile anche creare [chiavi asimmetriche](asymm-create-key.md#create-asymmetric-keys-api), [chiavi multi-regione](create-primary-keys.md), chiavi con [materiale chiave importato](importing-keys-create-cmk.md#importing-keys-create-cmk-api) e chiavi in [archivi delle chiavi personalizzate](create-cmk-keystore.md#create-cmk-keystore-api). Per creare chiavi di dati per la crittografia lato client, utilizzate l'[GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)operazione.
L'`CreateKey`operazione non consente di specificare un alias, ma è possibile utilizzare l'[CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html)operazione per creare un alias per la nuova chiave KMS.
Di seguito è riportato un esempio di una chiamata all'operazione `CreateKey` senza parametri. Questo comando utilizza tutti i valori predefiniti. Crea una chiave KMS di crittografia simmetrica per crittografare e decrittografare con materiale della chiave generato da AWS KMS.
```
$ aws kms create-key
{
"KeyMetadata": {
"Origin": "AWS_KMS",
"KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"Description": "",
"KeyManager": "CUSTOMER",
"Enabled": true,
"KeySpec": "SYMMETRIC_DEFAULT",
"CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
"KeyUsage": "ENCRYPT_DECRYPT",
"KeyState": "Enabled",
"CreationDate": 1502910355.475,
"Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"AWSAccountId": "111122223333",
"MultiRegion": false
"EncryptionAlgorithms": [
"SYMMETRIC_DEFAULT"
],
}
}
```
Se non specifichi una policy delle chiavi per la nuova chiave KMS, la [policy delle chiavi predefinita](key-policy-default.md) che `CreateKey` applica è diversa dalla policy delle chiavi predefinita che la console applica quando la utilizzi per creare una nuova chiave KMS.
Ad esempio, questa chiamata all'[GetKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html)operazione restituisce la politica chiave applicabile. `CreateKey` Fornisce l' Account AWS accesso alla chiave KMS e le consente di creare politiche AWS Identity and Access Management (IAM) per la chiave KMS. Per informazioni dettagliate sulle policy IAM e sulle policy delle chiavi KMS, consulta [Accesso e autorizzazioni alle chiavi KMS](control-access.md).
```
$ aws kms get-key-policy --key-id 1234abcd-12ab-34cd-56ef-1234567890ab --policy-name default --output text
```
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id" : "key-default-1",
"Statement" : [ {
"Sid" : "EnableIAMUserPermissions",
"Effect" : "Allow",
"Principal" : {
"AWS" : "arn:aws:iam::111122223333:root"
},
"Action" : "kms:*",
"Resource" : "*"
} ]
}
```
------