Creazione di chiavi KMS in un archivio delle chiavi esterne - AWS Key Management Service
Requisiti per una chiave KMS in un archivio delle chiavi esterneCreazione di una chiave KMS in un archivio delle chiavi esterne (console)Creazione di una chiave KMS in un archivio delle chiavi esterne (API AWS KMS)

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creazione di chiavi KMS in un archivio delle chiavi esterne

Dopo aver creato e collegato l'archivio delle chiavi esterne, puoi creare le AWS KMS keys. Devono essere chiavi KMS con crittografia simmetrica con un valore di origine impostato su External key store (Archivio delle chiavi esterne) (EXTERNAL_KEY_STORE). Non è possibile creare chiavi KMS asimmetriche, chiavi KMS HMAC o chiavi KMS con materiale della chiave importato in un archivio delle chiavi personalizzate. Inoltre, non è possibile utilizzare chiavi KMS di crittografia simmetrica in un archivio delle chiavi personalizzate per generare coppie di chiavi di dati asimmetriche.

Una chiave KMS in un archivio delle chiavi esterne potrebbe avere una latenza, una durata e una disponibilità inferiori rispetto a una chiave KMS standard, perché dipende da componenti situati al di fuori di AWS. Prima di creare o utilizzare una chiave KMS in un archivio delle chiavi esterne, verifica che sia necessaria una chiave con proprietà di archivio delle chiavi esterne.

Nota

Alcuni gestori delle chiavi esterne offrono un metodo più semplice per creare chiavi KMS in un archivio delle chiavi esterne. Per ulteriori informazioni, consulta la documentazione del gestore delle chiavi esterne.

Per creare una chiave KMS nell'archivio delle chiavi esterne, devi specificare quanto segue:

  • L'ID dell'archivio delle chiavi esterne.

  • Un'origine del materiale della chiave con valore External key store (Archivio delle chiavi esterne) (EXTERNAL_KEY_STORE).

  • L'ID di una chiave esterna esistente nel gestore delle chiavi esterne associato all'archivio delle chiavi esterne. Questa chiave esterna funge da materiale della chiave per la chiave KMS. Non puoi modificare l'ID della chiave esterna dopo aver creato la chiave KMS.

    AWS KMS fornisce l'ID della chiave esterna al proxy dell'archivio delle chiavi esterne nelle richieste di operazioni di crittografia e decrittografia. AWS KMS non può accedere direttamente al gestore delle chiavi esterne o alle relative chiavi crittografiche.

Oltre alla chiave esterna, una chiave KMS in un archivio delle chiavi esterne contiene anche il materiale della chiave di AWS KMS. Tutti i dati crittografati con la chiave KMS vengono prima crittografati in AWS KMS utilizzando il materiale della chiave di AWS KMS e quindi dal gestore delle chiavi esterne tramite la chiave esterna. Questo processo di doppia crittografia garantisce che il testo criptato protetto da una chiave KMS in un archivio delle chiavi esterne sia almeno altrettanto sicuro del testo criptato protetto solo da AWS KMS. Per informazioni dettagliate, vedi Funzionamento degli archivi delle chiavi esterne.

Quando l'operazione CreateKey ha esito positivo, lo stato chiave della nuova chiave KMS è Enabled. Quando visualizzi una chiave KMS in un archivio delle chiavi esterne puoi vedere proprietà tipiche, come l'ID, le specifiche della chiave, nonché l'utilizzo della chiave, lo stato della chiave e la data di creazione. Puoi inoltre visualizzare l'ID e lo stato di connessione dell'archivio delle chiavi esterne e l'ID della chiave esterna.

Se il tentativo di creare una chiave KMS nell'archivio delle chiavi esterne ha esito negativo, utilizza il messaggio di errore per determinarne la causa. Potrebbe indicare che l'archivio delle chiavi esterne non è connesso (CustomKeyStoreInvalidStateException), che il proxy dell'archivio delle chiavi esterne non è in grado di trovare una chiave esterna con l'ID della chiave esterna specificato (XksKeyNotFoundException) o che la chiave esterna è già associata a una chiave KMS nello stesso archivio con l'eccezione XksKeyAlreadyInUseException.

.

Per un esempio del log AWS CloudTrail dell'operazione che crea una chiave KMS in un archivio delle chiavi esterne, consulta CreateKey.

Requisiti per una chiave KMS in un archivio delle chiavi esterne

Per creare una chiave KMS in un archivio delle chiavi esterne, sono necessarie le seguenti proprietà dell'archivio delle chiavi esterne, della chiave KMS e della chiave esterna che funge da materiale della chiave crittografica esterna per la chiave KMS.

Requisiti dell'archivio delle chiavi esterne

Requisiti della chiave KMS

Dopo aver creato la chiave KMS, non puoi più modificare queste proprietà.

  • Specifica della chiave SYMMETRIC_DEFAULT

  • Utilizzo della chiave: ENCRYPT_DECRYPT

  • Origine del materiale della chiave: EXTERNAL_KEY_STORE

  • Multi regione: FALSE

Requisiti della chiave esterna

  • Chiave crittografica AES a 256 bit (256 bit casuali). Il valore di KeySpec per la chiave esterna deve essere AES_256.

  • Attivata e disponibile per l'uso. Il valore di Status per la chiave esterna deve essere ENABLED.

  • Configurata per la crittografia e la decrittografia. Il valore di KeyUsage per la chiave esterna deve includere ENCRYPT e DECRYPT.

  • Utilizzata solo con questa chiave KMS. Ciascuna KMS key in un archivio delle chiavi esterne deve essere associata a una chiave esterna diversa.

    AWS KMS consiglia inoltre di utilizzare la chiave esterna esclusivamente per l'archivio delle chiavi esterne. Questa restrizione semplifica l'identificazione e la risoluzione dei problemi relativi alla chiave.

  • Accessibile dal proxy dell'archivio delle chiavi esterne per l'archivio delle chiavi esterne.

    Se il proxy dell'archivio delle chiavi esterne non riesce a trovare la chiave utilizzando l'ID della chiave esterna specificato, l'operazione CreateKey ha esito negativo.

  • È in grado di gestire il traffico previsto generato dall'utilizzo degli Servizi AWS. AWS KMS consiglia di preparare le chiavi esterne per gestire fino a 1.800 richieste al secondo.

Creazione di una chiave KMS in un archivio delle chiavi esterne (console)

Esistono due modi per creare una chiave KMS in un archivio delle chiavi esterne.

  • Metodo 1 (consigliato): scegli un archivio di chiavi esterno e crea una chiave KMS all'interno dell'archivio di chiavi esterno.

  • Metodo 2: crea una chiave KMS e indica che si trova in un archivio di chiavi esterno.

Se utilizzi il metodo 1, con cui scegli l'archivio di chiavi esterno prima di creare la chiave, AWS KMS seleziona automaticamente tutte le proprietà della chiave KMS richieste e inserisce l'ID dell'archivio di chiavi esterno. Questo metodo evita errori che potrebbero verificarsi durante la creazione della chiave KMS.

Nota

Non includere informazioni riservate o sensibili nell'alias, nella descrizione o nei tag. Questi campi possono apparire in testo semplice nei CloudTrail log e in altri output.

Metodo 1 (consigliato): inizia dall'archivio di chiavi esterno

Per utilizzare questo metodo, scegli l'archivio delle chiavi esterne, quindi crea una chiave KMS. La console AWS KMS sceglie automaticamente tutte le proprietà richieste e inserisce l'ID dell'archivio delle chiavi esterne. Questo metodo evita molti errori che potrebbero verificarsi durante la creazione della chiave KMS.

  1. Accedi alla AWS Management Console e apri la console AWS Key Management Service (AWS KMS) all'indirizzo https://console.aws.amazon.com/kms.

  2. Per modificare la Regione AWS, utilizza il Selettore di regione nell'angolo in alto a destra della pagina.

  3. Nel pannello di navigazione, scegli Custom key stores (Archivi delle chiavi personalizzate), External key stores (Archivi delle chiavi esterne).

  4. Scegli il nome dell'archivio delle chiavi esterne.

  5. Nell'angolo in alto a destra, scegli Create a KMS key in this key store (Crea una chiave KMS in questo archivio delle chiavi).

    Se l'archivio delle chiavi esterne non è connesso, ti verrà richiesto di collegarlo. Se il tentativo di connessione fallisce, è necessario risolvere il problema e connettere l'archivio delle chiavi esterne prima di poter creare una nuova chiave KMS al suo interno.

    Se l'archivio delle chiavi esterne è connesso, verrai reindirizzato alla pagina Customer managed keys (Chiavi gestite dal cliente) per creare una chiave. I valori di Key configuration (Configurazione della chiave) richiesti sono già stati selezionati automaticamente. Inoltre, è già stato inserito l'ID dell'archivio delle chiavi personalizzate per l'archivio delle chiavi esterne, sebbene sia possibile modificarlo.

  6. Inserisci l'ID chiave di una chiave esterna nel gestore delle chiavi esterne. Questa chiave esterna deve soddisfare i requisiti per l'uso con una chiave KMS. Non puoi modificare questo valore dopo la creazione della chiave.

    Se la chiave esterna presenta più ID, inserisci l'ID chiave utilizzato dal proxy dell'archivio delle chiavi esterne per identificare la chiave esterna.

  7. Conferma che intendi creare una chiave KMS nell'archivio delle chiavi esterne specificato.

  8. Seleziona Avanti.

    Il resto di questa procedura è uguale alla creazione di una chiave KMS standard.

  9. Digita un alias (obbligatorio) e, facoltativamente, una descrizione della chiave KMS.

  10. (Facoltativo). Nella pagina Add Tags (Aggiungi tag), aggiungi i tag che identificano o categorizzano la chiave KMS.

    Quando aggiungi i tag alle risorse AWS, AWS genera un report di allocazione dei costi in cui l'utilizzo e i costi sono aggregati in base ai tag. I tag possono essere utilizzati anche per controllare l'accesso a una chiave KMS. Per informazioni sull'assegnazione di tag delle chiavi KMS, consulta Chiavi di tagging e ABAC per AWS KMS.

  11. Seleziona Next (Successivo).

  12. Nella sezione amministratori delle chiavi, seleziona utenti IAM e ruoli IAM che possono gestire la chiave KMS. Per ulteriori informazioni, consulta Consente agli amministratori delle chiavi di amministrare la chiave KMS.

    Nota

    Le policy IAM possono fornire ad altri ruoli e utenti IAM l'autorizzazione per utilizzare la chiave KMS.

    Le best practice di IAM disincentivano l'uso di utenti IAM con credenziali a lungo termine. Quando possibile, utilizza i ruoli IAM che forniscono credenziali temporanee. Per i dettagli, consulta la sezione Best practice di sicurezza in IAM nella Guida per l'utente IAM.

  13. (Facoltativo) Per impedire a questi amministratori delle chiavi di eliminare tale chiave KMS, deseleziona la casella di controllo Allow key administrators to delete this key. (Consenti agli amministratori delle chiavi di eliminare questa chiave).

    L'eliminazione di una chiave KMS è un'operazione distruttiva e irreversibile che può rendere il testo criptato irrecuperabile. Non puoi ricreare una chiave KMS simmetrica in un archivio delle chiavi esterne, anche se disponi del materiale della chiave. L'eliminazione di una chiave KMS non ha alcun effetto sulla chiave esterna associata. Per informazioni sull'eliminazione di una chiave KMS da un archivio delle chiavi esterne, consulta Pianificazione dell'eliminazione di chiavi KMS da un archivio delle chiavi esterne.

  14. Seleziona Avanti.

  15. Nella sezione Questo account, seleziona i ruoli e gli utenti IAM in questo Account AWS che possono utilizzare la chiave KMS nelle operazioni di crittografia. Per ulteriori informazioni, consulta Consente agli utenti della chiave di utilizzare la chiave KMS.

    Nota

    Le policy IAM possono fornire ad altri ruoli e utenti IAM l'autorizzazione per utilizzare la chiave KMS.

    Le best practice di IAM disincentivano l'uso di utenti IAM con credenziali a lungo termine. Quando possibile, utilizza i ruoli IAM che forniscono credenziali temporanee. Per i dettagli, consulta la sezione Best practice di sicurezza in IAM nella Guida per l'utente IAM.

  16. (Facoltativo) È possibile consentire ad altri Account AWS di utilizzare questa chiave KMS per operazioni di crittografia. A questo proposito, nella sezione Altri Account AWS, nella parte inferiore della pagina, scegli Aggiungi un altro Account AWS e inserisci l'ID Account AWS di un account esterno. Per aggiungere più account esterni, ripetere questo passaggio.

    Nota

    Anche gli amministratori degli altri Account AWS devono consentire l'accesso alla chiave KMS creando policy IAM per i propri utenti. Per ulteriori informazioni, consulta la pagina Autorizzazione per gli utenti in altri account di utilizzare una chiave KMS.

  17. Seleziona Next (Successivo).

  18. Esaminare le principali impostazioni scelte. È comunque possibile tornare indietro e modificare tutte le impostazioni.

  19. Al termine, scegli Crea filtro.

Mostra piùMostra meno

Metodo 2: inizia dalle chiavi gestite dal cliente

Questa procedura è identica alla procedura per creare una chiave crittografica simmetrica con il materiale della chiave di AWS KMS. Tuttavia, in questa procedura puoi specificare l'ID dell'archivio delle chiavi personalizzate dell'archivio delle chiavi esterne e l'ID chiave della chiave esterna. Puoi inoltre specificare i valori delle proprietà richiesti per una chiave KMS in un archivio delle chiavi esterne, come le specifiche e l'utilizzo della chiave.

  1. Accedi alla AWS Management Console e apri la console AWS Key Management Service (AWS KMS) all'indirizzo https://console.aws.amazon.com/kms.

  2. Per modificare la Regione AWS, utilizza il Selettore di regione nell'angolo in alto a destra della pagina.

  3. Nel riquadro di navigazione, scegli Chiavi gestite dal cliente.

  4. Scegliere Create key (Crea chiave).

  5. Scegliere Symmetric (Simmetrica).

  6. In Key usage (Utilizzo della chiave), l'opzione Encrypt and decrypt (Crittografa e decrittografa) è selezionata per default. Non modificarla.

  7. Scegliere Advanced options (Opzioni avanzate).

  8. In Key material origin (Origine del materiale della chiave), scegli External key store (Archivio delle chiavi esterne).

  9. Conferma che intendi creare una chiave KMS nell'archivio delle chiavi esterne specificato.

  10. Seleziona Avanti.

  11. Scegli la riga che rappresenta l'archivio delle chiavi esterne per la nuova chiave KMS.

    Non puoi scegliere un archivio delle chiavi esterne disconnesso. Per connettere un archivio delle chiavi disconnesso, scegli il nome dell'archivio, quindi in Key store actions (Operazioni per l'archivio delle chiavi), scegli Connect (Connetti). Per informazioni dettagliate, vedi Connessione di un archivio delle chiavi esterne (console).

  12. Inserisci l'ID chiave di una chiave esterna nel gestore delle chiavi esterne. Questa chiave esterna deve soddisfare i requisiti per l'uso con una chiave KMS. Non puoi modificare questo valore dopo la creazione della chiave.

    Se la chiave esterna presenta più ID, inserisci l'ID chiave utilizzato dal proxy dell'archivio delle chiavi esterne per identificare la chiave esterna.

  13. Seleziona Avanti.

    Il resto di questa procedura è uguale alla creazione di una chiave KMS standard.

  14. Digita un alias ed eventualmente una descrizione per la chiave KMS.

  15. (Facoltativo). Nella pagina Add Tags (Aggiungi tag), aggiungi i tag che identificano o categorizzano la chiave KMS.

    Quando aggiungi i tag alle risorse AWS, AWS genera un report di allocazione dei costi in cui l'utilizzo e i costi sono aggregati in base ai tag. I tag possono essere utilizzati anche per controllare l'accesso a una chiave KMS. Per informazioni sull'assegnazione di tag delle chiavi KMS, consulta Chiavi di tagging e ABAC per AWS KMS.

  16. Seleziona Next (Successivo).

  17. Nella sezione amministratori delle chiavi, seleziona utenti IAM e ruoli IAM che possono gestire la chiave KMS. Per ulteriori informazioni, consulta Consente agli amministratori delle chiavi di amministrare la chiave KMS.

    Nota

    Le policy IAM possono fornire ad altri ruoli e utenti IAM l'autorizzazione per utilizzare la chiave KMS.

  18. (Facoltativo) Per impedire a questi amministratori delle chiavi di eliminare tale chiave KMS, deseleziona la casella di controllo Allow key administrators to delete this key. (Consenti agli amministratori delle chiavi di eliminare questa chiave).

    L'eliminazione di una chiave KMS è un'operazione distruttiva e irreversibile che può rendere il testo criptato irrecuperabile. Non puoi ricreare una chiave KMS simmetrica in un archivio delle chiavi esterne, anche se disponi del materiale della chiave. L'eliminazione di una chiave KMS non ha alcun effetto sulla chiave esterna associata. Per informazioni sull'eliminazione di una chiave KMS da un archivio delle chiavi esterne, consulta Pianificazione dell'eliminazione di chiavi KMS da un archivio delle chiavi esterne.

  19. Seleziona Avanti.

  20. Nella sezione Questo account, seleziona i ruoli e gli utenti IAM in questo Account AWS che possono utilizzare la chiave KMS nelle operazioni di crittografia. Per ulteriori informazioni, consulta Consente agli utenti della chiave di utilizzare la chiave KMS.

    Nota

    Le policy IAM possono fornire ad altri ruoli e utenti IAM l'autorizzazione per utilizzare la chiave KMS.

  21. (Facoltativo) È possibile consentire ad altri Account AWS di utilizzare questa chiave KMS per operazioni di crittografia. A questo proposito, nella sezione Altri Account AWS, nella parte inferiore della pagina, scegli Aggiungi un altro Account AWS e inserisci l'ID Account AWS di un account esterno. Per aggiungere più account esterni, ripetere questo passaggio.

    Nota

    Anche gli amministratori degli altri Account AWS devono consentire l'accesso alla chiave KMS creando policy IAM per i propri utenti. Per ulteriori informazioni, consulta la pagina Autorizzazione per gli utenti in altri account di utilizzare una chiave KMS.

  22. Seleziona Next (Successivo).

  23. Esaminare le principali impostazioni scelte. È comunque possibile tornare indietro e modificare tutte le impostazioni.

  24. Al termine, scegli Crea filtro.

Mostra piùMostra meno

Quando la procedura riesce, la visualizzazione mostra la nuova chiave KMS nell'archivio delle chiavi esterne che hai scelto. Quando scegli il nome o l'alias della nuova chiave KMS, la scheda Cryptographic configuration (Configurazione crittografica) nella relativa pagina dei dettagli visualizza l'origine della chiave KMS (External key store [Archivio delle chiavi esterne]), il nome, l'ID e il tipo dell'archivio delle chiavi personalizzate, nonché l'ID, l'utilizzo della chiave e lo stato della chiave esterna. Se la procedura ha esito negativo, viene visualizzato un messaggio di errore che descrive l'errore. Per , consulta Risoluzione dei problemi relativi all'archivio delle chiavi esterne.

Suggerimento

Per agevolare l'identificazione delle chiavi KMS in un archivio delle chiavi personalizzate, nella pagina Customer managed keys (Chiavi gestite dal cliente), aggiungi il campo Origin (Origine) e la colonna Custom key store ID (ID dell'archivio chiavi personalizzate) alla visualizzazione. Per modificare i campi della tabella, scegli l'icona a forma di ingranaggio nell'angolo in alto a destra della pagina. Per informazioni dettagliate, vedi Personalizzazione delle tabelle delle chiavi KMS.

Creazione di una chiave KMS in un archivio delle chiavi esterne (API AWS KMS)

Per creare una nuova chiave KMS in un archivio di chiavi esterno, usa l'CreateKeyoperazione. I parametri seguenti sono obbligatori:

  • Il valore Origin deve essere EXTERNAL_KEY_STORE.

  • Il parametro CustomKeyStoreId identifica l'archivio delle chiavi esterne. Il valore di ConnectionState per l'archivio delle chiavi esterne specificato deve essere CONNECTED. Per trovare CustomKeyStoreId e ConnectionState, usa l'operazione DescribeCustomKeyStores.

  • Il parametro XksKeyId identifica la chiave esterna. Tale chiave deve soddisfare i requisiti per l'associazione a una chiave KMS.

Puoi inoltre utilizzare uno qualsiasi dei parametri facoltativi dell'operazione CreateKey, ad esempio Policy o i parametri Tags (Tag).

Nota

Non includere informazioni riservate o sensibili nei campi Description o Tags. Questi campi possono apparire in testo semplice nei CloudTrail log e in altri output.

Gli esempi in questa sezione utilizzano AWS Command Line Interface (AWS CLI), ma puoi usare anche qualsiasi linguaggio di programmazione supportato.

Questo comando di esempio utilizza l'CreateKeyoperazione per creare una chiave KMS in un archivio di chiavi esterno. La risposta include le proprietà delle chiavi KMS, l'ID dell'archivio delle chiavi esterne e l'ID, l'utilizzo e lo stato della chiave esterna. Per informazioni dettagliate su questi campi, consulta Visualizzazione delle chiavi KMS in un archivio delle chiavi esterne.

Prima di eseguire questo comando, sostituisci l'ID store chiavi personalizzate di esempio con un ID valido.

$ aws kms create-key --origin EXTERNAL_KEY_STORE --custom-key-store-id cks-1234567890abcdef0 --xks-key-id bb8562717f809024
{
  "KeyMetadata": {
    "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "AWSAccountId": "111122223333",
    "CreationDate": "2022-12-02T07:48:55-07:00",
    "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
    "CustomKeyStoreId": "cks-1234567890abcdef0",
    "Description": "",
    "Enabled": true,
    "EncryptionAlgorithms": [
      "SYMMETRIC_DEFAULT"
    ],
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyManager": "CUSTOMER",
    "KeySpec": "SYMMETRIC_DEFAULT",
    "KeyState": "Enabled",
    "KeyUsage": "ENCRYPT_DECRYPT",
    "MultiRegion": false,
    "Origin": "EXTERNAL_KEY_STORE",
    "XksKeyConfiguration": {
      "Id": "bb8562717f809024"
    }
  }
}