Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Crea una chiave KMS in archivi di chiavi esterni
Dopo aver [creato](create-xks-keystore.md) e [collegato](xks-connect-disconnect.md) l'archivio chiavi esterno, puoi crearlo AWS KMS keys nel tuo archivio chiavi. Devono essere [chiavi KMS con crittografia simmetrica](symm-asymm-choose-key-spec.md#symmetric-cmks) con un valore di origine impostato su **External key store** (Archivio delle chiavi esterne) (`EXTERNAL_KEY_STORE`). Non è possibile creare [chiavi KMS asimmetriche](symmetric-asymmetric.md), [chiavi KMS HMAC](hmac.md) o chiavi KMS con [materiale della chiave importato](importing-keys.md) in un archivio delle chiavi personalizzate. Inoltre, non è possibile utilizzare chiavi KMS di crittografia simmetrica in un archivio delle chiavi personalizzate per generare coppie di chiavi di dati asimmetriche.
Una chiave KMS in un archivio delle chiavi esterne potrebbe avere una latenza, una durata e una disponibilità inferiori rispetto a una chiave KMS standard, perché dipende da componenti situati al di fuori di AWS. Prima di creare o utilizzare una chiave KMS in un archivio delle chiavi esterne, verifica che sia necessaria una chiave con proprietà di archivio delle chiavi esterne.
**Nota**
Alcuni gestori delle chiavi esterne offrono un metodo più semplice per creare chiavi KMS in un archivio delle chiavi esterne. Per ulteriori informazioni, consulta la documentazione del gestore delle chiavi esterne.
Per creare una chiave KMS nell'archivio delle chiavi esterne, devi specificare quanto segue:
+ L'ID dell'archivio delle chiavi esterne.
+ Un'[origine del materiale della chiave](create-keys.md#key-origin) con valore External key store (Archivio delle chiavi esterne) (`EXTERNAL_KEY_STORE`).
+ L'ID di una [chiave esterna](keystore-external.md#concept-external-key) esistente nel [gestore delle chiavi esterne](keystore-external.md#concept-ekm) associato all'archivio delle chiavi esterne. Questa chiave esterna funge da materiale della chiave per la chiave KMS. Non puoi modificare l'ID della chiave esterna dopo aver creato la chiave KMS.
AWS KMS fornisce l'ID della chiave esterna al proxy dell'archivio chiavi esterno nelle richieste di operazioni di crittografia e decrittografia. AWS KMS non può accedere direttamente al gestore di chiavi esterno o a nessuna delle sue chiavi crittografiche.
Oltre alla chiave esterna, una chiave KMS in un archivio di chiavi esterno contiene anche materiale AWS KMS chiave. Tutti i dati crittografati con la chiave KMS vengono prima crittografati AWS KMS utilizzando il materiale chiave della AWS KMS chiave e poi dal gestore delle chiavi esterno utilizzando la chiave esterna. Questo processo di [doppia crittografia](keystore-external.md#concept-double-encryption) garantisce che il testo criptato protetto da una chiave KMS in un archivio delle chiavi esterne sia almeno altrettanto sicuro del testo criptato protetto solo da AWS KMS. Per informazioni dettagliate, vedi [Funzionamento degli archivi delle chiavi esterne](keystore-external.md#xks-how-it-works).
Quando l'operazione `CreateKey` ha esito positivo, lo [stato chiave](key-state.md) della nuova chiave KMS è `Enabled`. Quando [visualizzi una chiave KMS in un archivio delle chiavi esterne](identify-key-types.md#view-xks-key) puoi vedere proprietà tipiche, come l'ID, le [specifiche della chiave](create-keys.md#key-spec), nonché [l'utilizzo della chiave](create-keys.md#key-usage), [lo stato della chiave](key-state.md) e la data di creazione. Puoi inoltre visualizzare l'ID e lo [stato di connessione](xks-connect-disconnect.md#xks-connection-state) dell'archivio delle chiavi esterne e l'ID della chiave esterna.
Se il tentativo di creare una chiave KMS nell'archivio delle chiavi esterne ha esito negativo, utilizza il messaggio di errore per determinarne la causa. Potrebbe indicare che l'archivio delle chiavi esterne non è connesso (`CustomKeyStoreInvalidStateException`), che il proxy dell'archivio delle chiavi esterne non è in grado di trovare una chiave esterna con l'ID della chiave esterna specificato (`XksKeyNotFoundException`) o che la chiave esterna è già associata a una chiave KMS nello stesso archivio con l'eccezione `XksKeyAlreadyInUseException`.
Per un esempio del AWS CloudTrail registro dell'operazione che crea una chiave KMS in un archivio di chiavi esterno, vedi. [CreateKey](ct-createkey.md)
**Topics**
+ [Requisiti per una chiave KMS in un archivio delle chiavi esterne](#xks-key-requirements)
+ [Crea una nuova chiave KMS nel tuo archivio di chiavi esterno](#create-key-xks)
## Requisiti per una chiave KMS in un archivio delle chiavi esterne
Per creare una chiave KMS in un archivio delle chiavi esterne, sono necessarie le seguenti proprietà dell'archivio delle chiavi esterne, della chiave KMS e della chiave esterna che funge da materiale della chiave crittografica esterna per la chiave KMS.
**Requisiti dell'archivio delle chiavi esterne**
+ Deve essere collegato al relativo proxy dell'archivio delle chiavi esterne.
Per visualizzare lo [stato di connessione](xks-connect-disconnect.md#xks-connection-state) dell'archivio delle chiavi esterne, consulta [Visualizza gli archivi di chiavi esterni](view-xks-keystore.md). Per connettere l'archivio delle chiavi esterne, consulta [Connect e disconnetti gli archivi di chiavi esterni](xks-connect-disconnect.md).
**Requisiti della chiave KMS**
Dopo aver creato la chiave KMS, non puoi più modificare queste proprietà.
+ Specifica della chiave SYMMETRIC\$1DEFAULT
+ Utilizzo della chiave: ENCRYPT\$1DECRYPT
+ Origine del materiale della chiave: EXTERNAL\$1KEY\$1STORE
+ Multi regione: FALSE
**Requisiti della chiave esterna**
+ Chiave crittografica AES a 256 bit (256 bit casuali). Il valore di `KeySpec` per la chiave esterna deve essere `AES_256`.
+ Attivata e disponibile per l'uso. Il valore di `Status` per la chiave esterna deve essere `ENABLED`.
+ Configurata per la crittografia e la decrittografia. Il valore di `KeyUsage` per la chiave esterna deve includere `ENCRYPT` e `DECRYPT`.
+ Utilizzata solo con questa chiave KMS. Ciascuna `KMS key` in un archivio delle chiavi esterne deve essere associata a una chiave esterna diversa.
AWS KMS consiglia inoltre di utilizzare la chiave esterna esclusivamente per l'archivio di chiavi esterno. Questa restrizione semplifica l'identificazione e la risoluzione dei problemi relativi alla chiave.
+ Accessibile dal [proxy dell'archivio delle chiavi esterne](keystore-external.md#concept-xks-proxy) per l'archivio delle chiavi esterne.
Se il proxy dell'archivio delle chiavi esterne non riesce a trovare la chiave utilizzando l'ID della chiave esterna specificato, l'operazione `CreateKey` ha esito negativo.
+ È in grado di gestire il traffico previsto Servizi AWS generato dall'utilizzo. AWS KMS consiglia di predisporre chiavi esterne per gestire fino a 1800 richieste al secondo.
## Crea una nuova chiave KMS nel tuo archivio di chiavi esterno
Puoi creare una nuova chiave KMS nel tuo archivio chiavi esterno nella AWS KMS console o utilizzando l'[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operazione.
### Utilizzo della console AWS KMS
Esistono due modi per creare una chiave KMS in un archivio delle chiavi esterne.
+ Metodo 1 (consigliato): scegli un archivio di chiavi esterno e crea una chiave KMS all'interno dell'archivio di chiavi esterno.
+ Metodo 2: crea una chiave KMS e indica che si trova in un archivio di chiavi esterno.
Se utilizzi il Metodo 1, in cui scegli il tuo archivio di chiavi esterno prima di creare la chiave, AWS KMS sceglie automaticamente tutte le proprietà della chiave KMS richieste e inserisce l'ID del tuo archivio di chiavi esterno. Questo metodo evita errori che potrebbero verificarsi durante la creazione della chiave KMS.
**Nota**
Non includere informazioni riservate o sensibili nell'alias, nella descrizione o nei tag. Questi campi possono apparire in testo semplice nei CloudTrail log e in altri output.
**Metodo 1 (consigliato): inizia dall'archivio di chiavi esterno**
Per utilizzare questo metodo, scegli l'archivio delle chiavi esterne, quindi crea una chiave KMS. La AWS KMS console sceglie per te tutte le proprietà richieste e inserisce l'ID del tuo archivio di chiavi esterno. Questo metodo evita molti errori che potrebbero verificarsi durante la creazione della chiave KMS.
1. [Accedi a Console di gestione AWS e apri la console AWS Key Management Service (AWS KMS) in /kms. https://console.aws.amazon.com](https://console.aws.amazon.com/kms)
1. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.
1. Nel pannello di navigazione, scegli **Custom key stores** (Archivi delle chiavi personalizzate), **External key stores** (Archivi delle chiavi esterne).
1. Scegli il nome dell'archivio delle chiavi esterne.
1. Nell'angolo in alto a destra, scegli **Create a KMS key in this key store** (Crea una chiave KMS in questo archivio delle chiavi).
Se l'archivio delle chiavi esterne *non* è connesso, ti verrà richiesto di collegarlo. Se il tentativo di connessione fallisce, è necessario risolvere il problema e connettere l'archivio delle chiavi esterne prima di poter creare una nuova chiave KMS al suo interno.
Se l'archivio delle chiavi esterne è connesso, verrai reindirizzato alla pagina **Customer managed keys** (Chiavi gestite dal cliente) per creare una chiave. I valori di **Key configuration** (Configurazione della chiave) richiesti sono già stati selezionati automaticamente. Inoltre, è già stato inserito l'ID dell'archivio delle chiavi personalizzate per l'archivio delle chiavi esterne, sebbene sia possibile modificarlo.
1. Inserisci l'ID chiave di una [chiave esterna](keystore-external.md#concept-external-key) nel [gestore delle chiavi esterne](keystore-external.md#concept-ekm). Questa chiave esterna deve [soddisfare i requisiti](#xks-key-requirements) per l'uso con una chiave KMS. Non puoi modificare questo valore dopo la creazione della chiave.
Se la chiave esterna è multipla IDs, inserisci l'ID della chiave utilizzato dal proxy dell'archivio chiavi esterno per identificare la chiave esterna.
1. Conferma che intendi creare una chiave KMS nell'archivio delle chiavi esterne specificato.
1. Scegli **Next (Successivo)**.
Il resto di questa procedura è uguale alla [creazione di una chiave KMS standard](create-keys.md).
1. Digita un alias (obbligatorio) e, facoltativamente, una descrizione della chiave KMS.
1. (Facoltativo). Nella pagina **Add Tags** (Aggiungi tag), aggiungi i tag che identificano o categorizzano la chiave KMS.
Quando aggiungi tag alle tue AWS risorse, AWS genera un rapporto sull'allocazione dei costi con utilizzo e costi aggregati per tag. I tag possono essere utilizzati anche per controllare l'accesso a una chiave KMS. Per informazioni sull'assegnazione di tag delle chiavi KMS, consulta [Tag in AWS KMS](tagging-keys.md) e [ABAC per AWS KMS](abac.md).
1. Scegli **Next (Successivo)**.
1. Nella sezione **amministratori delle chiavi**, seleziona utenti IAM e ruoli IAM che possono gestire la chiave KMS. Per ulteriori informazioni, consulta [Consente agli amministratori delle chiavi di amministrare la chiave KMS](key-policy-default.md#key-policy-default-allow-administrators).
**Nota**
Le policy IAM possono fornire ad altri ruoli e utenti IAM l'autorizzazione per utilizzare la chiave KMS.
Le best practice di IAM disincentivano l'uso di utenti IAM con credenziali a lungo termine. Quando possibile, utilizza i ruoli IAM che forniscono credenziali temporanee. Per i dettagli, consulta la sezione [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l'utente IAM*.
1. (Facoltativo) Per impedire a questi amministratori delle chiavi di eliminare tale chiave KMS, deseleziona la casella di controllo **Allow key administrators to delete this key.** (Consenti agli amministratori delle chiavi di eliminare questa chiave).
L'eliminazione di una chiave KMS è un'operazione distruttiva e irreversibile che può rendere il testo criptato irrecuperabile. Non puoi ricreare una chiave KMS simmetrica in un archivio delle chiavi esterne, anche se disponi del materiale della chiave. L'eliminazione di una chiave KMS non ha alcun effetto sulla chiave esterna associata. Per informazioni sull'eliminazione di una chiave KMS da un archivio di chiavi esterno, consulta [Considerazioni speciali](deleting-keys.md#special-considerations-delete) per l'eliminazione delle chiavi.
1. Scegli **Next (Successivo)**.
1. [Nella sezione **Questo account**, seleziona gli utenti e i ruoli IAM Account AWS che possono utilizzare la chiave KMS nelle operazioni crittografiche.](kms-cryptography.md#cryptographic-operations) Per ulteriori informazioni, consulta [Consente agli utenti della chiave di utilizzare la chiave KMS](key-policy-default.md#key-policy-default-allow-users).
**Nota**
Le policy IAM possono fornire ad altri ruoli e utenti IAM l'autorizzazione per utilizzare la chiave KMS.
Le best practice di IAM disincentivano l'uso di utenti IAM con credenziali a lungo termine. Quando possibile, utilizza i ruoli IAM che forniscono credenziali temporanee. Per i dettagli, consulta la sezione [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l'utente IAM*.
1. (Facoltativo) Puoi consentire ad altri di Account AWS utilizzare questa chiave KMS per operazioni crittografiche. A tale scopo, nella Account AWS sezione **Altro** in fondo alla pagina, scegli **Aggiungi un altro** account Account AWS e inserisci l' Account AWS ID di un account esterno. Per aggiungere più account esterni, ripetere questo passaggio.
**Nota**
Gli amministratori dell'altro Account AWS devono inoltre consentire l'accesso alla chiave KMS creando policy IAM per i propri utenti. Per ulteriori informazioni, consulta [Autorizzazione per gli utenti in altri account di utilizzare una chiave KMS](key-policy-modifying-external-accounts.md).
1. Seleziona **Next (Successivo)**.
1. Esaminare le principali impostazioni scelte. È comunque possibile tornare indietro e modificare tutte le impostazioni.
1. Al termine, scegli **Crea filtro**.
**Metodo 2: inizia dalle chiavi gestite dal cliente**
Questa procedura è la stessa di quella per creare una chiave di crittografia simmetrica con materiale chiave. AWS KMS Tuttavia, in questa procedura puoi specificare l'ID dell'archivio delle chiavi personalizzate dell'archivio delle chiavi esterne e l'ID chiave della chiave esterna. Puoi inoltre specificare i [valori delle proprietà richiesti](#xks-key-requirements) per una chiave KMS in un archivio delle chiavi esterne, come le specifiche e l'utilizzo della chiave.
1. [Accedi a Console di gestione AWS e apri la console AWS Key Management Service (AWS KMS) su https://console.aws.amazon.com /kms.](https://console.aws.amazon.com/kms)
1. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.
1. Nel riquadro di navigazione, scegli **Chiavi gestite dal cliente**.
1. Scegli **Crea chiave**.
1. Scegliere **Symmetric (Simmetrica)**.
1. In **Key usage** (Utilizzo della chiave), l'opzione **Encrypt and decrypt** (Crittografa e decrittografa) è selezionata per default. Non modificarla.
1. Scegliere **Advanced options (Opzioni avanzate)**.
1. In **Key material origin** (Origine del materiale della chiave), scegli **External key store** (Archivio delle chiavi esterne).
1. Conferma che intendi creare una chiave KMS nell'archivio delle chiavi esterne specificato.
1. Scegli **Next (Successivo)**.
1. Scegli la riga che rappresenta l'archivio delle chiavi esterne per la nuova chiave KMS.
Non puoi scegliere un archivio delle chiavi esterne disconnesso. Per connettere un archivio delle chiavi disconnesso, scegli il nome dell'archivio, quindi in **Key store actions** (Operazioni per l'archivio delle chiavi), scegli **Connect** (Connetti). Per informazioni dettagliate, vedi [Utilizzo della console AWS KMS](about-xks-connecting.md#connect-xks-console).
1. Inserisci l'ID chiave di una [chiave esterna](keystore-external.md#concept-external-key) nel [gestore delle chiavi esterne](keystore-external.md#concept-ekm). Questa chiave esterna deve [soddisfare i requisiti](#xks-key-requirements) per l'uso con una chiave KMS. Non puoi modificare questo valore dopo la creazione della chiave.
Se la chiave esterna è multipla IDs, inserisci l'ID della chiave utilizzato dal proxy dell'archivio chiavi esterno per identificare la chiave esterna.
1. Scegli **Next (Successivo)**.
Il resto di questa procedura è uguale alla [creazione di una chiave KMS standard](create-keys.md).
1. Digita un alias ed eventualmente una descrizione per la chiave KMS.
1. (Facoltativo). Nella pagina **Add Tags** (Aggiungi tag), aggiungi i tag che identificano o categorizzano la chiave KMS.
Quando aggiungi tag alle tue AWS risorse, AWS genera un rapporto sull'allocazione dei costi con utilizzo e costi aggregati per tag. I tag possono essere utilizzati anche per controllare l'accesso a una chiave KMS. Per informazioni sull'assegnazione di tag delle chiavi KMS, consulta [Tag in AWS KMS](tagging-keys.md) e [ABAC per AWS KMS](abac.md).
1. Scegli **Next (Successivo)**.
1. Nella sezione **amministratori delle chiavi**, seleziona utenti IAM e ruoli IAM che possono gestire la chiave KMS. Per ulteriori informazioni, consulta [Consente agli amministratori delle chiavi di amministrare la chiave KMS](key-policy-default.md#key-policy-default-allow-administrators).
**Nota**
Le policy IAM possono fornire ad altri ruoli e utenti IAM l'autorizzazione per utilizzare la chiave KMS.
1. (Facoltativo) Per impedire a questi amministratori delle chiavi di eliminare tale chiave KMS, deseleziona la casella di controllo **Allow key administrators to delete this key.** (Consenti agli amministratori delle chiavi di eliminare questa chiave).
L'eliminazione di una chiave KMS è un'operazione distruttiva e irreversibile che può rendere il testo criptato irrecuperabile. Non puoi ricreare una chiave KMS simmetrica in un archivio delle chiavi esterne, anche se disponi del materiale della chiave. L'eliminazione di una chiave KMS non ha alcun effetto sulla chiave esterna associata. Per informazioni sull'eliminazione di una chiave KMS da un archivio delle chiavi esterne, consulta [Eliminare un AWS KMS key](deleting-keys.md).
1. Scegli **Next (Successivo)**.
1. [Nella sezione **Questo account**, seleziona gli utenti e i ruoli IAM in grado di utilizzare la chiave KMS nelle operazioni crittografiche. Account AWS](kms-cryptography.md#cryptographic-operations) Per ulteriori informazioni, consulta [Consente agli utenti della chiave di utilizzare la chiave KMS](key-policy-default.md#key-policy-default-allow-users).
**Nota**
Le policy IAM possono fornire ad altri ruoli e utenti IAM l'autorizzazione per utilizzare la chiave KMS.
1. (Facoltativo) Puoi consentire ad altri di Account AWS utilizzare questa chiave KMS per operazioni crittografiche. A tale scopo, nella Account AWS sezione **Altro** in fondo alla pagina, scegli **Aggiungi un altro** account Account AWS e inserisci l' Account AWS ID di un account esterno. Per aggiungere più account esterni, ripetere questo passaggio.
**Nota**
Gli amministratori dell'altro Account AWS devono inoltre consentire l'accesso alla chiave KMS creando policy IAM per i propri utenti. Per ulteriori informazioni, consulta [Autorizzazione per gli utenti in altri account di utilizzare una chiave KMS](key-policy-modifying-external-accounts.md).
1. Seleziona **Next (Successivo)**.
1. Esaminare le principali impostazioni scelte. È comunque possibile tornare indietro e modificare tutte le impostazioni.
1. Al termine, scegli **Crea filtro**.
Quando la procedura riesce, la visualizzazione mostra la nuova chiave KMS nell'archivio delle chiavi esterne che hai scelto. Quando scegli il nome o l'alias della nuova chiave KMS, la scheda **Cryptographic configuration** (Configurazione crittografica) nella relativa pagina dei dettagli visualizza l'origine della chiave KMS (**External key store** [Archivio delle chiavi esterne]), il nome, l'ID e il tipo dell'archivio delle chiavi personalizzate, nonché l'ID, l'utilizzo della chiave e lo stato della chiave esterna. Se la procedura ha esito negativo, viene visualizzato un messaggio di errore che descrive l'errore. Per , consulta [Risoluzione dei problemi relativi all'archivio delle chiavi esterne](xks-troubleshooting.md).
**Suggerimento**
Per agevolare l'identificazione delle chiavi KMS in un archivio delle chiavi personalizzate, nella pagina **Customer managed keys** (Chiavi gestite dal cliente), aggiungi il campo **Origin** (Origine) e la colonna **Custom key store ID** (ID dell'archivio chiavi personalizzate) alla visualizzazione. Per modificare i campi della tabella, scegli l'icona a forma di ingranaggio nell'angolo in alto a destra della pagina. Per informazioni dettagliate, vedi [Personalizza la visualizzazione della console](viewing-console-customize.md).
### Utilizzo dell'API AWS KMS
Per creare una nuova chiave KMS in un archivio di chiavi esterno, usa l'[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operazione. I parametri seguenti sono obbligatori:
+ Il valore `Origin` deve essere `EXTERNAL_KEY_STORE`.
+ Il parametro `CustomKeyStoreId` identifica l'archivio delle chiavi esterne. Il valore di [`ConnectionState`](xks-connect-disconnect.md#xks-connection-state) per l'archivio delle chiavi esterne specificato deve essere `CONNECTED`. Per trovare `CustomKeyStoreId` e `ConnectionState`, usa l'operazione `DescribeCustomKeyStores`.
+ Il parametro `XksKeyId` identifica la chiave esterna. Tale chiave deve [soddisfare i requisiti](#xks-key-requirements) per l'associazione a una chiave KMS.
Puoi inoltre utilizzare uno qualsiasi dei parametri facoltativi dell'operazione `CreateKey`, ad esempio `Policy` o i parametri [Tags](https://docs.aws.amazon.com/kms/latest/APIReference/API_TagResource.html) (Tag).
**Nota**
Non includere informazioni riservate o sensibili nei campi `Description` o `Tags`. Questi campi possono apparire in testo semplice nei CloudTrail log e in altri output.
Gli esempi in questa sezione utilizzano [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), ma puoi usare anche qualsiasi linguaggio di programmazione supportato.
Questo comando di esempio utilizza l'[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operazione per creare una chiave KMS in un archivio di chiavi esterno. La risposta include le proprietà delle chiavi KMS, l'ID dell'archivio delle chiavi esterne e l'ID, l'utilizzo e lo stato della chiave esterna.
Prima di eseguire questo comando, sostituisci l'ID store chiavi personalizzate di esempio con un ID valido.
```
$ aws kms create-key --origin EXTERNAL_KEY_STORE --custom-key-store-id cks-1234567890abcdef0 --xks-key-id bb8562717f809024
{
"KeyMetadata": {
"Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"AWSAccountId": "111122223333",
"CreationDate": "2022-12-02T07:48:55-07:00",
"CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
"CustomKeyStoreId": "cks-1234567890abcdef0",
"Description": "",
"Enabled": true,
"EncryptionAlgorithms": [
"SYMMETRIC_DEFAULT"
],
"KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"KeyManager": "CUSTOMER",
"KeySpec": "SYMMETRIC_DEFAULT",
"KeyState": "Enabled",
"KeyUsage": "ENCRYPT_DECRYPT",
"MultiRegion": false,
"Origin": "EXTERNAL_KEY_STORE",
"XksKeyConfiguration": {
"Id": "bb8562717f809024"
}
}
}
```