Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Generazione di chiavi dati
<a name="data-keys"></a>

Le *chiavi di dati* sono chiavi simmetriche che possono essere usate per crittografare i dati, incluse grandi quantità di dati e altre chiavi crittografiche dati. A differenza delle chiavi KMS simmetriche, che non possono essere scaricate, le chiavi dati ti vengono restituite per essere utilizzate all'esterno di. AWS KMS

Quando AWS KMS genera chiavi dati, restituisce una chiave dati in testo semplice per l'uso immediato (opzionale) e una copia crittografata della chiave dati che puoi archiviare in sicurezza con i dati. Quando sei pronto per decrittografare i dati, chiedi innanzitutto di AWS KMS decrittografare la chiave dati crittografata. 

AWS KMS genera, crittografa e decrittografa le chiavi di dati. Tuttavia, AWS KMS non archivia, gestisce o tiene traccia delle chiavi dati né esegue operazioni crittografiche con le chiavi dati. È necessario utilizzare e gestire le chiavi dati all'esterno di AWS KMS. Per informazioni sull'utilizzo sicuro delle chiavi dati, consulta [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/).

**Topics**
+ [

## Crea una chiave di chiavi
](#data-keys-create)
+ [

## Come funzionano le operazioni crittografiche con chiavi dati
](#use-data-keys)
+ [

# In che modo le chiavi KMS inutilizzabili influiscono sulle chiavi dati
](unusable-kms-keys.md)

## Crea una chiave di chiavi
<a name="data-keys-create"></a>

Per creare una chiave dati, richiama l'[GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)operazione. AWS KMS genera la chiave dati. Quindi crittografa una copia della chiave di dati con una [chiave KMS di crittografia simmetrica](symm-asymm-choose-key-spec.md#symmetric-cmks) da te specificata. L'operazione restituisce una copia in testo normale e un'altra copia della chiave dati crittografata con la chiave KMS. L'immagine seguente mostra questa operazione.

![\[Generazione di una chiave di dati\]](http://docs.aws.amazon.com/it_it/kms/latest/developerguide/images/generate-data-key.png)


AWS KMS supporta anche l'[GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)operazione, che restituisce solo una chiave dati crittografata. Quando devi usare la chiave dati, chiedi di AWS KMS [decrittografarla](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html).

## Come funzionano le operazioni crittografiche con chiavi dati
<a name="use-data-keys"></a>

I seguenti argomenti spiegano come funzionano le chiavi dati generate da un'[GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)operazione [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)or.

### Crittografia dei dati con una chiave di dati
<a name="data-keys-encrypt"></a>

AWS KMS non può utilizzare una chiave dati per crittografare i dati. Ma puoi usare la chiave dati all'esterno AWS KMS, ad esempio usando OpenSSL o una libreria crittografica come la. [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/)

Dopo aver utilizzato la chiave di dati in testo normale per crittografare i dati, eliminarla dalla memoria il prima possibile. È possibile archiviare la chiave di dati crittografati con i dati crittografati in totale sicurezza, in modo che sia disponibile per decrittografare i dati.

![\[Crittografa i dati degli utenti all'esterno di AWS KMS\]](http://docs.aws.amazon.com/it_it/kms/latest/developerguide/images/encrypt-with-data-key.png)


### Decrittografare i dati con una chiave di dati
<a name="data-keys-decrypt"></a>

[Per decrittografare i dati, passa la chiave dei dati crittografati all'operazione Decrypt.](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) AWS KMS utilizza la chiave KMS per decrittografare la chiave dati e quindi restituisce la chiave dati in testo semplice. Utilizza la chiave di dati in testo normale per decrittografare i dati, quindi rimuovi la chiave di dati in testo normale dalla memoria al più presto.

Il seguente diagramma illustra come utilizzare l'operazione `Decrypt` per decrittografare una chiave di dati crittografati.

![\[Decrittografia di una chiave di dati\]](http://docs.aws.amazon.com/it_it/kms/latest/developerguide/images/decrypt.png)


# In che modo le chiavi KMS inutilizzabili influiscono sulle chiavi dati
<a name="unusable-kms-keys"></a>

Quando una chiave KMS diventa inutilizzabile, l'effetto è quasi immediato (in base alla coerenza finale). Lo [stato](key-state.md) della chiave KMS si modifica per riflettere la nuova condizione e tutte le richieste di utilizzo della chiave KMS nelle [operazioni di crittografia](kms-cryptography.md#cryptographic-operations) hanno esito negativo.

Tuttavia, l'effetto sulle chiavi di dati crittografate dalla chiave KMS e sui dati crittografati dalla chiave dati viene ritardato fino a quando la chiave KMS non viene nuovamente utilizzata, ad esempio per decrittografare la chiave dati.

Le chiavi KMS possono diventare inutilizzabili per diversi motivi, incluse le azioni seguenti che è possibile eseguire.
+ [Disattivazione della chiave KMS](enabling-keys.md)
+ [Pianificazione dell'eliminazione della chiave KMS](deleting-keys.md)
+ [Eliminazione del materiale della chiave](importing-keys-delete-key-material.md) da una chiave KMS con materiale della chiave importato o scadenza del materiale della chiave importato. Se a una chiave KMS con `EXTERNAL` origine sono associati più materiali chiave, l'eliminazione o la scadenza di qualsiasi materiale chiave renderà la chiave inutilizzabile.
+ [Disconnessione dell'archivio AWS CloudHSM chiavi](disconnect-keystore.md) che ospita la chiave KMS o [eliminazione della chiave dal AWS CloudHSM cluster che funge da materiale chiave per la](fix-keystore.md#fix-cmk-failed) chiave KMS.
+ [Disconnessione dell'archivio delle chiavi esterne](about-xks-disconnecting.md) che ospita la chiave KMS o qualsiasi altra azione che interferisca con le richieste di crittografia e decrittografia al proxy, inclusa l'eliminazione della chiave esterna dal relativo gestore delle chiavi esterne.

Questo effetto è particolarmente importante per i molti Servizi AWS che utilizzano le chiavi di dati per proteggere le risorse gestite dal servizio. L'esempio seguente utilizza Amazon Elastic Block Store (Amazon EBS) e Amazon Elastic Compute Cloud EC2 (Amazon). Le chiavi dati vengono Servizi AWS utilizzate in modi diversi. Per maggiori dettagli, consulta la sezione Protezione dei dati del capitolo Sicurezza per il Servizio AWS.

Considera ad esempio questo scenario:

1. Puoi [creare un volume EBS crittografato](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-creating-volume.html) e specificare una chiave KMS per proteggerlo. Amazon EBS chiede a AWS KMS di utilizzare la chiave KMS per [generare una chiave dati crittografata](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html) per il volume. Amazon EBS archivia la chiave dati crittografata con i metadati del volume.

1. Quando colleghi il volume EBS a un' EC2 istanza, Amazon EC2 usa la tua chiave KMS per decrittografare la chiave dati crittografata del volume EBS. Amazon EC2 utilizza la chiave dati nell'hardware Nitro, che è responsabile della crittografia di tutto il disco sul volume I/O EBS. La chiave dati persiste nell'hardware Nitro mentre il volume EBS è collegato all'istanza. EC2 

1. Esegui un'operazione in grado di rendere la chiave KMS inutilizzabile. Ciò non ha alcun effetto immediato sull' EC2 istanza o sul volume EBS. Amazon EC2 utilizza la chiave dati, non la chiave KMS, per crittografare tutto il disco I/O mentre il volume è collegato all'istanza.

1. Tuttavia, quando il volume EBS crittografato viene scollegato dall' EC2 istanza, Amazon EBS rimuove la chiave dati dall'hardware Nitro. La prossima volta che il volume EBS crittografato viene collegato a un' EC2 istanza, l'allegato non riesce perché Amazon EBS non può utilizzare la chiave KMS per decrittografare la chiave dati crittografata del volume. Per utilizzare di nuovo il volume EBS, devi rendere utilizzabile la chiave KMS.