Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Eliminare un AWS KMS key
<a name="deleting-keys"></a>

L'eliminazione di un AWS KMS key è distruttiva e potenzialmente pericolosa. Infatti, elimina il materiale della chiave e tutti i metadati associati alla chiave KMS ed è irreversibile. Dopo l'eliminazione di una chiave KMS, non è più possibile decrittare i dati crittografati usando tale chiave KMS, che quindi non possono più essere recuperati. (Le uniche eccezioni sono rappresentate da [chiavi di replica multi-regione](#deleting-mrks) e chiavi KMS asimmetriche e HMAC con materiale della chiave importato.) Questo rischio è significativo per le [chiavi KMS asimmetriche utilizzate per la crittografia](#deleting-asymmetric-cmks) in cui, senza preavviso o errore, gli utenti possono continuare a generare testi cifrati con la chiave pubblica che non possono essere decrittografati dopo l'eliminazione della chiave privata. AWS KMS

Dovresti eliminare una chiave KMS solo quando hai la certezza di non doverla più utilizzare. In caso di dubbio, valuta la possibilità di [disabilitare la chiave KMS](enabling-keys.md) invece di eliminarla. Puoi riabilitare una chiave KMS disabilitata e [annullare l'eliminazione pianificata](deleting-keys-scheduling-key-deletion.md) di una chiave KMS, ma non puoi recuperare una chiave KMS eliminata.

È possibile solamente pianificare l'eliminazione di una chiave gestita dal cliente. Chiavi gestite da AWS Non Chiavi di proprietà di AWSè possibile eliminare o.

Prima di eliminare una chiave KMS, potresti voler sapere quanti testi cifrati sono stati crittografati con quella chiave KMS. AWS KMS non memorizza queste informazioni e non memorizza nessuno dei testi cifrati. Per ottenere queste informazioni, devi determinare l'utilizzo passato di una chiave KMS. Per assistenza, vai a [Determina l'utilizzo passato di una chiave KMS](deleting-keys-determining-usage.md).

AWS KMS non elimina mai le chiavi KMS a meno che non ne pianifichi esplicitamente l'eliminazione e scada il periodo di attesa obbligatorio.

Potresti scegliere di eliminare una chiave KMS per uno o più dei seguenti motivi:
+ Per completare il ciclo di vita delle chiavi per le chiavi KMS che non sono più necessarie
+ Per evitare i [costi](https://aws.amazon.com/kms/pricing/) di gestione delle chiavi KMS inutilizzate
+ Per ridurre il numero di chiavi KMS conteggiate nella [quota di risorse delle chiavi KMS](resource-limits.md#kms-keys-limit)

**Nota**  
Se [chiudi le tue Account AWS](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/close-account.html) chiavi KMS diventano inaccessibili e non ti vengono più addebitate le spese. 

AWS KMS [registra una voce nel AWS CloudTrail registro quando [pianifichi l'eliminazione](ct-schedule-key-deletion.md) della chiave KMS e quando la chiave KMS viene effettivamente eliminata.](ct-delete-key.md) 

## Informazioni sul periodo di attesa
<a name="deleting-keys-how-it-works"></a>

Poiché eliminare una chiave KMS è distruttivo e potenzialmente pericoloso, è AWS KMS necessario impostare un periodo di attesa di 7-30 giorni. Il periodo di attesa predefinito è di 30 giorni.

Tuttavia, il periodo di attesa effettivo potrebbe essere fino a 24 ore più lungo di quello pianificato. Per ottenere la data e l'ora effettive in cui la chiave KMS verrà eliminata, utilizzare l'operazione. [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) O nella console AWS KMS , nella [pagina dei dettagli](finding-keys.md#viewing-console-details) per la chiave KMS, nella sezione **Configurazione generale**, consulta **Data di eliminazione pianificata**. Assicurati di segnare il fuso orario.

Durante il periodo di attesa, lo stato della chiave KMS e quello della chiave è **In attesa di eliminazione**.
+ Una chiave KMS che è in attesa di eliminazione non può essere utilizzata in nessuna [operazione di crittografia](kms-cryptography.md#cryptographic-operations). 
+ AWS KMS non [ruota il materiale chiave](rotate-keys.md#rotate-keys-how-it-works) delle chiavi KMS in attesa di eliminazione.

Al termine del periodo di attesa, AWS KMS elimina la chiave KMS, i relativi alias e tutti i metadati correlati. AWS KMS 

La pianificazione dell'eliminazione di una chiave KMS potrebbe non influire immediatamente sulle chiavi di dati crittografate dalla chiave KMS. Per informazioni dettagliate, vedi [In che modo le chiavi KMS inutilizzabili influiscono sulle chiavi dati](unusable-kms-keys.md).

Utilizza il periodo di attesa per assicurarti che la chiave KMS non sia necessaria ora o in futuro. Puoi [configurare un CloudWatch allarme Amazon](deleting-keys-creating-cloudwatch-alarm.md) per avvisarti se una persona o un'applicazione tenta di utilizzare la chiave KMS durante il periodo di attesa. Per ripristinare la chiave KMS, puoi annullare l'eliminazione della chiave prima del termine del periodo di attesa. Al termine del periodo di attesa non è possibile annullare l'eliminazione della chiave ed AWS KMS elimina la chiave KMS.

## Considerazioni speciali
<a name="special-considerations-delete"></a>

Prima di pianificare l'eliminazione delle chiavi, consulta le seguenti considerazioni speciali sull'eliminazione delle chiavi KMS per scopi speciali.

**Eliminazione delle chiavi KMS asimmetriche**  
Gli utenti [autorizzati](deleting-keys-adding-permission.md) possono eliminare chiavi KMS simmetriche o asimmetriche. La procedura per pianificare l'eliminazione di queste chiavi KMS è la stessa per entrambi i tipi di chiave. Tuttavia, poiché la [chiave pubblica di una chiave KMS asimmetrica può essere scaricata e utilizzata all'esterno, l'operazione comporta rischi aggiuntivi significativi AWS KMS, in particolare per le chiavi](download-public-key.md) KMS asimmetriche utilizzate per la crittografia (l'utilizzo della chiave è). `ENCRYPT_DECRYPT`  
+ Quando pianifichi l'eliminazione di una chiave KMS, lo stato della chiave KMS cambia in **In attesa di eliminazione** e la chiave KMS non può essere utilizzata nelle [operazioni di crittografia](kms-cryptography.md#cryptographic-operations). Tuttavia, la pianificazione dell'eliminazione non ha alcun effetto sulle chiavi pubbliche esterne a. AWS KMS Gli utenti che dispongono della chiave pubblica possono continuare a utilizzarle per crittografare i messaggi. Non ricevono alcuna notifica del cambiamento dello stato della chiave. A meno che l'eliminazione non venga annullata, il testo cifrato creato con la chiave pubblica non può essere decrittato.
+ Allarmi, log e altre strategie che rilevano il tentativo di utilizzo di chiavi KMS in attesa di eliminazione non possono rilevare l'utilizzo della chiave pubblica al di fuori di AWS KMS.
+ Quando la chiave KMS viene eliminata, tutte le AWS KMS azioni che coinvolgono quella chiave KMS hanno esito negativo. Tuttavia, gli utenti che dispongono della chiave pubblica possono continuare a utilizzarla per crittografare i messaggi. Questi testi cifrati non possono essere decrittati.
Se devi eliminare una chiave KMS asimmetrica con un utilizzo di chiave`ENCRYPT_DECRYPT`, utilizza le voci di CloudTrail registro per determinare se la chiave pubblica è stata scaricata e condivisa. In caso affermativo, verifica che la chiave pubblica non venga utilizzata al di fuori di AWS KMS. Valuta l'opportunità di [disattivare la chiave KMS](enabling-keys.md) anziché di eliminarla.  
Il rischio rappresentato dall'eliminazione di una chiave asimmetrica è ridotto per le chiavi KMS asimmetriche con materiale della chiave importato. Per informazioni dettagliate, vedi [Deleting KMS keys with imported key material](#import-delete-key).

**Eliminazione di chiavi multiregionali**  
Per eliminare una chiave primaria, è necessario pianificare l'eliminazione di tutte le chiavi di replica e quindi attendere l'eliminazione delle chiavi di replica. Il periodo di attesa richiesto per l'eliminazione di una chiave primaria inizia quando viene eliminata l'ultima delle relative chiavi di replica. Se è necessario eliminare una chiave primaria da una determinata Regione senza eliminarne le chiavi di replica, modificare la chiave primaria in una chiave di replica [aggiornando la Regione principale](multi-region-update.md).  
Puoi eliminare una chiave di replica in qualsiasi momento. Non dipende dallo stato della chiave di qualsiasi altra chiave KMS. Se si elimina accidentalmente una chiave di replica, è possibile ricrearla replicando la stessa chiave primaria nella stessa regione. La nuova chiave di replica creata avrà le stesse [proprietà condivise](multi-region-keys-overview.md#mrk-sync-properties) della chiave di replica originale.

**Eliminazione delle chiavi KMS con materiale chiave importato**  
L'eliminazione del materiale della chiave di una chiave KMS con il materiale della chiave importato è temporanea e reversibile. Per ripristinare la chiave, reimporta il materiale della chiave.  
Al contrario, l'eliminazione di una chiave KMS è irreversibile. Se [pianifichi l'eliminazione delle chiavi](#deleting-keys-how-it-works) e il periodo di attesa richiesto scade, elimina AWS KMS in modo permanente e irreversibile la chiave KMS, il relativo materiale chiave e tutti i metadati associati alla chiave KMS.   
Tuttavia, il rischio e le conseguenze dell'eliminazione di una chiave KMS con materiale della chiave importato dipendono dal tipo ("specifica chiave") di chiave KMS.  
+ Chiavi di crittografia simmetrica: se elimini una chiave KMS di crittografia simmetrica, tutto il testo criptato rimanente crittografati da tale chiave sarà irrecuperabile. Non puoi creare una nuova chiave KMS di crittografia simmetrica in grado di decrittografare i testi criptati di una chiave KMS di crittografia simmetrica eliminata, neppure se disponi dello stesso materiale della chiave. I metadati univoci di ogni chiave KMS sono associati crittograficamente a ogni testo criptato simmetrico. Questa funzionalità di sicurezza garantisce che solo la chiave KMS che ha crittografato il testo criptato simmetrico possa decrittografarlo, ma impedisce di ricreare una chiave KMS equivalente.
+ Chiavi asimmetriche e HMAC: se disponi del materiale chiave originale, puoi creare una nuova chiave KMS con le stesse proprietà crittografiche di una chiave KMS asimmetrica o HMAC che è stata eliminata. AWS KMS genera firme e testi cifrati RSA standard, firme ECC e tag HMAC, che non includono funzionalità di sicurezza esclusive. Inoltre, puoi utilizzare una chiave HMAC o la chiave privata di una coppia di chiavi asimmetrica esternamente a AWS.

  Una nuova chiave KMS creata con lo stesso materiale della chiave asimmetrica o HMAC avrà un identificatore della chiave diverso. Dovrai creare una nuova policy della chiave, creare nuovamente eventuali alias e aggiornare le concessioni e le policy IAM esistenti in modo che facciano riferimento alla nuova chiave. 

**Eliminazione delle chiavi KMS da qualsiasi archivio di chiavi AWS CloudHSM **  
**Quando pianifichi l'eliminazione di una chiave KMS da un archivio chiavi, [lo stato della AWS CloudHSM chiave cambia in In sospeso](key-state.md) di eliminazione.** La chiave KMS rimane nello stato **In attesa di eliminazione** durante l'intero periodo di attesa, anche se la chiave KMS diventa indisponibile a seguito della [disconnessione dell'archivio delle chiavi personalizzate](disconnect-keystore.md). Ciò consente di annullare l'eliminazione della chiave KMS in qualsiasi momento durante il periodo di attesa.  
Allo scadere del periodo di attesa, AWS KMS elimina la chiave KMS da. AWS KMS Quindi AWS KMS fa del suo meglio per eliminare il materiale chiave dal cluster associato. AWS CloudHSM Se AWS KMS non riesce a eliminare tale materiale, ad esempio quando lo store delle chiavi personalizzate è disconnesso da AWS KMS, è possibile che tu debba [eliminare manualmente il materiale della chiave orfano](fix-keystore.md#fix-keystore-orphaned-key) dal cluster.   
AWS KMS non elimina il materiale chiave dai backup del cluster. Anche se elimini la chiave KMS dal cluster AWS KMS e ne elimini il materiale chiave dal AWS CloudHSM cluster, i cluster creati dai backup potrebbero contenere il materiale chiave eliminato. Per eliminare definitivamente il materiale chiave, utilizza l'[DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)operazione per identificare la data di creazione della chiave KMS. Quindi [elimina tutti i backup del cluster](https://docs.aws.amazon.com/cloudhsm/latest/userguide/delete-restore-backup.html) che potrebbero contenere quel materiale.   
Quando pianifichi l'eliminazione di una chiave KMS da un archivio chiavi, la AWS CloudHSM chiave KMS diventa immediatamente inutilizzabile (fatta salva l'eventuale coerenza). Tuttavia, le risorse crittografate con [chiavi di dati](data-keys.md) protette dalla chiave KMS non sono interessate fino a quando la chiave KMS non viene nuovamente utilizzata, ad esempio per decrittografare la chiave dati. Questo problema riguarda Servizi AWS molti dei quali utilizzano chiavi dati per proteggere le risorse. Per informazioni dettagliate, vedi [In che modo le chiavi KMS inutilizzabili influiscono sulle chiavi dati](unusable-kms-keys.md).

**Eliminazione delle chiavi KMS da un archivio di chiavi esterno**  
L'eliminazione di una chiave KMS da un archivio delle chiavi esterne non ha alcun effetto sulla [chiave esterna](keystore-external.md#concept-external-key) utilizzata come materiale della chiave.  
Se pianifichi l'eliminazione di una chiave KMS da un archivio delle chiavi esterne, il relativo [stato chiave](key-state.md) diventa **Pending deletion** (Eliminazione in attesa). La chiave KMS rimane nello stato **Pending deletion** (Eliminazione in attesa) durante l'intero periodo di attesa, anche se la chiave KMS non è più disponibile dopo la [disconnessione dell'archivio delle chiavi esterne](xks-connect-disconnect.md). Ciò consente di annullare l'eliminazione della chiave KMS in qualsiasi momento durante il periodo di attesa. Allo scadere del periodo di attesa, AWS KMS elimina la chiave KMS da. AWS KMS  
Quando pianifichi l'eliminazione di una chiave KMS da un archivio delle chiavi esterne, la chiave KMS diventa immediatamente inutilizzabile (in base alla coerenza finale). Tuttavia, le risorse crittografate con [chiavi di dati](data-keys.md) protette dalla chiave KMS non sono interessate fino a quando la chiave KMS non viene nuovamente utilizzata, ad esempio per decrittografare la chiave dati. Questo problema riguarda i Servizi AWS, molti dei quali proteggono le risorse tramite le chiavi dati. Per informazioni dettagliate, vedi [In che modo le chiavi KMS inutilizzabili influiscono sulle chiavi dati](unusable-kms-keys.md). 

# Controlla l'accesso all'eliminazione delle chiavi
<a name="deleting-keys-adding-permission"></a>

Se utilizzi le policy IAM per consentire le AWS KMS autorizzazioni, le identità IAM che dispongono AWS dell'accesso da amministratore (`"Action": "*"`) o dell'accesso AWS KMS completo (`"Action": "kms:*"`) possono già pianificare e annullare l'eliminazione delle chiavi KMS. Per consentire agli amministratori delle chiavi di pianificare e annullare l'eliminazione delle chiavi nella policy delle chiavi, utilizza la AWS KMS console o l'API. AWS KMS 

In genere, solo gli amministratori delle chiavi sono in grado di pianificare o annullare l'eliminazione delle chiavi. Tuttavia, puoi concedere queste autorizzazioni ad altre identità IAM aggiungendo `kms:ScheduleKeyDeletion` e `kms:CancelKeyDeletion` alla policy della chiave o a una policy IAM. Puoi anche utilizzare la chiave [`kms:ScheduleKeyDeletionPendingWindowInDays`](conditions-kms.md#conditions-kms-schedule-key-deletion-pending-window-in-days)condition per limitare ulteriormente i valori che i principali possono specificare nel `PendingWindowInDays` parametro di una richiesta. [ScheduleKeyDeletion](https://docs.aws.amazon.com/kms/latest/APIReference/API_ScheduleKeyDeletion.html)

## Consenti agli amministratori delle chiavi di pianificare e annullare l'eliminazione delle chiavi
<a name="allow-key-deletion"></a>

### Utilizzo della console AWS KMS
<a name="deleting-keys-adding-permission-console"></a>

Per concedere agli amministratori delle chiavi l'autorizzazione per pianificare e annullare l'eliminazione delle chiavi.

1. Accedi a Console di gestione AWS e apri la console AWS Key Management Service (AWS KMS) in [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.

1. Nel riquadro di navigazione, scegli **Chiavi gestite dal cliente**.

1. Scegli l'alias o l'ID chiave della chiave KMS di cui intendi modificare le autorizzazioni.

1. Scegli la scheda **Key policy** (Policy delle chiavi).

1. Il passaggio successivo è diverso per la *visualizzazione predefinita* e la *visualizzazione della policy* della policy delle chiavi. La visualizzazione predefinita è disponibile solo se utilizzi la policy delle chiavi di console predefinita. In caso contrario, è disponibile solo la visualizzazione della policy.

   Quando è disponibile la visualizzazione predefinita, nella scheda **Key policy** (Policy delle chiavi) viene visualizzato il pulsante **Switch to policy view** (Passa alla visualizzazione della policy) o **Switch to default view** (Passa alla visualizzazione predefinita).
   + Nella visualizzazione predefinita:

     1. In **Key deletion** (Eliminazione chiave), seleziona **Allow key administrators to delete this key** (Consenti agli amministratori delle chiavi di eliminare questa chiave).
   + Nella visualizzazione della policy:

     1. Scegli **Modifica**.

     1. Nell'istruzione della policy per gli amministratori delle chiavi, aggiungi le autorizzazioni `kms:ScheduleKeyDeletion` e `kms:CancelKeyDeletion` all'elemento `Action`.

        ```
        {
          "Sid": "Allow access for Key Administrators",
          "Effect": "Allow",
          "Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSKeyAdmin"},
          "Action": [
            "kms:Create*",
            "kms:Describe*",
            "kms:Enable*",
            "kms:List*",
            "kms:Put*",
            "kms:Update*",
            "kms:Revoke*",
            "kms:Disable*",
            "kms:Get*",
            "kms:Delete*",
            "kms:ScheduleKeyDeletion",
            "kms:CancelKeyDeletion"
          ],
          "Resource": "*"
        }
        ```

     1. Scegli **Save changes** (Salva modifiche).

### Utilizzando l'API AWS KMS
<a name="deleting-keys-adding-permission-cli"></a>

È possibile utilizzare il AWS Command Line Interface per aggiungere le autorizzazioni per la pianificazione e l'annullamento dell'eliminazione delle chiavi.

**Per aggiungere l'autorizzazione per pianificare e annullare l'eliminazione di chiavi**

1. Utilizzare il comando [https://docs.aws.amazon.com/cli/latest/reference/kms/get-key-policy.html](https://docs.aws.amazon.com/cli/latest/reference/kms/get-key-policy.html) per recuperare la policy delle chiavi esistente, quindi salvare il documento di policy in un file.

1. Apri il documento della policy nell'editor di testo preferito. Nell'istruzione della policy per gli amministratori delle chiavi, aggiungi le autorizzazioni `kms:ScheduleKeyDeletion` e `kms:CancelKeyDeletion`. L'esempio seguente mostra un'istruzione di policy con queste due autorizzazioni:

   ```
   {
     "Sid": "Allow access for Key Administrators",
     "Effect": "Allow",
     "Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSKeyAdmin"},
     "Action": [
       "kms:Create*",
       "kms:Describe*",
       "kms:Enable*",
       "kms:List*",
       "kms:Put*",
       "kms:Update*",
       "kms:Revoke*",
       "kms:Disable*",
       "kms:Get*",
       "kms:Delete*",
       "kms:ScheduleKeyDeletion",
       "kms:CancelKeyDeletion"
     ],
     "Resource": "*"
   }
   ```

1. Utilizza il comando [https://docs.aws.amazon.com/cli/latest/reference/kms/put-key-policy.html](https://docs.aws.amazon.com/cli/latest/reference/kms/put-key-policy.html) per applicare la policy chiave alla chiave KMS.

# Pianifica l'eliminazione delle chiavi
<a name="deleting-keys-scheduling-key-deletion"></a>

Le seguenti procedure descrivono come pianificare l'eliminazione delle chiavi e annullare l'eliminazione delle chiavi AWS KMS keys (chiavi KMS) AWS KMS utilizzando l' AWS KMS API Console di gestione AWS and.

**avvertimento**  
L'eliminazione di una chiave KMS è un'operazione distruttiva e potenzialmente pericolosa. Dovresti procedere solo quando hai la certezza di non dover più utilizzare la chiave KMS e che non ne avrai bisogno in futuro. In caso di dubbio, dovresti [disabilitare la chiave KMS](enabling-keys.md) invece di eliminarla.

Prima di eliminare una chiave KMS, devi disporre delle autorizzazioni necessarie. Per informazioni su come concedere queste autorizzazioni agli amministratori delle chiavi, consulta [Controlla l'accesso all'eliminazione delle chiavi](deleting-keys-adding-permission.md). Puoi anche utilizzare la chiave di condizione [`kms:ScheduleKeyDeletionPendingWindowInDays`](conditions-kms.md#conditions-kms-schedule-key-deletion-pending-window-in-days) per limitare ulteriormente il periodo di attesa, applicando, ad esempio, un periodo di attesa minimo.

AWS KMS registra una voce nel AWS CloudTrail registro quando [pianifichi l'eliminazione](ct-schedule-key-deletion.md) della chiave KMS e quando la chiave [KMS viene](ct-delete-key.md) effettivamente eliminata.

## Utilizzo della console AWS KMS
<a name="deleting-keys-scheduling-key-deletion-console"></a>

In Console di gestione AWS, puoi pianificare e annullare l'eliminazione di più chiavi KMS contemporaneamente.

**Per pianificare l'eliminazione di chiavi**

1. Accedi a Console di gestione AWS e apri la console AWS Key Management Service (AWS KMS) su [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.

1. Nel riquadro di navigazione, scegli **Chiavi gestite dal cliente**.

   Non è possibile pianificare l’eliminazione di [Chiavi gestite da AWS](concepts.md#aws-managed-key) o [Chiavi di proprietà di AWS](concepts.md#aws-owned-key).

1. Scegli la casella di controllo accanto alla chiave KMS che desideri eliminare.

1. Scegliere **Key actions (Operazioni sulle chiavi)**, **Schedule key deletion (Pianifica eliminazione chiave)**.

1. Leggere l'avviso e le informazioni sull'annullamento dell'eliminazione durante il periodo di attesa. Se decidi di annullare l'eliminazione, nella parte inferiore della pagina scegli **Annulla**.

1. Per **Waiting period (in days) (Periodo di attesa (in giorni))**, immettere un numero di giorni compreso tra 7 e 30. 

1. Controlla le chiavi KMS che stai eliminando.

1. Seleziona la casella di controllo accanto a **Conferma che desideri pianificare l'eliminazione di questa chiave in *<number of days>* giorni**. .

1. Scegliere **Schedule deletion (Pianifica eliminazione)**.

Lo stato della chiave KMS diventa **In attesa di eliminazione**.

## Utilizzo dell' AWS KMS API
<a name="deleting-keys-scheduling-key-deletion-cli"></a>

Utilizza il comando [https://docs.aws.amazon.com/cli/latest/reference/kms/schedule-key-deletion.html](https://docs.aws.amazon.com/cli/latest/reference/kms/schedule-key-deletion.html) per pianificare l'eliminazione di una [chiave gestita dal cliente](concepts.md#customer-mgn-key), come mostrato nel seguente esempio.

Non è possibile pianificare l'eliminazione di un Chiave gestita da AWS or Chiave di proprietà di AWS.

```
$ aws kms schedule-key-deletion --key-id 1234abcd-12ab-34cd-56ef-1234567890ab --pending-window-in-days 10
```

Se utilizzato correttamente, AWS CLI restituisce un output simile a quello mostrato nell'esempio seguente:

```
{
    "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "DeletionDate": 1598304792.0,
    "KeyState": "PendingDeletion",
    "PendingWindowInDays": 10
}
```

# Annulla l'eliminazione della chiave
<a name="deleting-keys-cancelling-key-deletion"></a>

Dopo aver [pianificato l'eliminazione di una chiave KMS](deleting-keys-scheduling-key-deletion.md), puoi annullare l'eliminazione della chiave mentre è ancora nello stato di [eliminazione in sospeso](key-state.md). È possibile annullare l'eliminazione della chiave nella AWS KMS console o utilizzando l'[CancelKeyDeletion](https://docs.aws.amazon.com/kms/latest/APIReference/API_CancelKeyDeletion.html)operazione. Dopo aver annullato l'eliminazione in sospeso di una chiave KMS, lo stato della chiave KMS è. `Disabled` Per ulteriori informazioni sull'attivazione della chiave KMS, consulta. [Attivazione e disattivazione delle chiavi](enabling-keys.md)

## Utilizzo della console AWS KMS
<a name="console-cancel-deletion"></a>

**Per annullare l'eliminazione di chiavi**

1. Apri la AWS KMS console in [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.

1. Nel riquadro di navigazione, scegli **Chiavi gestite dal cliente**.

1. Scegli la casella di controllo accanto alla chiave KMS da ripristinare.

1. Scegliere **Key actions (Operazioni sulle chiavi)**, **Cancel key deletion (Annulla eliminazione chiave)**.

Lo stato della chiave KMS cambia da **In attesa di eliminazione** a **Disabilitata**. Per utilizzare la chiave KMS è necessario [abilitarla](enabling-keys.md).

## Utilizzando l'API AWS KMS
<a name="cli-cancel-deletion"></a>

Utilizzate il [https://docs.aws.amazon.com/cli/latest/reference/kms/cancel-key-deletion.html](https://docs.aws.amazon.com/cli/latest/reference/kms/cancel-key-deletion.html)comando per annullare l'eliminazione delle chiavi da AWS CLI , come illustrato nell'esempio seguente.

```
$ aws kms cancel-key-deletion --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
```

Se utilizzato con successo, AWS CLI restituisce un output simile a quello mostrato nell'esempio seguente:

```
{
    "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
```

Lo stato della chiave KMS cambia da **In attesa di eliminazione** a **Disabilitata**. Per utilizzare la chiave KMS è necessario [abilitarla](enabling-keys.md).

# Crea un allarme che rileva l'uso di una chiave KMS in attesa di eliminazione
<a name="deleting-keys-creating-cloudwatch-alarm"></a>

Puoi combinare le funzionalità di AWS CloudTrail Amazon CloudWatch Logs e Amazon Simple Notification Service (Amazon SNS) per creare un CloudWatch allarme Amazon che ti avvisa quando qualcuno nel tuo account tenta di utilizzare una chiave KMS in attesa di eliminazione. Se ricevi questa notifica, potresti voler annullare l'eliminazione della chiave KMS e riconsiderare la decisione di eliminarla.

Le seguenti procedure creano un allarme che ti avvisa ogni volta che il messaggio di errore "`Key ARN is pending deletion`" viene scritto nei tuoi file di registro. CloudTrail Questo messaggio di errore indica che una persona o un'applicazione ha cercato di utilizzare la chiave KMS in una [operazione di crittografia](kms-cryptography.md#cryptographic-operations). Poiché la notifica è collegata al messaggio di errore, non viene attivata quando utilizzi operazioni API consentite sulle chiavi KMS in attesa di eliminazione, ad esempio `ListKeys`, `CancelKeyDeletion` e `PutKeyPolicy`. Per visualizzare un elenco delle operazioni AWS KMS API che restituiscono questo messaggio di errore, consulta[Stati chiave delle AWS KMS chiavi](key-state.md).

L'e-mail di notifica che ricevi non include la chiave KMS o l'operazione di crittografia. Puoi trovare tali informazioni nel [file di registro di CloudTrail](logging-using-cloudtrail.md). L'e-mail segnala invece che lo stato dell'allarme è stato modificato da **OK** ad **Alarm (Allarme)**. Per ulteriori informazioni sugli CloudWatch allarmi e sui cambiamenti di stato, consulta [Using Amazon CloudWatch alarms](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) nella *Amazon CloudWatch User Guide*.

**avvertimento**  
Questo CloudWatch allarme Amazon non è in grado di rilevare l'uso della chiave pubblica di una chiave KMS asimmetrica al di fuori di. AWS KMS Per informazioni dettagliate sui rischi particolari derivanti dall'eliminazione delle chiavi KMS asimmetriche utilizzate per la crittografia a chiave pubblica, inclusa la creazione di testi cifrati che non possono essere decrittati, consulta [Deleting asymmetric KMS keys](deleting-keys.md#deleting-asymmetric-cmks).

In questa procedura, crei un filtro metrico del gruppo di CloudWatch log che trova le istanze dell'eccezione di eliminazione in sospeso. Quindi, si crea un CloudWatch allarme basato sulla metrica del gruppo di log. Per informazioni sui filtri delle metriche dei gruppi di log, consulta [Creazione di metriche da eventi di log utilizzando filtri](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/MonitoringLogData.html) nella Amazon CloudWatch Logs User Guide.

1. Crea un filtro CloudWatch metrico che analizzi i log. CloudTrail 

   Segui le istruzioni in [Creazione di un filtro di parametri per un gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) utilizzando i seguenti valori obbligatori. Per gli altri campi, accetta i valori predefiniti e immetti i nomi come richiesto.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/kms/latest/developerguide/deleting-keys-creating-cloudwatch-alarm.html)

1. Crea un CloudWatch allarme basato sul filtro metrico creato nel passaggio 1.

   Segui le istruzioni riportate in [Creare un CloudWatch allarme basato su un filtro metrico di gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) utilizzando i seguenti valori obbligatori. Per gli altri campi, accetta i valori predefiniti e immetti i nomi come richiesto.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/kms/latest/developerguide/deleting-keys-creating-cloudwatch-alarm.html)

Dopo aver completato questa procedura, riceverai una notifica ogni volta che il nuovo CloudWatch allarme entra nello `ALARM` stato. Se ricevi una notifica per questo allarme, per crittografare o decrittografare i dati è possibile che sia ancora necessaria una chiave KMS pianificata per l'eliminazione. In questo caso, [annulla l'eliminazione della chiave KMS](deleting-keys-scheduling-key-deletion.md) e riconsidera la decisione di eliminarla.

# Determina l'utilizzo passato di una chiave KMS
<a name="deleting-keys-determining-usage"></a>

Prima di eliminare una chiave KMS, potresti voler sapere quanti testi cifrati sono stati crittografati con quella chiave. AWS KMS non memorizza queste informazioni e non memorizza nessuno dei testi cifrati. Sapere in che modo una chiave KMS è stata utilizzata in passato potrebbe aiutarti a decidere se ti servirà in futuro. In questo argomento vengono suggerite diverse strategie che consentono di determinare l'utilizzo passato di una chiave KMS.

**avvertimento**  
Queste strategie per determinare l'utilizzo passato ed effettivo sono efficaci solo per AWS gli utenti e AWS KMS le operazioni. Non sono in grado di rilevare l'uso della chiave pubblica di una asimmetrica al di fuori di AWS KMS. Per informazioni dettagliate sui rischi particolari derivanti dall'eliminazione delle chiavi KMS asimmetriche utilizzate per la crittografia a chiave pubblica, inclusa la creazione di testi cifrati che non possono essere decrittati, consulta [Deleting asymmetric KMS keys](deleting-keys.md#deleting-asymmetric-cmks).

**Topics**
+ [Esamina le autorizzazioni delle chiavi KMS per determinare l'ambito del potenziale utilizzo](#deleting-keys-usage-key-permissions)
+ [Esamina AWS CloudTrail i log per determinare l'utilizzo effettivo](#deleting-keys-usage-cloudtrail)

## Esamina le autorizzazioni delle chiavi KMS per determinare l'ambito del potenziale utilizzo
<a name="deleting-keys-usage-key-permissions"></a>

Stabilire chi o cosa ha attualmente accesso a una chiave KMS potrebbe aiutarti a determinare in quale misura è stata utilizzata la chiave KMS e se è ancora necessaria. Per ulteriori informazioni su come determinare chi o cosa ha attualmente accesso a una chiave KMS, consulta [Determinare l'accesso a AWS KMS keys](determining-access.md).

## Esamina AWS CloudTrail i log per determinare l'utilizzo effettivo
<a name="deleting-keys-usage-cloudtrail"></a>

Potresti voler utilizzare la cronologia di utilizzo di una chiave KMS per stabilire se in una determinata chiave KMS sono crittografati i testi cifrati. 

Tutte le attività dell' AWS KMS API vengono registrate nei file di AWS CloudTrail registro. Se hai [creato un CloudTrail percorso](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html) nella regione in cui si trova la tua chiave KMS, puoi esaminare i file di CloudTrail registro per visualizzare una cronologia di tutte le attività AWS KMS API per una particolare chiave KMS. Se un trail non è disponibile, è comunque possibile visualizzare gli eventi recenti nella [cronologia degli eventi CloudTrail ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html). Per informazioni dettagliate sulle modalità di AWS KMS utilizzo CloudTrail, consulta. [Registrazione delle chiamate AWS KMS API con AWS CloudTrail](logging-using-cloudtrail.md)

Gli esempi seguenti mostrano le voci di CloudTrail registro generate quando viene utilizzata una chiave KMS per proteggere un oggetto archiviato in Amazon Simple Storage Service (Amazon S3). In questo esempio, l'oggetto viene caricato in Amazon S3 utilizzando le informazioni riportate in [Protezione dei dati utilizzando la crittografia lato server con chiavi KMS (SSE-KMS)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html). Quando carichi un oggetto in Amazon S3 con SSE-KMS, specifichi la chiave KMS da utilizzare per proteggere l'oggetto. Amazon S3 utilizza l' AWS KMS [https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)operazione per richiedere una chiave dati univoca per l'oggetto e questo evento di richiesta viene registrato CloudTrail con una voce simile alla seguente:

```
{
  "eventVersion": "1.02",
  "userIdentity": {
    "type": "AssumedRole",
    "principalId": "AROACKCEVSQ6C2EXAMPLE:example-user",
    "arn": "arn:aws:sts::111122223333:assumed-role/Admins/example-user",
    "accountId": "111122223333",
    "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
    "sessionContext": {
      "attributes": {
        "mfaAuthenticated": "false",
        "creationDate": "2015-09-10T23:12:48Z"
      },
      "sessionIssuer": {
        "type": "Role",
        "principalId": "AROACKCEVSQ6C2EXAMPLE",
        "arn": "arn:aws:iam::111122223333:role/Admins",
        "accountId": "111122223333",
        "userName": "Admins"
      }
    },
    "invokedBy": "internal.amazonaws.com"
  },
  "eventTime": "2015-09-10T23:58:18Z",
  "eventSource": "kms.amazonaws.com",
  "eventName": "GenerateDataKey",
  "awsRegion": "us-west-2",
  "sourceIPAddress": "internal.amazonaws.com",
  "userAgent": "internal.amazonaws.com",
  "requestParameters": {
    "encryptionContext": {"aws:s3:arn": "arn:aws:s3:::example_bucket/example_object"},
    "keySpec": "AES_256",
    "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
  },
  "responseElements": null,
  "requestID": "cea04450-5817-11e5-85aa-97ce46071236",
  "eventID": "80721262-21a5-49b9-8b63-28740e7ce9c9",
  "readOnly": true,
  "resources": [{
    "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "accountId": "111122223333"
  }],
  "eventType": "AwsApiCall",
  "recipientAccountId": "111122223333"
}
```

Quando successivamente scarichi questo oggetto da Amazon S3, Amazon S3 invia `Decrypt` una richiesta AWS KMS per decrittografare la chiave dati dell'oggetto utilizzando la chiave KMS specificata. Quando esegui questa operazione, i tuoi file di CloudTrail log includono una voce simile alla seguente:

```
{
  "eventVersion": "1.02",
  "userIdentity": {
    "type": "AssumedRole",
    "principalId": "AROACKCEVSQ6C2EXAMPLE:example-user",
    "arn": "arn:aws:sts::111122223333:assumed-role/Admins/example-user",
    "accountId": "111122223333",
    "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
    "sessionContext": {
      "attributes": {
        "mfaAuthenticated": "false",
        "creationDate": "2015-09-10T23:12:48Z"
      },
      "sessionIssuer": {
        "type": "Role",
        "principalId": "AROACKCEVSQ6C2EXAMPLE",
        "arn": "arn:aws:iam::111122223333:role/Admins",
        "accountId": "111122223333",
        "userName": "Admins"
      }
    },
    "invokedBy": "internal.amazonaws.com"
  },
  "eventTime": "2015-09-10T23:58:39Z",
  "eventSource": "kms.amazonaws.com",
  "eventName": "Decrypt",
  "awsRegion": "us-west-2",
  "sourceIPAddress": "internal.amazonaws.com",
  "userAgent": "internal.amazonaws.com",
  "requestParameters": {
    "encryptionContext": {"aws:s3:arn": "arn:aws:s3:::example_bucket/example_object"}},
  "responseElements": null,
  "requestID": "db750745-5817-11e5-93a6-5b87e27d91a0",
  "eventID": "ae551b19-8a09-4cfc-a249-205ddba330e3",
  "readOnly": true,
  "resources": [{
    "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "accountId": "111122223333"
  }],
  "eventType": "AwsApiCall",
  "recipientAccountId": "111122223333"
}
```

Tutte le attività dell' AWS KMS API vengono registrate da CloudTrail. Esaminando queste voci di registro, potresti essere in grado di determinare l'utilizzo passato di una chiave KMS specifica e ciò potrebbe aiutarti a decidere se eliminarla o meno.

Per vedere altri esempi di come l'attività delle AWS KMS API viene visualizzata nei file di CloudTrail registro, vai a[Registrazione delle chiamate AWS KMS API con AWS CloudTrail](logging-using-cloudtrail.md). Per ulteriori informazioni su questo argomento, CloudTrail consulta la [Guida per AWS CloudTrail l'utente](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).

# Eliminare il materiale chiave importato
<a name="importing-keys-delete-key-material"></a>

È possibile eliminare il materiale chiave importato da una chiave KMS in qualsiasi momento. Inoltre, quando il materiale chiave importato con una data di scadenza scade, AWS KMS elimina il materiale chiave. In entrambi i casi, quando il materiale chiave viene eliminato, [lo stato della chiave](key-state.md) KMS cambia in *In attesa di importazione* e la chiave KMS non può essere utilizzata in alcuna operazione crittografica.

Alle chiavi di crittografia simmetriche possono essere associati più materiali chiave. Per queste chiavi, KMS assegna un identificatore univoco a ciascun materiale chiave. Puoi utilizzare l'[ListKeyRotations](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeyRotations.html)API per visualizzare questi identificatori dei materiali chiave e lo stato del materiale chiave corrispondente (vedi). [RotationsListEntry](https://docs.aws.amazon.com/kms/latest/APIReference/API_RotationsListEntry.html) Uno stato del materiale chiave `PENDING_ROTATION` o `PENDING_MULTI_REGION_IMPORT_AND_ROTATION` indica che il materiale chiave non è associato in modo permanente alla chiave KMS. L'eliminazione o la scadenza di qualsiasi materiale chiave associato in modo permanente modifica lo stato della chiave *in In attesa di importazione.* È possibile eliminare un materiale chiave specifico specificandone l'identificatore utilizzando il `key-material-id` parametro nell'API. [DeleteImportedKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteImportedKeyMaterial.html)

**Considerazioni sulle chiavi multiregionali**
+ Quando elimini il materiale chiave di una chiave regionale principale che si trova nel nostro `PENDING_ROTATION` `PENDING_MULTI_REGION_IMPORT_AND_ROTATION` stato, elimini anche il materiale chiave per le chiavi regionali di replica.
+ Se elimini il materiale chiave in una chiave di regione principale o di replica, viene interessata solo quella chiave specifica e le altre chiavi multiregionali correlate rimangono invariate. Tutte le chiavi di regione primarie o di replica con tutti i relativi materiali chiave associati in modo permanente continuano a essere utilizzabili nelle operazioni crittografiche.

**avvertimento**  
Il `key-material-id` parametro è facoltativo e, se non lo specificate, AWS KMS eliminerà il materiale chiave corrente.

Oltre alla disabilitazione della chiave KMS e alla revoca delle autorizzazioni, l'eliminazione del materiale della chiave può essere utilizzata come strategia per interrompere rapidamente, ma temporaneamente, l'uso della chiave KMS. Al contrario, la pianificazione dell'eliminazione di una chiave KMS con il materiale della chiave importato interrompe rapidamente anche l'uso della chiave KMS. Tuttavia, se l'eliminazione non viene annullata durante il periodo di attesa, la chiave KMS, i materiali chiave associati e tutti i metadati chiave vengono eliminati definitivamente. Per informazioni dettagliate, vedi [Deleting KMS keys with imported key material](deleting-keys.md#import-delete-key).

Per eliminare il materiale chiave, puoi utilizzare la AWS KMS console o l'operazione API. [DeleteImportedKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteImportedKeyMaterial.html) AWS KMS registra una voce nel AWS CloudTrail registro quando si [elimina materiale chiave importato e quando si AWS KMS elimina materiale](ct-deleteimportedkeymaterial.md) [chiave scaduto](ct-deleteexpiredkeymaterial.md).

**In che modo l'eliminazione di materiale chiave influisce sui servizi AWS **  
Quando elimini un materiale chiave, la chiave KMS diventa immediatamente inutilizzabile (fatta salva l'eventuale coerenza). Tuttavia, le risorse crittografate con [chiavi di dati](data-keys.md) protette dalla chiave KMS non sono interessate fino a quando la chiave KMS non viene nuovamente utilizzata, ad esempio per decrittografare la chiave dati. Questo problema riguarda Servizi AWS molti dei quali utilizzano chiavi dati per proteggere le risorse. Per informazioni dettagliate, vedi [In che modo le chiavi KMS inutilizzabili influiscono sulle chiavi dati](unusable-kms-keys.md).

## Utilizzo della AWS KMS console
<a name="importing-keys-delete-key-material-console"></a>

È possibile utilizzare la AWS KMS console per eliminare il materiale chiave.

1. Accedi a Console di gestione AWS e apri la console AWS Key Management Service (AWS KMS) in [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.

1. Nel riquadro di navigazione, scegli **Chiavi gestite dal cliente**.

1. Esegui una delle seguenti operazioni:
   + Seleziona la casella di controllo di una chiave KMS con materiale chiave importato. Scegliere **Key actions (Operazioni della chiave)**, **Delete key material (Elimina materiale della chiave)**. Per le chiavi di crittografia simmetriche a cui sono associati più materiali chiave, verrà eliminato il materiale chiave corrente. 
   + Per le chiavi KMS con crittografia simmetrica con materiale chiave importato, scegli l'alias o l'ID della chiave KMS. Scegli la scheda Materiale **chiave e rotazioni**. La tabella dei materiali chiave elencherà tutti i materiali chiave associati alla chiave. Scegliete **Elimina materiale chiave** dal menu **Azioni** nella riga corrispondente al materiale chiave che desiderate eliminare.

1. Confermare che si intende eliminare il materiale della chiave, quindi selezionare **Delete key material (Elimina materiale chiave)**. Lo stato della chiave KMS, che corrisponde al relativo [stato di chiave](key-state.md), diventa **In attesa di importazione**. Se il materiale chiave eliminato era inalterato, `PENDING_ROTATION` lo stato della chiave KMS non viene modificato.

## Utilizzo dell'API AWS KMS
<a name="importing-keys-delete-key-material-api"></a>

Per utilizzare l'[AWS KMS API](https://docs.aws.amazon.com/kms/latest/APIReference/) per eliminare il materiale chiave, invia una [DeleteImportedKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteImportedKeyMaterial.html)richiesta. L'esempio seguente mostra come eseguire questa operazione con l'[AWS CLI](https://aws.amazon.com/cli/).

Sostituisci `1234abcd-12ab-34cd-56ef-1234567890ab` con l'ID chiave della chiave KMS il cui materiale desideri eliminare. Puoi utilizzare l'ID chiave o l'ARN della chiave KMS, mentre non puoi utilizzare un alias per questa operazione. Il comando seguente elimina il materiale chiave corrente, che può essere l'unico materiale chiave associato alla chiave.

```
$ aws kms delete-imported-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
```

Per eliminare un materiale chiave specifico, specificate il materiale chiave identificato utilizzando il `key-material-id` parametro. Sostituiscilo `123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0` con l'identificatore del materiale chiave che desideri eliminare.

```
$ aws kms delete-imported-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --key-material-id 123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0
```