Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Importazione di materiale chiave per le AWS KMS chiavi
<a name="importing-keys"></a>

Puoi creare una AWS KMS keys (chiave KMS) con il materiale chiave che fornisci. 

Una chiave KMS è una rappresentazione logica di una chiave dati. I metadati di una chiave KMS includono l'ID del materiale chiave utilizzato per eseguire operazioni crittografiche. Quando [crei una chiave KMS](create-keys.md), per impostazione predefinita, AWS KMS genera il materiale chiave per quella chiave KMS. Tuttavia è possibile creare una chiave KMS senza materiale della chiave e importare il proprio materiale in quella chiave KMS. Questa caratteristica è definita "bring your own key" (BYOK).

![\[Icona a forma di chiave che evidenzia il materiale chiave che rappresenta.\]](http://docs.aws.amazon.com/it_it/kms/latest/developerguide/images/import-key.png)


**Nota**  
AWS KMS non supporta la decrittografia di alcun AWS KMS testo cifrato crittografato da una chiave KMS di crittografia simmetrica al di fuori di AWS KMS, anche se il testo cifrato è stato crittografato con una chiave KMS con materiale chiave importato. AWS KMS non pubblica il formato di testo cifrato richiesto da questa attività e il formato potrebbe cambiare senza preavviso.

Quando si utilizza materiale chiave importato, l'utente rimane responsabile del materiale chiave, consentendone AWS KMS al contempo l'utilizzo di una copia. Potresti scegliere di farlo per uno o più dei seguenti motivi:
+ Per dimostrare che il materiale della chiave è stato generato utilizzando una sorgente di entropia che soddisfa i tuoi requisiti. 
+ Utilizzare materiale chiave proveniente dalla propria infrastruttura con AWS servizi e utilizzarlo per AWS KMS gestire il ciclo di vita di tale materiale chiave all'interno. AWS
+ Utilizzare chiavi esistenti e consolidate, ad esempio le chiavi per la firma del codice AWS KMS, la firma dei certificati PKI e le applicazioni con certificato bloccato
+ Per impostare una scadenza per il materiale chiave AWS e per [eliminarlo manualmente](importing-keys-delete-key-material.md), ma anche per renderlo nuovamente disponibile in futuro. La pianificazione, [dell'eliminazione di una chiave](deleting-keys.md#deleting-keys-how-it-works), invece, richiede un periodo di attesa compreso tra 7 e 30 giorni, trascorso il quale non puoi più recuperare la chiave KMS eliminata.
+ Possedere la copia originale del materiale chiave e conservarla all'esterno AWS per una maggiore durabilità e ripristino di emergenza durante l'intero ciclo di vita del materiale chiave.
+ Per le chiavi asimmetriche e le chiavi HMAC, l'importazione crea chiavi compatibili e interoperabili che funzionano all'interno e all'esterno di. AWS

**Tipi di chiavi KMS supportati**

AWS KMS supporta materiale chiave importato per i seguenti tipi di chiavi KMS. Non puoi importare il materiale della chiave in chiavi KMS in [archivi di chiavi personalizzate](key-store-overview.md#custom-key-store-overview).
+ [Chiavi KMS di crittografia simmetrica](symm-asymm-choose-key-spec.md#symmetric-cmks)
+ [Chiavi KMS asimmetriche (eccetto le chiavi ML-DSA)](symmetric-asymmetric.md)
+ [Chiavi KMS HMAC](hmac.md)
+ [Chiavi multi-regione](multi-region-keys-overview.md) di tutti i tipi supportati.

**Regioni**

Il materiale chiave importato è supportato in tutti i supporti. Regioni AWS AWS KMS 

Nelle regioni della Cina, i requisiti materiali chiave per le chiavi KMS con crittografia simmetrica sono diversi da quelli delle altre regioni. Per informazioni dettagliate, vedi [Fase 3: crittografare il materiale delle chiavi](importing-keys-encrypt-key-material.md).

**Ulteriori informazioni**
+ Per creare chiavi KMS con materiale chiave importato, vedi. [Crea una chiave KMS con materiale chiave importato](importing-keys-conceptual.md)
+ Per creare un avviso che ti avvisi quando il materiale chiave importato in una chiave KMS sta per scadere, vedi. [Crea un CloudWatch allarme per la scadenza del materiale chiave importato](imported-key-material-expiration-alarm.md)
+ Per reimportare il materiale chiave in una chiave KMS, vedi. [Reimporta il materiale chiave](importing-keys-import-key-material.md#reimport-key-material)
+ Per importare nuovo materiale chiave in una chiave KMS per la rotazione su richiesta, vedi e. [Importazione di nuovo materiale della chiave](importing-keys-import-key-material.md#import-new-key-material) [Esegui la rotazione dei tasti su richiesta](rotating-keys-on-demand.md) 
+ Per identificare e visualizzare le chiavi KMS con materiale chiave importato, vedi. [Identifica le chiavi KMS con materiale chiave importato](identify-key-types.md#identify-imported-keys)
+ Per ulteriori informazioni sulle considerazioni speciali sull'eliminazione delle chiavi KMS con materiale chiave importato, consulta. [Deleting KMS keys with imported key material](deleting-keys.md#import-delete-key)

# Considerazioni speciali per il materiale chiave importato
<a name="importing-keys-considerations"></a>

Prima di decidere di importare materiale chiave in AWS KMS, è necessario comprendere le seguenti caratteristiche del materiale chiave importato.

**Generare il materiale della chiave**  
Sei responsabile della generazione del materiale della chiave utilizzando una fonte di casualità che soddisfa i tuoi requisiti di sicurezza.

**Sei responsabile della disponibilità e della durata**  
AWS KMS è progettato per garantire un'elevata disponibilità del materiale chiave importato. Tuttavia, AWS KMS non mantiene la durabilità del materiale chiave importato allo stesso livello del materiale chiave che AWS KMS genera. Per informazioni dettagliate, vedi [Protezione del materiale della chiave importato](import-keys-protect.md).

**Puoi eliminare il materiale chiave**  
Puoi eliminare il [materiale della chiave importato](importing-keys-delete-key-material.md) da una chiave KMS, rendendo immediatamente inutilizzabile la chiave KMS. Quando importi il materiale della chiave in una chiave KMS, puoi determinare se la chiave scade e [impostare la data di scadenza](importing-keys-import-key-material.md#importing-keys-expiration). Quando arriva la data di scadenza, AWS KMS [elimina il materiale chiave.](importing-keys-delete-key-material.md) Senza materiale chiave, la chiave KMS non può essere utilizzata in nessuna operazione di crittografia. Per ripristinare la chiave, è necessario importare nuovamente lo stesso materiale chiave nella chiave. 

**Non è possibile modificare il materiale delle chiavi per le chiavi asimmetriche e HMAC**  
Quando importi materiale della chiave in una chiave KMS, la chiave KMS viene associata in modo permanente a quel materiale della chiave. Puoi importare [nuovamente lo stesso materiale della chiave](importing-keys-import-key-material.md#reimport-key-material), ma non puoi importare materiale della chiave diverso in quella chiave KMS. Inoltre, non puoi [abilitare la rotazione automatica](rotate-keys.md) delle chiavi per una chiave KMS con materiale della chiave importato. Tuttavia, puoi [ruotare manualmente una chiave KMS](rotate-keys-manually.md) con materiale della chiave importato. 

**È possibile eseguire la rotazione su richiesta su chiavi di crittografia simmetriche**  
Le chiavi di crittografia simmetriche con materiale chiave importato supportano la rotazione su richiesta. È possibile [importare più materiali chiave](importing-keys-import-key-material.md#import-new-key-material) in queste chiavi e utilizzare la [rotazione su richiesta](rotating-keys-on-demand.md) per aggiornare il materiale chiave corrente. Il materiale chiave corrente viene utilizzato sia per la crittografia che per la decrittografia, ma altri materiali chiave (non correnti) possono essere utilizzati solo per la decrittografia. 

**Non puoi modificare l'origine del materiale della chiave**  
Le chiavi KMS progettate per il materiale chiave importato ha un valore di [origine](create-keys.md#key-origin) di `EXTERNAL` che non può essere modificato. Non è possibile convertire una chiave KMS per materiale chiave importato in modo da utilizzare materiale chiave proveniente da altre fonti, tra cui. AWS KMS Allo stesso modo, non è possibile convertire una chiave KMS con materiale AWS KMS chiave in una chiave progettata per il materiale chiave importato.

**Non puoi esportare il materiale della chiave**  
Non è possibile esportare alcun materiale chiave importato. AWS KMS non può restituirti il materiale chiave importato in nessuna forma. È necessario conservare una copia del materiale chiave importato all'esterno AWS, preferibilmente in un gestore di chiavi, come un modulo di sicurezza hardware (HSM), in modo da poter reimportare il materiale chiave in caso di eliminazione o scadenza.

**Puoi creare chiavi multi-regione con materiale della chiave importato**  
Le chiavi multi-regione con il materiale della chiave importato includono le funzionalità delle chiavi KMS con il materiale della chiave importato e possono interoperare tra Regioni AWS. Per creare una chiave multi-regione con il materiale della chiave importato, devi importare lo stesso materiale della chiave nella chiave KMS primaria e in ogni chiave di replica. Per ulteriori dettagli sull'importazione di materiali chiave per chiavi multiregionali, consulta. [Importazione di nuovo materiale della chiave](importing-keys-import-key-material.md#import-new-key-material)

**Le chiavi asimmetriche e le chiavi HMAC sono portatili e interoperabili**  
È possibile utilizzare il materiale chiave asimmetrico e il materiale chiave HMAC all'esterno di AWS per interagire con AWS KMS chiavi con lo stesso materiale chiave importato.   
A differenza del testo cifrato AWS KMS simmetrico, che è indissolubilmente legato alla chiave KMS utilizzata nell'algoritmo, AWS KMS utilizza formati HMAC standard e asimmetrici per la crittografia, la firma e la generazione MAC. Di conseguenza, le chiavi sono portatili e supportano gli scenari di chiavi di deposito tradizionali.  
Quando la chiave KMS ha importato materiale chiave, puoi utilizzare il materiale chiave importato all'esterno per eseguire le seguenti operazioni. AWS   
+ Chiavi HMAC: puoi verificare un tag HMAC generato dalla chiave KMS HMAC con il materiale della chiave importato. Puoi anche utilizzare la chiave KMS HMAC con il materiale chiave importato per verificare un tag HMAC generato dal materiale chiave all'esterno di. AWS
+ Chiavi di crittografia asimmetriche: puoi utilizzare la tua chiave di crittografia asimmetrica privata all'esterno di AWS per decrittografare un testo cifrato crittografato dalla chiave KMS con la chiave pubblica corrispondente. Puoi anche utilizzare la tua chiave KMS asimmetrica per decrittografare un testo cifrato asimmetrico generato all'esterno di. AWS
+ Chiavi di firma asimmetriche: puoi utilizzare la tua chiave KMS di firma asimmetrica con materiale chiave importato per verificare le firme digitali generate dalla tua chiave di firma privata all'esterno di. AWS Puoi anche utilizzare la tua chiave di firma pubblica asimmetrica all'esterno di per verificare le firme generate dalla tua chiave KMS asimmetrica. AWS 
+ Chiavi di accordo con chiave asimmetrica: puoi utilizzare la tua chiave KMS con contratto a chiave asimmetrica con materiale chiave importato per ricavare segreti condivisi con un altro utente esterno. AWS
Se importi lo stesso materiale della chiave in chiavi KMS diverse nella stessa Regione AWS, anche queste chiavi sono interoperabili. Per creare chiavi KMS interoperabili in diversi formati, crea una chiave multiregionale con materiale chiave importato. Regioni AWS  

**Chiavi private RSA**
+ AWS KMS richiede che le chiavi private RSA importate abbiano fattori primi conformi al test descritto in [FIPS](https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.186-5.pdf) 186-5, Sezione A. 1.3. Altri software o dispositivi possono utilizzare algoritmi diversi per convalidare questi fattori primi delle chiavi private RSA. In rari casi, le chiavi convalidate utilizzando altri algoritmi potrebbero non essere accettate da. AWS KMS

**Le chiavi di crittografia simmetriche non sono portatili né interoperabili**  
I testi cifrati simmetrici che produce non sono portatili o interoperabili AWS KMS . AWS KMS non pubblica il formato di testo cifrato simmetrico richiesto dalla portabilità e il formato potrebbe cambiare senza preavviso.   
+ AWS KMS non è in grado di decrittografare testi cifrati simmetrici crittografati all'esterno, anche se si utilizza materiale chiave importato. AWS
+ AWS KMS non supporta la decrittografia di alcun testo cifrato AWS KMS simmetrico al di fuori di, anche se il testo cifrato è stato crittografato con una chiave KMS con AWS KMS materiale chiave importato.
+ Le chiavi KMS con lo stesso materiale della chiave importato non sono interoperabili. Il testo cifrato simmetrico che genera testo cifrato specifico per ogni chiave KMS. AWS KMS Questo formato di testo criptato garantisce che solo la chiave KMS che ha crittografato i dati possa decrittografarli. 
Inoltre, non è possibile utilizzare AWS strumenti, come la [crittografia lato client di Amazon S3 [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/)o Amazon S3, per decrittografare testi cifrati](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingClientSideEncryption.html) simmetrici. AWS KMS   
Di conseguenza, non è possibile utilizzare chiavi con materiale chiave importato per supportare accordi di deposito di chiavi in cui una terza parte autorizzata con accesso condizionato al materiale chiave possa decrittografare determinati testi cifrati all'esterno. AWS KMS Per supportare il deposito delle chiavi, utilizza il [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/java-example-code.html#java-example-multiple-providers) per crittografare il messaggio in una chiave indipendente da AWS KMS.

# Protezione del materiale della chiave importato
<a name="import-keys-protect"></a>

Il materiale della chiave importato è protetto durante il transito e a riposo. Prima di importare il materiale chiave, si crittografa (o «avvolge») il materiale chiave con la chiave pubblica di una coppia di chiavi RSA generata nei moduli di sicurezza AWS KMS hardware (HSMs) convalidati secondo il programma di convalida dei moduli crittografici [FIPS 140-3](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884). Puoi crittografare il materiale della chiave direttamente con la chiave pubblica di wrapping oppure crittografare il materiale della chiave con una chiave simmetrica AES e quindi crittografare la chiave simmetrica AES con la chiave pubblica RSA.

Al ricevimento, AWS KMS decripta il materiale chiave con la chiave privata corrispondente in un AWS KMS HSM e lo cripta nuovamente con una chiave simmetrica AES che esiste solo nella memoria volatile dell'HSM. Il materiale della chiave non esce mai in testo normale dal modulo HSM. Viene decrittografato solo mentre è in uso e solo all'interno. AWS KMS HSMs

L'uso della chiave KMS con il materiale della chiave importato è determinato esclusivamente dalle [policy di controllo degli accessi](control-access.md) che hai impostato sulla chiave KMS. Inoltre, puoi utilizzare [alias](kms-alias.md) e [tag](tagging-keys.md) per identificare e [controllare l'accesso](abac.md) alla chiave KMS. È possibile [abilitare e disabilitare](enabling-keys.md) la chiave, [visualizzarla](viewing-keys.md) e [monitorarla](monitoring-overview.md) utilizzando servizi come. AWS CloudTrail

Ciononostante, conserva solo la copia sicura del materiale della chiave. In cambio di questa ulteriore misura di controllo, sei responsabile della durabilità e della disponibilità complessiva del materiale chiave importato. AWS KMS è progettato per garantire un'elevata disponibilità del materiale chiave importato. Tuttavia, AWS KMS non mantiene la durabilità del materiale chiave importato allo stesso livello del materiale chiave che AWS KMS genera.

Questa differenza di durabilità è significativa nei seguenti casi:
+ Quando [impostate una scadenza](importing-keys-import-key-material.md#importing-keys-expiration) per il materiale chiave importato, AWS KMS elimina il materiale chiave dopo la sua scadenza. AWS KMS non elimina la chiave KMS o i relativi metadati. Puoi [creare un CloudWatch allarme Amazon](imported-key-material-expiration-alarm.md) che ti avvisa quando il materiale chiave importato si avvicina alla data di scadenza.

  Non puoi eliminare il materiale chiave AWS KMS generato per una chiave KMS e non puoi impostare la scadenza del materiale AWS KMS chiave.
+ Quando [elimini manualmente il materiale chiave importato](importing-keys-delete-key-material.md), AWS KMS elimina il materiale chiave ma non elimina la chiave KMS o i relativi metadati. Al contrario, [la pianificazione dell'eliminazione delle chiavi](deleting-keys.md#deleting-keys-how-it-works) richiede un periodo di attesa da 7 a 30 giorni, dopodiché elimina AWS KMS definitivamente la chiave KMS, i relativi metadati e il relativo materiale chiave.
+ Nell'improbabile eventualità che si verifichino determinati guasti a livello regionale AWS KMS (ad esempio una perdita totale di alimentazione), AWS KMS non è possibile ripristinare automaticamente il materiale chiave importato. Tuttavia, AWS KMS può ripristinare la chiave KMS e i relativi metadati.

È *necessario* conservare una copia del materiale chiave importato all'esterno di AWS un sistema controllato dall'utente. Ti consigliamo di archiviare una copia esportabile del materiale della chiave importato in un sistema di gestione delle chiavi, ad esempio un modulo HSM. Come procedura consigliata, è consigliabile memorizzare un riferimento all'ARN della chiave KMS e all'ID del materiale chiave generato AWS KMS da insieme alla copia esportabile del materiale chiave. Se il materiale della chiave importato viene eliminato o scade, la chiave KMS associata diventa inutilizzabile fino a quando non importi nuovamente lo stesso materiale della chiave. Se il materiale della chiave importato viene perso definitivamente, qualunque testo criptato crittografato con la chiave KMS è irrecuperabile. 

**Importante**  
Alle chiavi di crittografia simmetriche possono essere associati più materiali chiave. L'intera chiave KMS diventa inutilizzabile non appena si elimina uno di questi materiali chiave o se uno di questi materiali chiave scade (a meno che il materiale chiave eliminato o in scadenza non sia o). `PENDING_ROTATION` `PENDING_MULTI_REGION_IMPORT_AND_ROTATION` È necessario reimportare qualsiasi materiale chiave scaduto o eliminato associato a tale chiave prima che la chiave diventi utilizzabile per operazioni crittografiche.