Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Sicurezza di AWS Key Management Service
La sicurezza del cloud AWS è la massima priorità. In qualità di AWS cliente, puoi beneficiare di un data center e di un'architettura di rete progettati per soddisfare i requisiti delle organizzazioni più sensibili alla sicurezza.
La sicurezza è una responsabilità condivisa tra AWS te e te. Il [modello di responsabilità condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) descrive questo modello come sicurezza del cloud e sicurezza nel cloud:
+ **Sicurezza *del* cloud**: AWS è responsabile della protezione dell'infrastruttura che gestisce AWS i servizi nel AWS cloud. AWS ti fornisce anche servizi che puoi utilizzare in modo sicuro. I revisori esterni testano e verificano regolarmente l'efficacia della nostra sicurezza nell'ambito dei [AWS Programmi di AWS conformità dei Programmi di conformità](https://aws.amazon.com/compliance/programs/) dei di . Per ulteriori informazioni sui programmi di conformità applicabili a AWS Key Management Service (AWS KMS), consulta [AWS Servizi nell'ambito del programma di conformitàAWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Sicurezza *nel* cloud**: la tua responsabilità è determinata dal AWS servizio che utilizzi. Inoltre AWS KMS, oltre alla configurazione e all'utilizzo di AWS KMS keys, l'utente è responsabile di altri fattori, tra cui la sensibilità dei dati, i requisiti aziendali e le leggi e i regolamenti applicabili
Questa documentazione aiuta a capire come applicare il modello di responsabilità condivisa durante l'utilizzo AWS Key Management Service. Ti mostra come configurare per AWS KMS soddisfare i tuoi obiettivi di sicurezza e conformità.
**Topics**
+ [Protezione dei dati](data-protection.md)
+ [Gestione dell’identità e degli accessi](security-iam.md)
+ [Registrazione di log e monitoraggio](security-logging-monitoring.md)
+ [Convalida della conformità](kms-compliance.md)
+ [Resilienza](disaster-recovery-resiliency.md)
+ [Sicurezza dell’infrastruttura](infrastructure-security.md)
# Protezione dei dati in AWS Key Management Service
AWS Key Management Service archivia e protegge le chiavi di crittografia per renderle altamente disponibili, fornendo al contempo un controllo degli accessi solido e flessibile.
**Topics**
+ [Protezione del materiale della chiave](#encryption-key-mgmt)
+ [Crittografia dei dati](#data-encryption)
+ [Riservatezza del traffico Internet](#inter-network-privacy)
## Protezione del materiale della chiave
Per impostazione predefinita, AWS KMS genera e protegge il materiale delle chiavi crittografiche per le chiavi KMS. Inoltre, AWS KMS offre opzioni per il materiale chiave creato e protetto all'esterno di. AWS KMS
### Protezione del materiale chiave generato in AWS KMS
Quando si crea una chiave KMS, per impostazione predefinita, AWS KMS genera e protegge il materiale crittografico per la chiave KMS.
Per proteggere il materiale chiave per le chiavi KMS, AWS KMS si affida a una flotta distribuita di moduli di sicurezza hardware convalidati dallo standard [FIPS 140-3 di livello di sicurezza 3](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884) (). HSMs Ogni AWS KMS HSM è un'appliance hardware dedicata e autonoma progettata per fornire funzioni crittografiche dedicate per soddisfare i requisiti di sicurezza e scalabilità di. AWS KMS(I HSMs file AWS KMS utilizzati nelle regioni della Cina sono certificati dall'[OSCCA](https://www.oscca.gov.cn/) e sono conformi a tutte le normative cinesi pertinenti, ma non sono convalidati nell'ambito del programma di convalida dei moduli crittografici FIPS 140-3.)
Il materiale della chiave per una chiave KMS è crittografato per impostazione predefinita quando viene generato nel modulo HSM. Il materiale della chiave viene decrittografato solo nella memoria volatile del modulo HSM e solo per i pochi millisecondi necessari per utilizzarlo in un'operazione crittografica. Ogni volta che il materiale chiave non viene utilizzato attivamente, viene crittografato all'interno dell'HSM e trasferito su uno storage persistente a bassa latenza e [altamente durevole](https://docs.aws.amazon.com/kms/latest/cryptographic-details/durability-protection.html) (99,449%), dove rimane separato e isolato dal. HSMs Il materiale della chiave in testo normale mantiene sempre i [limiti di sicurezza](https://docs.aws.amazon.com/kms/latest/cryptographic-details/internal-communication-security.html#hsm-security-boundary) HSM, non viene mai scritto su disco né memorizzato su alcun supporto di memorizzazione. (L'unica eccezione è la chiave pubblica di una coppia di chiavi asimmetriche, che non è segreta.)
AWS afferma come principio di sicurezza fondamentale che non vi è alcuna interazione umana con materiale chiave crittografico in chiaro di alcun tipo e in alcun modo. Servizio AWS Non esiste alcun meccanismo che consenta a nessuno, compresi Servizio AWS gli operatori, di visualizzare, accedere o esportare materiale chiave in testo semplice. Questo principio si applica anche in caso di guasti catastrofici ed eventi di ripristino di emergenza. Il materiale contenente le chiavi del cliente in testo semplice AWS KMS viene utilizzato per operazioni crittografiche all'interno dello standard AWS KMS FIPS 140-3 e viene convalidato HSMs solo in risposta alle richieste autorizzate inviate al servizio dal cliente o da un suo delegato.
Per le [chiavi gestite dal cliente](concepts.md#customer-mgn-key), chi crea Account AWS la chiave è l'unico proprietario non trasferibile della chiave. L'account proprietario ha il controllo completo ed esclusivo delle policy di autorizzazione che controllano l'accesso alla chiave. Infatti Chiavi gestite da AWS, Account AWS ha il controllo completo sulle politiche IAM che autorizzano le richieste a. Servizio AWS
### Protezione del materiale chiave generato al di fuori di AWS KMS
AWS KMS fornisce alternative al materiale chiave generato in AWS KMS.
Gli [archivi di chiavi personalizzati](key-store-overview.md#custom-key-store-overview), una AWS KMS funzionalità opzionale, consentono di creare chiavi KMS supportate da materiale chiave generato e utilizzato all'esterno di AWS KMS. Le chiavi KMS negli [archivi AWS CloudHSM delle chiavi](keystore-cloudhsm.md) sono supportate dalle chiavi dei moduli di sicurezza AWS CloudHSM hardware controllati dall'utente. Queste HSMs sono certificate secondo il livello di sicurezza [FIPS 140-2 o il livello di sicurezza 140-3](https://docs.aws.amazon.com/cloudhsm/latest/userguide/compliance.html). Le chiavi KMS negli [archivi di chiavi esterni](keystore-external.md) sono supportate dalle chiavi di un gestore di chiavi esterno che puoi controllare e gestire all'esterno AWS, ad esempio un HSM fisico nel tuo data center privato.
Un'altra caratteristica opzionale consente di [importare il materiale della chiave](importing-keys.md) per una chiave KMS. Per proteggere il materiale chiave importato mentre è in transito verso AWS KMS, si crittografa il materiale chiave utilizzando una chiave pubblica da una coppia di chiavi RSA generata in un AWS KMS HSM. Il materiale chiave importato viene decrittografato in un AWS KMS HSM e ricrittografato con una chiave simmetrica nell'HSM. Come tutto il materiale chiave, il materiale AWS KMS chiave importato in testo semplice non esce mai da quello non crittografato. HSMs Tuttavia, il cliente che ha fornito il materiale della chiave è responsabile dell'uso sicuro, della durabilità e della manutenzione del materiale della chiave esternamente a AWS KMS.
## Crittografia dei dati
I dati contenuti sono AWS KMS costituiti dal materiale chiave di AWS KMS keys crittografia che rappresentano. Questo materiale chiave è disponibile in testo semplice solo all'interno dei moduli di sicurezza AWS KMS hardware (HSMs) e solo quando è in uso. In caso contrario, il materiale della chiave viene crittografato e memorizzato in uno storage persistente durevole.
Il materiale chiave AWS KMS generato per le chiavi KMS non esce mai dal limite del non crittografato. AWS KMS HSMs Non viene esportato o trasmesso in nessuna operazione API. AWS KMS L'eccezione è rappresentata dalle [chiavi multiregionali](multi-region-keys-overview.md), in cui si AWS KMS utilizza un meccanismo di replica interregionale per copiare il materiale chiave di una chiave multiregionale da un HSM in un HSM in un altro Regione AWS . Regione AWS Per i dettagli, consulta [Processo di replica](https://docs.aws.amazon.com/kms/latest/cryptographic-details/replicate-key-details.html) per chiavi multiregionali in Dettagli crittografici. AWS Key Management Service
**Topics**
+ [Crittografia dei dati a riposo](#encryption-at-rest)
+ [Crittografia dei dati in transito](#encryption-in-transit)
### Crittografia dei dati a riposo
AWS KMS genera materiale chiave per i moduli di sicurezza hardware conformi AWS KMS keys a [FIPS 140-3 di livello di sicurezza 3](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884) (). HSMs L'unica eccezione è rappresentata dalle regioni della Cina, dove le chiavi HSMs AWS KMS utilizzate per generare le chiavi KMS sono conformi a tutte le normative cinesi pertinenti, ma non sono convalidate nell'ambito del programma di convalida dei moduli crittografici FIPS 140-3. Quando non in uso, il materiale della chiave viene crittografato da una chiave HSM e scritto in uno storage persistente e durevole. Il materiale chiave per le chiavi KMS e le chiavi di crittografia che proteggono il materiale chiave non viene mai rilasciato in formato non crittografato. HSMs
La cifratura e la gestione del materiale della chiave per le chiavi KMS sono eseguite interamente da AWS KMS.
Per maggiori dettagli, consulta [Working with AWS KMS keys](https://docs.aws.amazon.com/kms/latest/cryptographic-details/kms-keys.html) in AWS Key Management Service Cryptographic Details.
### Crittografia dei dati in transito
Il materiale chiave AWS KMS generato per le chiavi KMS non viene mai esportato o trasmesso nelle AWS KMS operazioni API. AWS KMS utilizza [identificatori di chiave](concepts.md#key-id) per rappresentare le chiavi KMS nelle operazioni API. Allo stesso modo, il materiale chiave per le chiavi KMS negli [archivi di chiavi AWS KMS personalizzati](key-store-overview.md#custom-key-store-overview) non è esportabile e non viene mai trasmesso nelle nostre operazioni API. AWS KMS AWS CloudHSM
[Tuttavia, alcune operazioni AWS KMS API restituiscono chiavi dati.](data-keys.md) Inoltre, i clienti possono utilizzare le operazioni API per [importare il materiale chiave](importing-keys.md) per chiavi KMS selezionate.
Tutte le chiamate AWS KMS API devono essere firmate e trasmesse utilizzando Transport Layer Security (TLS). AWS KMS richiede TLS 1.2 e consiglia TLS 1.3 in tutte le regioni. AWS KMS supporta anche il TLS ibrido post-quantistico per gli endpoint di AWS KMS servizio in tutte le regioni, ad eccezione delle regioni della Cina. AWS KMS non supporta il TLS ibrido post-quantistico per gli endpoint FIPS in. AWS GovCloud (US) Le chiamate a AWS KMS richiedono anche una moderna suite di cifratura che supporti la *perfect forward secrecy*, il che significa che il compromesso di qualsiasi segreto, come una chiave privata, non compromette anche la chiave della sessione.
Se sono necessari moduli crittografici convalidati FIPS 140-3 per l'accesso AWS tramite un'interfaccia a riga di comando o un'API, utilizza un endpoint FIPS. Per utilizzare AWS KMS endpoint standard o endpoint AWS KMS FIPS, i client devono supportare TLS 1.2 o versioni successive. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/). [Per un elenco degli endpoint AWS KMS FIPS,AWS Key Management Service consulta endpoint e quote in.](https://docs.aws.amazon.com/general/latest/gr/kms.html) Riferimenti generali di AWS
Le comunicazioni tra gli host AWS KMS del servizio HSMs sono protette utilizzando Elliptic Curve Cryptography (ECC) e Advanced Encryption Standard (AES) in uno schema di crittografia autenticato. Per ulteriori dettagli, vedere [Sicurezza delle comunicazioni interne](https://docs.aws.amazon.com/kms/latest/cryptographic-details/internal-communication-security.html) in Cryptographic Details. AWS Key Management Service
## Riservatezza del traffico Internet
AWS KMS supporta una Console di gestione AWS serie di operazioni API che consentono di crearle, gestirle AWS KMS keys e utilizzarle nelle operazioni crittografiche.
AWS KMS supporta due opzioni di connettività di rete dalla rete privata a AWS.
+ Una connessione IPSec VPN su Internet
+ [AWS Direct Connect](https://aws.amazon.com/directconnect/), che collega la rete interna a una Direct Connect posizione tramite un cavo Ethernet standard in fibra ottica.
Tutte le chiamate AWS KMS API devono essere firmate e trasmesse utilizzando Transport Layer Security (TLS). Le chiamate richiedono anche una moderna suite di cifratura che supporta la [perfect forward secrecy](https://en.wikipedia.org/wiki/Forward_secrecy). Il traffico verso i moduli di sicurezza hardware (HSMs) che memorizzano il materiale chiave per le chiavi KMS è consentito solo da host AWS KMS API noti sulla rete AWS interna.
Per connetterti direttamente AWS KMS dal tuo cloud privato virtuale (VPC) senza inviare traffico su Internet pubblico, utilizza gli endpoint VPC, con tecnologia. [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/) Per ulteriori informazioni, consulta [Connect a AWS KMS tramite un endpoint VPC](kms-vpc-endpoint.md).
AWS KMS supporta anche un'opzione [ibrida di scambio di chiavi post-quantistiche](pqtls.md) per il protocollo di crittografia di rete Transport Layer Security (TLS). È possibile utilizzare questa opzione con TLS quando ci si connette agli endpoint API. AWS KMS
# Gestione delle identità e degli accessi per AWS Key Management Service
AWS Identity and Access Management (IAM) ti aiuta a controllare in modo sicuro l'accesso alle AWS risorse. Gli amministratori controllano chi può essere *autenticato* (effettuato l'accesso) e *autorizzato (disporre delle autorizzazioni*) a utilizzare le risorse. AWS KMS Per ulteriori informazioni, consulta [Utilizzo delle politiche IAM con AWS KMS](iam-policies.md).
Le [politiche chiave](key-policies.md) sono il meccanismo principale per controllare l'accesso alle chiavi KMS. AWS KMS Ogni chiave KMS deve avere una policy chiave. Puoi inoltre utilizzare le [policy IAM](iam-policies.md) e le [concessioni](grants.md), insieme alle policy delle chiavi, per controllare l'accesso alle chiavi KMS. Per ulteriori informazioni, consulta [Accesso e autorizzazioni alle chiavi KMS](control-access.md).
Se utilizzi un Amazon Virtual Private Cloud (Amazon VPC), puoi [creare un endpoint VPC di interfaccia su cui basare la tecnologia](kms-vpc-endpoint.md). AWS KMS [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/) Puoi anche utilizzare le policy degli endpoint VPC per determinare quali responsabili possono accedere al tuo AWS KMS endpoint, a quali chiamate API possono effettuare e a quale chiave KMS possono accedere.
**Topics**
+ [AWS politiche gestite per AWS Key Management Service](security-iam-awsmanpol.md)
+ [Utilizzo di ruoli collegati ai servizi per AWS KMS](using-service-linked-roles.md)
# AWS politiche gestite per AWS Key Management Service
Una politica AWS gestita è una politica autonoma creata e amministrata da AWS. AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.
Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Si consiglia pertanto di ridurre ulteriormente le autorizzazioni definendo [policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) specifiche per i propri casi d'uso.
Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti.
Per ulteriori informazioni, consultare [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per l'utente di IAM*.
## AWS politica gestita: AWSKey ManagementServicePowerUser
È possibile allegare la policy `AWSKeyManagementServicePowerUser` alle identità IAM.
È possibile utilizzare una policy gestita da `AWSKeyManagementServicePowerUser` per assegnare ai principali IAM dell'account le autorizzazioni di un utente esperto. Gli utenti esperti possono creare chiavi KMS, utilizzare e gestire le chiavi KMS da loro create e visualizzare tutte le chiavi KMS e le identità IAM. I principali che dispongono della policy gestita `AWSKeyManagementServicePowerUser` possono ottenere le autorizzazioni anche da altre origini, incluse le policy delle chiavi, altre policy IAM e concessioni.
`AWSKeyManagementServicePowerUser`è una policy IAM AWS gestita. Per ulteriori informazioni sulle policy AWS gestite, consulta le [policy AWS gestite](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *IAM User Guide*.
**Nota**
Le autorizzazioni in questa policy specifiche di una chiave KMS, ad esempio `kms:TagResource` e `kms:GetKeyRotationStatus`, sono efficaci solo quando la policy delle chiavi per quella chiave KMS [consente esplicitamente all' Account AWS di utilizzare policy IAM](key-policy-default.md#key-policy-default-allow-root-enable-iam) per controllare l'accesso alla chiave. Per determinare se un'autorizzazione è specifica di una chiave KMS, consultare [AWS KMS autorizzazioni](kms-api-permissions-reference.md) e cercare un valore di **chiave KMS** nella colonna **Resources** (Risorse).
Questa policy fornisce all'utente esperto le autorizzazioni per qualsiasi chiave KMS con una policy delle chiavi che consenta l'operazione. Per autorizzazioni multi-account, come `kms:DescribeKey` e `kms:ListGrants`, ciò potrebbe includere chiavi KMS in Account AWS non attendibili. Per informazioni dettagliate, consulta [Best practice per le policy IAM](iam-policies-best-practices.md) e [Autorizzazione per gli utenti in altri account di utilizzare una chiave KMS](key-policy-modifying-external-accounts.md). Per determinare se un'autorizzazione è valida per le chiavi KMS in altri account, consultare [AWS KMS autorizzazioni](kms-api-permissions-reference.md) e cercare un valore **Yes** (Sì) nella colonna **Cross-account use** (Utilizzo per più account).
Per consentire ai responsabili di visualizzare la AWS KMS console senza errori, il principale necessita del [tag: GetResources](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/API_GetResources.html) permission, che non è incluso nella `AWSKeyManagementServicePowerUser` policy. È possibile concedere questa autorizzazione in una policy IAM separata.
La policy IAM gestita da [AWSKeyManagementServicePowerUser](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSKeyManagementServicePowerUser) deve includere le seguenti autorizzazioni:
+ Consente ai principali di creare chiavi KMS. Poiché questo processo include l'impostazione della policy delle chiavi, gli utenti esperti possono concedere a se stessi e ad altri l'autorizzazione per utilizzare e gestire le chiavi KMS create.
+ Consente ai principali di creare ed eliminare [alias](kms-alias.md) e [tag](tagging-keys.md) in tutte le chiavi KMS. La modifica di un tag o alias può consentire o negare l'autorizzazione all'utilizzo e alla gestione della chiave KMS. Per informazioni dettagliate, vedi [ABAC per AWS KMS](abac.md).
+ Consente ai principali di ottenere informazioni dettagliate su tutte le chiavi KMS, compreso l'ARN della chiave, la configurazione di crittografia, la policy delle chiavi, gli alias, i tag e lo [stato di rotazione](rotate-keys.md).
+ Consente ai principali di elencare utenti, gruppi e ruoli IAM.
+ Questa policy non consente ai principali di utilizzare o gestire le chiavi KMS che non hanno creato. Tuttavia, possono modificare alias e tag su tutte le chiavi KMS, il che potrebbe consentire o negare loro l'autorizzazione all'utilizzo o alla gestione di una chiave KMS.
Per visualizzare le autorizzazioni per questa politica, consulta [AWSKeyManagementServicePowerUser](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSKeyManagementServicePowerUser.html)il AWS Managed Policy Reference.
## AWS politica gestita: AWSService RoleForKeyManagementServiceCustomKeyStores
Non è possibile collegare `AWSServiceRoleForKeyManagementServiceCustomKeyStores`alle entità IAM. Questa policy è associata a un ruolo collegato al servizio che AWS KMS autorizza a visualizzare AWS CloudHSM i cluster associati all'archivio delle AWS CloudHSM chiavi e a creare la rete per supportare una connessione tra l'archivio chiavi personalizzato e il relativo cluster. AWS CloudHSM Per ulteriori informazioni, consulta [Autorizzazione AWS KMS alla gestione AWS CloudHSM e alle risorse Amazon EC2](authorize-kms.md).
## AWS politica gestita: AWSService RoleForKeyManagementServiceMultiRegionKeys
Non è possibile collegare `AWSServiceRoleForKeyManagementServiceMultiRegionKeys`alle entità IAM. Questa policy è associata a un ruolo collegato al servizio che AWS KMS autorizza a sincronizzare qualsiasi modifica al materiale chiave di una chiave primaria multiregionale con le relative chiavi di replica. Per ulteriori informazioni, consulta [Autorizzazione AWS KMS alla sincronizzazione di chiavi multiregionali](multi-region-auth-slr.md).
## AWS KMS aggiornamenti alle politiche AWS gestite
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite AWS KMS da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per gli avvisi automatici sulle modifiche apportate alla pagina, iscriviti al feed RSS alla pagina AWS KMS [Cronologia dei documenti](dochistory.md).
| Modifica | Descrizione | Data |
| --- | --- | --- |
| [AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy](multi-region-auth-slr.md): aggiornamento a policy esistente | AWS KMS ha aggiunto un campo statement ID (`Sid`) alla policy gestita nella versione di policy v2. | 21 novembre 2024 |
| [AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy](authorize-kms.md): aggiornamento a policy esistente | AWS KMS ha aggiunto `ec2:DescribeVpcs``ec2:DescribeNetworkAcls`, e `ec2:DescribeNetworkInterfaces` le autorizzazioni per monitorare le modifiche nel VPC che contiene AWS CloudHSM il cluster in modo da AWS KMS fornire messaggi di errore chiari in caso di errori. | 10 novembre 2023 |
| AWS KMS ha iniziato a tenere traccia delle modifiche | AWS KMS ha iniziato a tenere traccia delle modifiche per le sue politiche AWS gestite. | 10 novembre 2023 |
# Utilizzo di ruoli collegati ai servizi per AWS KMS
AWS Key Management Service utilizza ruoli collegati ai [servizi AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un ruolo collegato ai servizi è un tipo unico di ruolo IAM a cui è collegato direttamente. AWS KMS I ruoli collegati ai servizi sono definiti AWS KMS e includono tutte le autorizzazioni richieste dal servizio per chiamare altri AWS servizi per tuo conto.
Un ruolo collegato al servizio semplifica la configurazione AWS KMS perché non è necessario aggiungere manualmente le autorizzazioni necessarie. AWS KMS definisce le autorizzazioni dei ruoli collegati ai servizi e, se non diversamente definito, solo può assumerne i ruoli. AWS KMS Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni. Una policy delle autorizzazioni specifica non può essere collegata a un'altra entità IAM.
È possibile eliminare un ruolo collegato ai servizi solo dopo aver eliminato le risorse correlate. In questo modo proteggi AWS KMS le tue risorse perché non puoi rimuovere inavvertitamente l'autorizzazione ad accedere alle risorse.
Per informazioni sugli altri servizi che supportano i ruoli collegati ai servizi, consulta la sezione [Servizi AWS che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e cerca i servizi che riportano **Sì** nella colonna **Ruolo associato ai servizi**. Scegli **Sì** in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.
Per visualizzare i dettagli sugli aggiornamenti ai ruoli collegati ai servizi discussi in questo argomento, vedere. [AWS KMS aggiornamenti alle politiche AWS gestite](security-iam-awsmanpol.md#security-iam-awsmanpol-updates)
**Topics**
+ [Autorizzazione AWS KMS alla gestione AWS CloudHSM e alle risorse Amazon EC2](authorize-kms.md)
+ [Autorizzazione AWS KMS alla sincronizzazione di chiavi multiregionali](multi-region-auth-slr.md)
# Autorizzazione AWS KMS alla gestione AWS CloudHSM e alle risorse Amazon EC2
Per supportare i tuoi AWS CloudHSM key store, hai AWS KMS bisogno dell'autorizzazione per ottenere informazioni sui tuoi AWS CloudHSM cluster. È inoltre necessaria l'autorizzazione per creare l'infrastruttura di rete che collega l'archivio delle AWS CloudHSM chiavi al relativo AWS CloudHSM cluster. Per ottenere queste autorizzazioni, AWS KMS crea il ruolo **AWSServiceRoleForKeyManagementServiceCustomKeyStores**collegato al servizio nel tuo. Account AWS Gli utenti che creano archivi di AWS CloudHSM chiavi devono disporre dell'`iam:CreateServiceLinkedRole`autorizzazione che consenta loro di creare ruoli collegati ai servizi.
Per visualizzare i dettagli sugli aggiornamenti della politica **AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy**gestita, consulta. [AWS KMS aggiornamenti alle politiche AWS gestite](security-iam-awsmanpol.md#security-iam-awsmanpol-updates)
**Topics**
+ [Informazioni sul ruolo AWS KMS collegato al servizio](#about-key-store-slr)
+ [Creazione del ruolo collegato ai servizi](#create-key-store-slr)
+ [Modifica della descrizione di un ruolo collegato ai servizi](#edit-key-store-slr)
+ [Eliminazione del ruolo collegato ai servizi](#delete-key-store-slr)
## Informazioni sul ruolo AWS KMS collegato al servizio
Un [ruolo collegato ai servizi è un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) IAM che concede a un AWS servizio l'autorizzazione a chiamare altri AWS servizi per tuo conto. È progettato per semplificare l'utilizzo delle funzionalità di più AWS servizi integrati senza dover creare e mantenere politiche IAM complesse. Per ulteriori informazioni, consulta [Utilizzo di ruoli collegati ai servizi per AWS KMS](using-service-linked-roles.md).
Per gli archivi AWS CloudHSM chiave, AWS KMS crea il ruolo **AWSServiceRoleForKeyManagementServiceCustomKeyStores**collegato ai servizi con la policy **AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy**gestita. Questa policy concede al ruolo le seguenti autorizzazioni:
+ [CloudHSM:Describe\$1](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html) — rileva le modifiche nel AWS CloudHSM cluster collegato al tuo archivio di chiavi personalizzato.
+ [ec2: CreateSecurityGroup](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateSecurityGroup.html) — utilizzato quando [connetti un archivio di AWS CloudHSM chiavi](connect-keystore.md) per creare il gruppo di sicurezza che abilita il flusso del traffico di rete tra e il cluster. AWS KMS AWS CloudHSM
+ [ec2: AuthorizeSecurityGroupIngress](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_AuthorizeSecurityGroupIngress.html) — utilizzato quando si [connette un AWS CloudHSM key store](connect-keystore.md) per consentire l'accesso alla rete dal AWS KMS VPC che contiene AWS CloudHSM il cluster.
+ [ec2: CreateNetworkInterface](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateNetworkInterface.html) — utilizzato quando si [connette un AWS CloudHSM key store](connect-keystore.md) per creare l'interfaccia di rete utilizzata per la comunicazione tra AWS KMS e il cluster. AWS CloudHSM
+ [ec2: RevokeSecurityGroupEgress](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_RevokeSecurityGroupEgress.html) — utilizzato quando si [connette un archivio di AWS CloudHSM chiavi](connect-keystore.md) per rimuovere tutte le regole in uscita dal gruppo di sicurezza creato. AWS KMS
+ [ec2: DeleteSecurityGroup](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DeleteSecurityGroup.html) — utilizzato quando si [disconnette un archivio di AWS CloudHSM chiavi](disconnect-keystore.md) per eliminare i gruppi di sicurezza creati quando si è connesso l'archivio chiavi. AWS CloudHSM
+ [ec2: DescribeSecurityGroups](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeSecurityGroups.html) — utilizzato per monitorare le modifiche nel gruppo di sicurezza AWS KMS creato nel VPC che contiene AWS CloudHSM il cluster in modo AWS KMS che possa fornire messaggi di errore chiari in caso di guasti.
+ [ec2: DescribeVpcs](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpcs.html) — utilizzato per monitorare le modifiche nel VPC che contiene AWS CloudHSM il cluster in modo da AWS KMS fornire messaggi di errore chiari in caso di guasti.
+ [ec2: DescribeNetworkAcls](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeNetworkAcls.html) — utilizzato per monitorare i cambiamenti nella rete ACLs per il VPC che contiene AWS CloudHSM il cluster in modo AWS KMS che possa fornire messaggi di errore chiari in caso di guasti.
+ [ec2: DescribeNetworkInterfaces](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeNetworkInterfaces.html) — utilizzato per monitorare le modifiche nelle interfacce di rete AWS KMS create nel VPC che contiene il AWS CloudHSM cluster in modo da AWS KMS fornire messaggi di errore chiari in caso di guasti.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudhsm:Describe*",
"ec2:CreateNetworkInterface",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateSecurityGroup",
"ec2:DescribeSecurityGroups",
"ec2:RevokeSecurityGroupEgress",
"ec2:DeleteSecurityGroup",
"ec2:DescribeVpcs",
"ec2:DescribeNetworkAcls",
"ec2:DescribeNetworkInterfaces"
],
"Resource": "*"
}
]
}
```
------
Poiché solo il ruolo **AWSServiceRoleForKeyManagementServiceCustomKeyStores**collegato al servizio è affidabile`cks.kms.amazonaws.com`, solo può assumere questo ruolo collegato al servizio. AWS KMS Questo ruolo è limitato alle operazioni che AWS KMS richiedono la visualizzazione dei AWS CloudHSM cluster e la connessione di un archivio di AWS CloudHSM chiavi al cluster associato. AWS CloudHSM Non fornisce AWS KMS autorizzazioni aggiuntive. Ad esempio, AWS KMS non dispone dell'autorizzazione per creare, gestire o eliminare AWS CloudHSM i cluster o HSMs i backup.
**Regioni**
Come la funzionalità di archiviazione delle AWS CloudHSM chiavi, il **AWSServiceRoleForKeyManagementServiceCustomKeyStores**ruolo è supportato Regioni AWS ovunque AWS KMS ed AWS CloudHSM è disponibile. Per un elenco delle funzionalità Regioni AWS supportate da ciascun servizio, consulta [AWS Key Management Service Endpoints and Quotas](https://docs.aws.amazon.com/general/latest/gr/kms.html) e [AWS CloudHSM endpoints and quotas](https://docs.aws.amazon.com/general/latest/gr/cloudhsm.html) in. *Riferimenti generali di Amazon Web Services*
Per ulteriori informazioni su come AWS i servizi utilizzano i ruoli collegati ai servizi, consulta Using service-linked roles nella IAM [User Guide](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html).
## Creazione del ruolo collegato ai servizi
AWS KMS crea automaticamente il ruolo **AWSServiceRoleForKeyManagementServiceCustomKeyStores**collegato al servizio Account AWS quando crei un archivio di AWS CloudHSM chiavi, se il ruolo non esiste già. Non è possibile creare o ricreare direttamente questo ruolo collegato ai servizi.
## Modifica della descrizione di un ruolo collegato ai servizi
Non puoi modificare il nome del ruolo o le istruzioni di policy nel ruolo collegato ai servizi **AWSServiceRoleForKeyManagementServiceCustomKeyStores**, ma puoi modificare la descrizione del ruolo. Per istruzioni, consulta [Modifica di un ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l'utente di IAM*.
## Eliminazione del ruolo collegato ai servizi
AWS KMS non elimina il ruolo **AWSServiceRoleForKeyManagementServiceCustomKeyStores**collegato al servizio dal tuo Account AWS anche se hai [eliminato tutti i tuoi archivi di chiavi](delete-keystore.md). AWS CloudHSM Sebbene al momento non esista una procedura per eliminare il ruolo **AWSServiceRoleForKeyManagementServiceCustomKeyStores**collegato al servizio, non assume questo ruolo né ne utilizza le autorizzazioni a meno che AWS KMS non disponga di archivi di chiavi attivi. AWS CloudHSM
# Autorizzazione AWS KMS alla sincronizzazione di chiavi multiregionali
Per supportare [le chiavi multiregionali](multi-region-keys-auth.md), è AWS KMS necessaria l'autorizzazione per sincronizzare le [proprietà condivise](multi-region-keys-overview.md#mrk-sync-properties) di una chiave primaria multiregionale con le relative chiavi di replica. Per ottenere queste autorizzazioni, AWS KMS crea il ruolo collegato al servizio in **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**. Account AWS Gli utenti che creano chiavi multiregionali devono disporre dell'`iam:CreateServiceLinkedRole`autorizzazione che consenta loro di creare ruoli collegati ai servizi.
È possibile visualizzare l'[SynchronizeMultiRegionKey](ct-synchronize-multi-region-key.md) CloudTrail evento che registra la AWS KMS sincronizzazione delle proprietà condivise nei registri. AWS CloudTrail
Per visualizzare i dettagli sugli aggiornamenti della politica **AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy**gestita, vedere. [AWS KMS aggiornamenti alle politiche AWS gestite](security-iam-awsmanpol.md#security-iam-awsmanpol-updates)
**Topics**
+ [Informazioni sul ruolo collegato ai servizi per le chiavi multi-regione](#about-multi-region-slr)
+ [Creazione del ruolo collegato ai servizi](#create-mrk-slr)
+ [Modifica della descrizione di un ruolo collegato ai servizi](#edit-mrk-slr)
+ [Eliminazione del ruolo collegato ai servizi](#delete-mrk-slr)
## Informazioni sul ruolo collegato ai servizi per le chiavi multi-regione
Un [ruolo collegato ai servizi è un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) IAM che concede a un AWS servizio l'autorizzazione a chiamare altri AWS servizi per tuo conto. È progettato per semplificare l'utilizzo delle funzionalità di più AWS servizi integrati senza dover creare e mantenere politiche IAM complesse.
Per le chiavi multiregionali, AWS KMS crea il ruolo **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**collegato ai servizi con la **AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy**policy gestita. Questa policy dà al ruolo l’autorizzazione `kms:SynchronizeMultiRegionKey`, che consente di sincronizzare le proprietà condivise delle chiavi multi-regione.
Poiché solo il ruolo **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**collegato al servizio è affidabile`mrk.kms.amazonaws.com`, solo AWS KMS può assumere questo ruolo collegato al servizio. Questo ruolo è limitato alle operazioni che AWS KMS richiedono la sincronizzazione delle proprietà condivise in più regioni. Non fornisce autorizzazioni AWS KMS aggiuntive. Ad esempio, AWS KMS non dispone dell'autorizzazione per creare, replicare o eliminare alcuna chiave KMS.
Per ulteriori informazioni su come AWS i servizi utilizzano i ruoli collegati ai servizi, consulta Using Service-Linked Roles nella [IAM User Guide](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Sid" : "KMSSynchronizeMultiRegionKey",
"Effect" : "Allow",
"Action" : [
"kms:SynchronizeMultiRegionKey"
],
"Resource" : "*"
}
]
}
```
------
## Creazione del ruolo collegato ai servizi
AWS KMS crea automaticamente il ruolo **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**collegato ai servizi in tuo Account AWS quando crei una chiave multiregionale, se il ruolo non esiste già. Non è possibile creare o ricreare direttamente questo ruolo collegato ai servizi.
## Modifica della descrizione di un ruolo collegato ai servizi
Non è possibile modificare il nome del ruolo o le dichiarazioni politiche nel ruolo **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**collegato al servizio, ma è possibile modificare la descrizione del ruolo. Per istruzioni, consulta [Modifica di un ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l'utente di IAM*.
## Eliminazione del ruolo collegato ai servizi
AWS KMS non elimina il ruolo **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**collegato al servizio dal tuo Account AWS e non puoi eliminarlo. Tuttavia, AWS KMS non assume il **AWSServiceRoleForKeyManagementServiceMultiRegionKeys**ruolo né utilizza alcuna delle sue autorizzazioni a meno che non si disponga di chiavi multiregionali nella propria area geografica. Account AWS
# Registrazione e monitoraggio AWS Key Management Service
Il monitoraggio è una parte importante della comprensione della disponibilità, dello stato e dell'utilizzo delle AWS KMS keys in AWS KMS. Il monitoraggio aiuta a mantenere la sicurezza, l'affidabilità, la disponibilità e le prestazioni delle AWS soluzioni. AWS fornisce diversi strumenti per il monitoraggio delle chiavi KMS.
**AWS CloudTrail Registri**
Ogni chiamata a un'operazione AWS KMS API viene acquisita come evento in un AWS CloudTrail registro. Questi registri registrano tutte le chiamate API dalla AWS KMS console e le chiamate effettuate da AWS KMS e altri AWS servizi. Le chiamate API tra account, ad esempio una chiamata a utilizzare una chiave KMS in un altro account Account AWS, vengono registrate nei CloudTrail registri di entrambi gli account.
Durante la risoluzione dei problemi o il controllo puoi utilizzare il log per ricostruire il ciclo di vita di una chiave KMS. Puoi inoltre visualizzare la gestione e l'utilizzo della chiave KMS nelle operazioni di crittografia. Per ulteriori informazioni, consulta [Registrazione delle chiamate AWS KMS API con AWS CloudTrail](logging-using-cloudtrail.md).
** CloudWatch Registri Amazon**
Monitora, archivia e accedi ai tuoi file di registro da AWS CloudTrail e altre fonti. Per ulteriori informazioni, consulta la [Amazon CloudWatch User Guide](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/).
Infatti AWS KMS, CloudWatch memorizza informazioni utili che ti aiutano a prevenire problemi con le tue chiavi KMS e le risorse che proteggono. Per ulteriori informazioni, consulta [Monitora le chiavi KMS con Amazon CloudWatch](monitoring-cloudwatch.md).
**Amazon EventBridge**
AWS KMS genera EventBridge eventi quando la chiave KMS viene [ruotata o [eliminata](deleting-keys.md)](rotate-keys.md) o il [materiale chiave importato nella chiave](importing-keys.md) KMS scade. Cerca AWS KMS eventi (operazioni API) e indirizzali a una o più funzioni o flussi di destinazione per acquisire informazioni sullo stato. Per ulteriori informazioni, consulta [Monitora le chiavi KMS con Amazon EventBridge](kms-events.md) la [Amazon EventBridge User Guide](https://docs.aws.amazon.com/eventbridge/latest/userguide/).
** CloudWatch Metriche Amazon**
Puoi monitorare le tue chiavi KMS utilizzando i CloudWatch parametri, che raccolgono ed elaborano dati grezzi per trasformarli in metriche prestazionali. AWS KMS I dati vengono registrati a intervalli di due settimane in modo da poter visualizzare le tendenze delle informazioni correnti e cronologiche. Questo ti aiuta a capire come vengono usate le tue chiavi KMS e come il loro utilizzo cambia nel tempo. Per informazioni sull'utilizzo delle CloudWatch metriche per monitorare le chiavi KMS, consulta. [AWS KMS metriche e dimensioni](monitoring-cloudwatch.md#kms-metrics)
** CloudWatch Allarmi Amazon**
Osserva una singola modifica del parametro in un periodo di tempo specificato. Quindi esegui una o più operazioni basate sul valore del parametro relativo a una soglia per un certo numero di periodi. Ad esempio, puoi creare un CloudWatch allarme che viene attivato quando qualcuno tenta di utilizzare una chiave KMS la cui eliminazione è pianificata in un'operazione crittografica. Ciò indica che la chiave KMS è ancora in uso e probabilmente non dovrebbe essere eliminata. Per ulteriori informazioni, consulta [Crea un allarme che rileva l'uso di una chiave KMS in attesa di eliminazione](deleting-keys-creating-cloudwatch-alarm.md).
**AWS Security Hub CSPM**
È possibile monitorare AWS KMS l'utilizzo per verificare la conformità agli standard del settore della sicurezza e alle migliori pratiche utilizzando. AWS Security Hub CSPM Security Hub CSPM utilizza i controlli di sicurezza per valutare le configurazioni delle risorse e gli standard di sicurezza per aiutarti a rispettare vari framework di conformità. Per ulteriori informazioni, consulta [Controlli di AWS Key Management Service](https://docs.aws.amazon.com/securityhub/latest/userguide/kms-controls.html) nella *Guida per l'utente di AWS Security Hub *.
# Convalida della conformità per AWS Key Management Service
I revisori esterni valutano la sicurezza e la conformità nell' AWS Key Management Service ambito di più programmi di AWS conformità. Questi includono SOC, PCI, FedRAMP, HIPAA e altri.
**Topics**
+ [Documenti di conformità e sicurezza](#compliance-documents)
+ [Ulteriori informazioni](#compliance-more)
## Documenti di conformità e sicurezza
I seguenti documenti di conformità e sicurezza riguardano AWS KMS. Per visualizzarli, usa [AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/what-is-aws-artifact.html).
+ Cloud Computing Compliance Controls Catalogue (C5)
+ ISO 27001:2013 Statement of Applicability (SoA)
+ Certificazione ISO 27001:2013
+ ISO 27017:2015 Statement of Applicability (SoA)
+ Certificazione ISO 27017:2015
+ ISO 27018:2015 Statement of Applicability (SoA)
+ Certificazione ISO 27018:2014
+ Certificazione ISO 9001:2015
+ Attestazione di conformità allo standard DSS PCI e riepilogo delle responsabilità
+ Service Organization Controls (SOC) 1 Report
+ Service Organization Controls (SOC) 2 Report
+ Service Organization Controls (SOC) 2 Report For Confidentiality
+ FedRAMP-High
Per assistenza sull'utilizzo AWS Artifact, consulta [Scaricamento dei report in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).
## Ulteriori informazioni
La vostra responsabilità di conformità durante l'utilizzo AWS KMS è determinata dalla sensibilità dei dati, dagli obiettivi di conformità dell'azienda e dalle leggi e dai regolamenti applicabili. Se l'utilizzo di AWS KMS è soggetto alla conformità a uno standard pubblicato, AWS fornisce risorse per aiutarti a:
+ [AWS Servizi che rientrano nell'ambito del programma di conformità](https://aws.amazon.com/compliance/services-in-scope/): questa pagina elenca AWS i servizi che rientrano nell'ambito di programmi di conformità specifici. Per informazioni generali, consulta [Programmi di conformità di AWS](https://aws.amazon.com/compliance/programs/).
+ [Guide introduttive su sicurezza e conformità](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance): queste guide all'implementazione illustrano considerazioni sull'architettura e forniscono passaggi per implementare ambienti di base incentrati sulla sicurezza e sulla conformità. AWS
+ [AWS Risorse per la conformità](https://aws.amazon.com/compliance/resources/): questa raccolta di cartelle di lavoro e guide potrebbe riguardare il settore e la località in cui operi.
+ [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)— Questo AWS servizio valuta la conformità delle configurazioni delle risorse alle pratiche interne, alle linee guida del settore e alle normative.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)— Questo AWS servizio offre una visione completa dello stato di sicurezza dell'utente all'interno. AWS Security Hub CSPM utilizza i controlli di sicurezza per valutare le AWS risorse e verificare la conformità rispetto agli standard e alle migliori pratiche del settore della sicurezza. Per un elenco dei servizi e dei controlli supportati, consulta il riferimento ai controlli [CSPM di Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-controls-reference.html).
# Resilienza in AWS Key Management Service
L'infrastruttura AWS globale è costruita attorno a Regioni AWS zone di disponibilità. Regioni AWS forniscono più zone di disponibilità fisicamente separate e isolate, collegate con reti a bassa latenza, ad alto throughput e altamente ridondanti. Con le zone di disponibilità, è possibile progettare e gestire applicazioni e database che eseguono il failover automatico tra zone di disponibilità senza interruzioni. Le zone di disponibilità sono più disponibili, tolleranti ai guasti e scalabili rispetto alle infrastrutture tradizionali a data center singolo o multiplo.
Oltre all'infrastruttura AWS globale, AWS KMS offre diverse funzionalità per supportare le esigenze di resilienza e backup dei dati. Per ulteriori informazioni sulle Regioni AWS zone di disponibilità, consulta [AWS Global Infrastructure](https://aws.amazon.com/about-aws/global-infrastructure/).
## Isolamento regionale
AWS Key Management Service (AWS KMS) è un servizio regionale autosufficiente disponibile per tutti. Regioni AWS La progettazione isolata a livello regionale AWS KMS garantisce che un problema di disponibilità in una regione Regione AWS non possa influire sul AWS KMS funzionamento in nessun'altra regione. AWS KMS è progettato per garantire *zero tempi di inattività pianificati*, con tutti gli aggiornamenti software e le operazioni di scalabilità eseguiti senza interruzioni e impercettibili.
Il AWS KMS [Service Level Agreement](https://aws.amazon.com/kms/sla/) (SLA) include un impegno di servizio del 99,999% per tutti i KMS. APIs Per portare a termine questo impegno, AWS KMS garantisce che tutti i dati e le informazioni di autorizzazione necessarie per eseguire una richiesta API siano disponibili su tutti gli host regionali che ricevono la richiesta.
L' AWS KMS infrastruttura viene replicata in almeno tre zone di disponibilità () AZs in ogni regione. Per garantire che i guasti di più host non influiscano sulle AWS KMS prestazioni, AWS KMS è progettata per soddisfare il traffico dei clienti proveniente da qualsiasi area AZs geografica.
Le modifiche apportate alle proprietà o alle autorizzazioni di una chiave KMS vengono replicate in tutti gli host della regione per garantire che la richiesta successiva possa essere elaborata correttamente da qualunque host nella regione. Le richieste di [operazioni crittografiche](kms-cryptography.md#cryptographic-operations) che utilizzano la chiave KMS vengono inoltrate a una flotta di moduli di sicurezza AWS KMS hardware (HSMs), ognuno dei quali può eseguire l'operazione con la chiave KMS.
## Design multi-tenant
Il design multi-tenant di AWS KMS consente di soddisfare lo SLA di disponibilità del 99,999% e di sostenere tassi di richieste elevati, proteggendo al contempo la riservatezza delle chiavi e dei dati.
Sono implementati più meccanismi di applicazione dell'integrità per garantire che la chiave KMS specificata per l'operazione crittografica sia sempre quella utilizzata.
Il materiale della chiave in testo normale per le chiavi KMS è ampiamente protetto. Il materiale della chiave viene crittografato nel modulo HSM non appena viene creato e quest'ultimo viene spostato immediatamente in uno storage sicuro a bassa latenza. La chiave crittografata viene recuperata e decrittografata all'interno del modulo HSM solo nel momento in cui viene utilizzata. La chiave in testo normale rimane nella memoria HSM solo per il tempo necessario al completamento dell'operazione di crittografia. Dopo di che, viene nuovamente crittografata nel modulo HSM e la chiave crittografata viene restituita allo storage. Il materiale chiave in testo semplice non esce mai dall'archivio HSMs; non viene mai scritto su un dispositivo di archiviazione persistente.
## Le migliori pratiche di resilienza in AWS KMS
Per ottimizzare la resilienza AWS KMS delle risorse, prendi in considerazione le seguenti strategie.
+ Per il supporto della strategia di backup e ripristino di emergenza, valuta le *chiavi multi-regione*, costituite da chiavi KMS create in un'unica Regione AWS e replicate solo nelle regioni che hai specificato. Con le chiavi multiregionali, è possibile spostare risorse crittografate tra Regioni AWS (all'interno della stessa partizione) senza mai esporre il testo in chiaro e decrittografare la risorsa, quando necessario, in una delle regioni di destinazione. Le chiavi multi-regione correlate sono interoperabili perché condividono lo stesso materiale e lo stesso ID, ma hanno policy indipendenti per il controllo degli accessi ad alta risoluzione. Per informazioni dettagliate, consulta [Chiavi multi-regione in AWS KMS](multi-region-keys-overview.md).
+ [[Per proteggere le tue chiavi in un servizio multi-tenant come AWS KMS, assicurati di utilizzare i controlli di accesso, comprese le policy chiave e le policy IAM.](iam-policies.md)](key-policies.md) Inoltre, puoi inviare le tue richieste AWS KMS utilizzando un *endpoint con interfaccia VPC alimentato* da. AWS PrivateLink In tal caso, tutte le comunicazioni tra Amazon VPC e AWS KMS vengono condotte interamente all'interno della AWS rete utilizzando un AWS KMS endpoint dedicato limitato al tuo VPC. Puoi proteggere ulteriormente queste richieste creando un livello di autorizzazione aggiuntivo tramite le [policy degli endpoint VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/interface-endpoints.html#edit-vpc-endpoint-policy). Per ulteriori dettagli, consulta [Connessione a AWS KMS mediante un endpoint VPC](kms-vpc-endpoint.md).
# Sicurezza dell'infrastruttura in AWS Key Management Service
In quanto servizio gestito, AWS Key Management Service (AWS KMS) è protetto dalle procedure di sicurezza di rete AWS globali descritte in [Amazon Web Services: panoramica dei processi di sicurezza](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf).
Per accedere AWS KMS tramite la rete, puoi chiamare le operazioni AWS KMS API descritte nell'[AWS Key Management Service API Reference](https://docs.aws.amazon.com/kms/latest/APIReference/). AWS KMS richiede TLS 1.2 e consiglia TLS 1.3 in tutte le regioni. AWS KMS supporta anche il TLS ibrido post-quantistico per gli endpoint di AWS KMS servizio in tutte le regioni, ad eccezione delle regioni della Cina. AWS KMS non supporta il TLS ibrido post-quantistico per gli endpoint FIPS in. AWS GovCloud (US) Per utilizzare [endpoint standard AWS KMS](https://docs.aws.amazon.com/general/latest/gr/kms.html) o [endpoint FIPS AWS KMS](https://docs.aws.amazon.com/general/latest/gr/kms.html), i client devono supportare TLS 1.2 o versioni successive. I client devono, inoltre, supportare le suite di crittografia con PFS (Perfect Forward Secrecy), ad esempio Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La maggior parte dei sistemi moderni come Java 7 e versioni successive, supporta tali modalità.
Inoltre, le richieste devono essere firmate utilizzando un chiave di accesso ID e una chiave di accesso segreta associata a un account principale IAM. In alternativa è possibile utilizzare [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) per generare credenziali di sicurezza temporanee per sottoscrivere le richieste.
Puoi chiamare queste operazioni API da qualsiasi posizione di rete, ma AWS KMS supporta condizioni di policy globali che consentono di controllare l'accesso a una chiave KMS in base all'indirizzo IP di origine, al VPC e all'endpoint VPC. È possibile utilizzare le chiavi di condizione globali nelle policy delle chiavi e nelle policy IAM. Tuttavia, queste condizioni possono AWS impedire l'utilizzo della chiave KMS per tuo conto. Per informazioni dettagliate, vedi [AWS chiavi di condizione globali](conditions-aws.md).
Ad esempio, la seguente dichiarazione politica chiave consente agli utenti che possono assumere il `KMSTestRole` ruolo di utilizzarla AWS KMS key per le [operazioni crittografiche](kms-cryptography.md#cryptographic-operations) specificate, a meno che l'indirizzo IP di origine non sia uno degli indirizzi IP specificati nella politica.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": {"AWS":
"arn:aws:iam::111122223333:role/KMSTestRole"},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"NotIpAddress": {
"aws:SourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]
}
}
}
}
```
------
## Isolamento di host fisici
La sicurezza dell'infrastruttura fisica AWS KMS utilizzata è soggetta ai controlli descritti nella sezione **Sicurezza fisica e ambientale** di [Amazon Web Services: panoramica dei processi di sicurezza](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf). Puoi trovare altri dettagli nei report di conformità e nei risultati degli audit di terze parti elencati nella sezione precedente.
AWS KMS è supportato da moduli di sicurezza hardware rinforzati dedicati (HSMs) progettati con controlli specifici per resistere agli attacchi fisici. HSMs Sono dispositivi fisici che *non* dispongono di un livello di virtualizzazione, come un hypervisor, che condivide il dispositivo fisico tra diversi tenant logici. Il materiale chiave per AWS KMS keys viene archiviato solo nella memoria volatile di e solo mentre la HSMs chiave KMS è in uso. Questa memoria viene cancellata quando il modulo HSM non è in stato operativo, inclusi arresti e ripristini previsti e non intenzionali. Per informazioni dettagliate sul funzionamento di AWS KMS HSMs, vedere Dettagli [AWS Key Management Service crittografici](https://docs.aws.amazon.com/kms/latest/cryptographic-details/).