Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Creazione di chiavi di replica multiregionali
[È possibile creare una [chiave di replica multiregionale](multi-region-keys-overview.md#mrk-primary-key) nella AWS KMS console, utilizzando l'[ReplicateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html)operazione o utilizzando un modello. AWS::KMS::ReplicaKey CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-kms-replicakey.html) Non è possibile utilizzare l'[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operazione per creare una chiave di replica.
È possibile utilizzare queste procedure per replicare qualsiasi chiave primaria multi-regione, incluse le [chiavi KMS di crittografia simmetrica](symm-asymm-choose-key-spec.md#symmetric-cmks), le [chiavi KMS asimmetriche](symmetric-asymmetric.md) e le [chiavi KMS HMAC](hmac.md).
Al termine di questa operazione, la nuova chiave di replica presenta uno [stato chiave](key-state.md) `Creating`. Lo stato della chiave cambia in `Enabled` (o `PendingImport` se si crea una chiave multiregionale con [materiale chiave importato](importing-keys.md)) dopo alcuni secondi, quando il processo di creazione della nuova chiave di replica è completo. Quando lo stato della chiave è `Creating`, puoi visualizzare e gestire la chiave, ma non utilizzarla per operazioni di crittografia. Se state creando e utilizzando la chiave di replica a livello di codice, riprovate `KMSInvalidStateException` o chiamate [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)per verificarne il valore prima di utilizzarla. `KeyState`
Se si elimina accidentalmente una chiave di replica, è possibile utilizzare questa procedura per ricrearla. Se si replica la stessa chiave primaria nella stessa regione, la nuova chiave di replica creata avrà le stesse [proprietà condivise](multi-region-keys-overview.md#mrk-sync-properties) della chiave di replica originale.
**Importante**
Non includere informazioni riservate o sensibili nell'alias, nella descrizione o nei tag. Questi campi possono apparire in testo semplice nei CloudTrail log e in altri output.
Per utilizzare un AWS CloudFormation modello per creare una chiave di replica, consulta [AWS::KMS::ReplicaKey](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-kms-replicakey.html)la Guida per l'*AWS CloudFormation utente*.
## Passaggio 1: Scegli le regioni di replica
In genere si sceglie di replicare una chiave multiregionale in una in Regione AWS base al modello di business e ai requisiti normativi. Ad esempio, puoi replicare una chiave nelle Regioni in cui conservi le tue risorse. In alternativa, per soddisfare i requisiti di ripristino di emergenza, è possibile replicare una chiave in Regioni geograficamente distanti.
Di seguito sono riportati i AWS KMS requisiti per le regioni di replica. Se la Regione scelta non è conforme a questi requisiti, i tentativi di replicare una chiave hanno esito negativo.
+ **Una chiave multiregione correlata per Regione**: non è possibile creare una chiave di replica nella stessa Regione della chiave primaria o nella stessa Regione di un'altra replica della chiave primaria.
Se si prova a replicare una chiave primaria in una regione che ha già una replica di quella chiave primaria, il tentativo avrà esito negativo. Se la chiave di replica corrente nella regione si trova nello [stato delle chiavi `PendingDeletion`](key-state.md), è possibile [annullare l'eliminazione della chiave di replica](deleting-keys-scheduling-key-deletion.md) oppure attendere fino a quando la chiave di replica non viene eliminata.
+ **Più chiavi multiregione non correlate nella stessa Regione** — È possibile avere più chiavi multiregione non correlate nella stessa Regione. Ad esempio, è possibile avere due chiavi primarie multiregione nella Regione `us-east-1`. Ciascuna delle chiavi primarie può avere una chiave di replica nella Regione `us-west-2`.
+ **Regioni nella stessa partizione** — La Regione della chiave di replica deve trovarsi nella stessa [partizione AWS](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) della Regione della chiave primaria.
+ **La Regione deve essere abilitata** — Se una regione è [disabilitata per impostazione predefinita](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html#rande-manage-enable), non è possibile creare alcuna risorsa in tale Regione finché non viene abilitata per il tuo Account AWS.
## Passaggio 2: Creare chiavi di replica
**Nota**
Quando crei le chiavi di replica, considera attentamente gli utenti e i ruoli IAM che scegli per amministrare e utilizzare la chiave di replica. Le policy IAM possono fornire ad altri ruoli e utenti IAM l'autorizzazione per gestire la chiave KMS.
Le best practice di IAM disincentivano l'uso di utenti IAM con credenziali a lungo termine. Quando possibile, utilizza i ruoli IAM che forniscono credenziali temporanee. Per i dettagli, consulta la sezione [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l'utente IAM*.
### Utilizzo della console AWS KMS
Nella AWS KMS console, è possibile creare una o più repliche di una chiave primaria multiregionale con la stessa operazione.
Questa procedura è simile alla creazione di una chiave KMS standard per singola Regione nella console. Tuttavia, poiché una chiave di replica è basata sulla chiave primaria, non è possibile selezionare i valori per le [proprietà condivise](multi-region-keys-overview.md#mrk-sync-properties), ad esempio la specifica della chiave (simmetrica o asimmetrica), l'utilizzo della chiave o l'origine della chiave.
È possibile specificare proprietà non condivise, tra cui un alias, tag, una descrizione e una policy chiave. Per comodità, la console visualizza i valori delle proprietà correnti della chiave primaria, ma è possibile modificarli. Anche se si mantengono i valori della chiave primaria, questi valori AWS KMS non vengono mantenuti sincronizzati.
**Importante**
Non includere informazioni riservate o sensibili nell'alias, nella descrizione o nei tag. Questi campi possono apparire in testo semplice nei CloudTrail log e in altri output.
1. Accedi Console di gestione AWS e apri la console AWS Key Management Service (AWS KMS) in [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.
1. Nel riquadro di navigazione, scegli **Chiavi gestite dal cliente**.
1. Seleziona l'alias o l'ID chiave di una [chiave primaria multiregione](multi-region-keys-overview.md#mrk-primary-key). In questo modo si apre la pagina dei dettagli delle chiavi per la chiave KMS.
Per identificare una chiave primaria multiregione, utilizza l'icona dello strumento nell'angolo in alto a destra per aggiungere la colonna **Regionalità** nella tabella.
1. Seleziona la tab **Regionalità**.
1. Nella sezione **Chiavi multiregione correlate**, scegli **Crea nuove chiavi di replica**.
Le **chiavi multiregione correlate** mostrano la Regione della chiave primaria e le relative chiavi di replica. È possibile utilizzare questa visualizzazione per scegliere la Regione per la nuova chiave di replica.
1. Scegli una o più Regioni AWS. Questa procedura crea una chiave di replica in ciascuna delle Regioni selezionate.
Il menu include solo le regioni nella stessa AWS partizione della chiave primaria. Le Regioni che dispongono già di una chiave multiregione correlata vengono visualizzate, ma non sono selezionabili. È possibile che non si disponga dell'autorizzazione per replicare una chiave in tutte le Regioni del menu.
Quando hai finito di scegliere Regioni, chiudi il menu. Vengono visualizzate le Regioni selezionate. Per annullare la replica in una Regione, scegli la casella di controllo **X** accanto al nome della Regione.
1. Digita un [alias](kms-alias.md) per la chiave di replica.
La console visualizza uno degli alias correnti della chiave primaria, ma è possibile modificarlo. È possibile assegnare alla chiave primaria multiregione e alle relative repliche gli stessi alias o alias diversi. Gli alias non sono una [proprietà condivisa delle chiavi](multi-region-keys-overview.md#mrk-sync-properties) multiregionali. AWS KMS non sincronizza gli alias delle chiavi multiregionali.
L'aggiunta, l'eliminazione o l'aggiornamento di un alias può consentire o negare l'autorizzazione alla chiave KMS. Per informazioni dettagliate, consulta [ABAC per AWS KMS](abac.md) e [Usa gli alias per controllare l'accesso alle chiavi KMS](alias-authorization.md).
1. (Facoltativo) Digita una descrizione della chiave di replica.
La console visualizza la descrizione corrente della chiave primaria, ma è possibile modificarla. Le descrizioni non sono una proprietà condivisa delle chiavi multiregione. È possibile assegnare alla chiave primaria multiregione e alle relative repliche la stessa descrizione o descrizioni diverse. AWS KMS non sincronizza le descrizioni dei tasti delle chiavi multiregionali.
1. (Facoltativo) Digita tag per una chiave di un valore di tag facoltativo. Per assegnare più di un tag alla chiave di replica, scegli **Aggiungi tag**.
Nella console vengono visualizzati i tag attualmente collegati alla chiave primaria, ma è possibile modificarli. I tag non sono una proprietà condivisa delle chiavi multiRegione. È possibile assegnare alla chiave primaria multiregione e alle relative repliche gli stessi tag o tag diversi. AWS KMS non sincronizza i tag delle chiavi multiregionali.
L'applicazione o l'eliminazione di un tag chiave KMS può consentire o negare l'autorizzazione alla chiave KMS. Per informazioni dettagliate, consulta [ABAC per AWS KMS](abac.md) e [Usa i tag per controllare l'accesso alle chiavi KMS](tag-authorization.md).
1. Seleziona i ruoli e gli utenti IAM che possono gestire la chiave di replica.
**Note**
Se hai modificato la politica delle chiavi predefinita durante la creazione della chiave primaria multiregionale, la console non ti chiederà di selezionare gli amministratori o gli utenti chiave (passaggi 11-15) durante la creazione della chiave di replica. **In questo caso, dovrai aggiungere manualmente le autorizzazioni necessarie per gli amministratori e gli utenti principali alla politica chiave selezionando **Modifica nel passaggio Modifica** la politica chiave (Passaggio 17).**
Questo passaggio avvia il processo di creazione di una [policy chiave](key-policies.md) per la chiave di replica. Nella console vengono visualizzate le policy chiave correnti della chiave primaria, ma è possibile modificarle. Le policy chiave non sono una proprietà condivisa delle chiavi multiregione. È possibile assegnare alla chiave primaria multiregione e alle relative repliche le stesse policy chiave o policy chiave diverse. AWS KMS non sincronizza le policy chiave. È possibile modificare la policy chiave delle chiavi KMS in qualsiasi momento.
La AWS KMS console aggiunge gli amministratori chiave alla politica chiave sotto l'identificatore dell'istruzione. `"Allow access for Key Administrators"` La modifica di questo identificatore di istruzione potrebbe influire sul modo in cui la console visualizza gli aggiornamenti apportati all'istruzione.
1. (Facoltativo) Per impedire ai ruoli e agli utenti IAM selezionati di eliminare questa chiave KMS, nella sezione **Eliminazione chiave** nella parte inferiore della pagina, deseleziona la casella di controllo **Consenti agli amministratori delle chiavi di eliminare questa chiave**.
1. Scegli **Next (Successivo)**.
1. Seleziona i ruoli e gli utenti IAM che possono utilizzare la chiave KMS per [operazioni di crittografia](kms-cryptography.md#cryptographic-operations).
**Nota**
La AWS KMS console aggiunge gli utenti chiave alla politica chiave sotto gli `"Allow use of the key"` identificatori di dichiarazione e. `"Allow attachment of persistent resources"` La modifica di questi identificatori delle istruzioni potrebbe influire sul modo in cui la console visualizza gli aggiornamenti apportati all'istruzione.
1. (Facoltativo) È possibile consentire ad altri Account AWS di utilizzare questa chiave KMS per operazioni crittografiche. A questo proposito, nella sezione **Altri Account AWS**, nella parte inferiore della pagina, scegli **Aggiungi un altro Account AWS** e inserisci il numero di identificazione Account AWS di un account esterno. Per aggiungere più account esterni, ripetere questo passaggio.
**Nota**
Per consentire ai principali negli account esterni di utilizzare la chiave KMS, gli amministratori dell'account esterno devono creare policy IAM che forniscono tali autorizzazioni. Per ulteriori informazioni, consultare [Autorizzazione per gli utenti in altri account di utilizzare una chiave KMS](key-policy-modifying-external-accounts.md).
1. Scegli **Next (Successivo)**.
1. Consulta le principali dichiarazioni politiche relative alla chiave. Per apportare modifiche alla politica chiave, seleziona **Modifica**.
1. Scegli **Next (Successivo)**.
1. Esaminare le principali impostazioni scelte. È comunque possibile tornare indietro e modificare tutte le impostazioni.
1. Scegli **Fine** per creare la chiave di replica multiregionale.
### Utilizzo dell'API AWS KMS
Per creare una chiave di replica multiregionale, utilizzare l'[ReplicateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html)operazione. Non è possibile utilizzare l'[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operazione per creare una chiave di replica. Questa operazione crea una chiave di replica per volta. La regione specificata deve essere conforme ai [Requisiti per le Regioni](#replica-region) per le chiavi di replica.
Quando si utilizza l'operazione `ReplicateKey`, non specificare valori per le [proprietà condivise](multi-region-keys-overview.md#mrk-sync-properties) delle chiavi multiregione. I valori delle proprietà condivise vengono copiati dalla chiave primaria e mantenuti sincronizzati. Tuttavia, è possibile specificare valori per proprietà non condivise. Altrimenti, AWS KMS applica i valori predefiniti standard per le chiavi KMS, non i valori della chiave primaria.
**Nota**
Se non specifichi valori per i `Tags` parametri`Description`, o`KeyPolicy`, AWS KMS crea la chiave di replica con una descrizione di stringa vuota, la [politica di chiave predefinita](key-policy-default.md) e nessun tag.
Non includere informazioni riservate o sensibili nei campi `Description` o `Tags`. Questi campi possono apparire in testo semplice nei CloudTrail log e in altri output.
Ad esempio, il seguente comando crea una chiave di replica multiregione nella Regione Asia Pacifico (Sydney) (ap-southeast-2). Questa chiave di replica è modellata sulla chiave primaria nella Regione Stati Uniti orientali (Virginia settentrionale) (us-east-1), identificata dal valore del parametro `KeyId`. Questo esempio accetta valori predefiniti per tutte le altre proprietà, inclusa la policy chiave.
La risposta descrive la nuova chiave di replica. Include i campi per le proprietà condivise, ad esempio `KeyId`, `KeySpec`, `KeyUsage` e l'origine del materiale chiave (`Origin`). Include anche proprietà indipendenti dalla chiave primaria, come la `Description`, la policy chiave (`ReplicaKeyPolicy`), e i tag (`ReplicaTags`).
La risposta include anche l'ARN chiave e la Regione della chiave primaria e tutte le relative chiavi di replica, inclusa quella appena creata nella Regione ap-southeast-2. In questo esempio, l'elemento `ReplicaKey` mostra che questa chiave primaria è già stata replicata nella Regione Europa (Irlanda) (eu-west-1).
```
$ aws kms replicate-key \
--key-id arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \
--replica-region ap-southeast-2
{
"ReplicaKeyMetadata": {
"MultiRegion": true,
"MultiRegionConfiguration": {
"MultiRegionKeyType": "REPLICA",
"PrimaryKey": {
"Arn": "arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
"Region": "us-east-1"
},
"ReplicaKeys": [
{
"Arn": "arn:aws:kms:ap-southeast-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
"Region": "ap-southeast-2"
},
{
"Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
"Region": "eu-west-1"
}
]
},
"AWSAccountId": "111122223333",
"Arn": "arn:aws:kms:ap-southeast-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
"CreationDate": 1607472987.918,
"Description": "",
"Enabled": true,
"KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
"KeyManager": "CUSTOMER",
"KeySpec": "SYMMETRIC_DEFAULT",
"KeyState": "Enabled",
"KeyUsage": "ENCRYPT_DECRYPT",
"Origin": "AWS_KMS",
"CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
"EncryptionAlgorithms": [
"SYMMETRIC_DEFAULT"
]
},
"ReplicaKeyPolicy": "{\n \"Version\" : \"2012-10-17\",\n \"Id\" : \"key-default-1\",...,
"ReplicaTags": []
}
```