Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Crittografare i risultati delle query gestite
<a name="encrypting-managed-results"></a>

Athena offre le seguenti opzioni per crittografare [Risultati delle query gestite](managed-results.md).

## Crittografa utilizzando una chiave proprietaria AWS
<a name="encrypting-managed-results-aws-owned-key"></a>

Questa è l’opzione di default quando si utilizzano i risultati di query gestite. Questa opzione indica che si desidera crittografare i risultati delle query utilizzando una chiave AWS proprietaria. AWS le chiavi di proprietà non sono archiviate nel tuo AWS account e fanno parte di una raccolta di chiavi KMS di cui AWS è proprietaria. Non ti viene addebitata alcuna commissione quando utilizzi chiavi AWS di proprietà e queste non vengono conteggiate nelle AWS KMS quote relative al tuo account.

## Crittografa utilizzando una chiave gestita AWS KMS dal cliente
<a name="encrypting-managed-results-customer-managed-key"></a>

Le chiavi gestite dal cliente sono le chiavi KMS del tuo AWS account che crei, possiedi e gestisci. Si ha il controllo completo di queste chiavi KMS, tra cui la definizione e il mantenimento delle policy delle chiavi, delle policy IAM e delle concessioni, l’abilitazione e la disabilitazione di tali chiavi, la rotazione del materiale crittografico, l’aggiunta di tag, la creazione di alias che fanno riferimento a esse e la pianificazione per l’eliminazione. Per ulteriori informazioni, consultare [Chiavi master del cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk).

## In che modo Athena utilizza la chiave gestita dal cliente per crittografare i risultati
<a name="encrypting-managed-results-how-ate-uses-cmk"></a>

Quando si specifica una chiave gestita dal cliente, Athena la utilizza per crittografare i risultati della query quando vengono archiviati nei risultati delle query gestite. La stessa chiave viene utilizzata per decrittografare i risultati quando si effettua chiamata `GetQueryResults`. Quando si imposta lo stato della chiave gestita dal cliente su disabilitato o se ne pianifica l’eliminazione, si impedisce ad Athena e a tutti gli utenti di crittografare o decrittografare i risultati con quella chiave.

DynamoDB utilizza la crittografia a busta e la gerarchia delle chiavi per criptare i dati. La chiave di crittografia AWS KMS viene utilizzata per generare e decrittografare la chiave root di questa gerarchia.

Ogni risultato viene crittografato utilizzando la chiave gestita dal cliente configurata nel gruppo di lavoro al momento della crittografia. Il passaggio della chiave a una chiave gestita dal cliente diversa o a una chiave AWS di proprietà non cripta nuovamente i risultati esistenti con la nuova chiave. L’eliminazione e la disabilitazione di una particolare chiave gestita dal cliente influiscono solo sulla decrittografia dei risultati crittografati dalla chiave.

Athena ha bisogno dell’accesso alla chiave di crittografia per eseguire operazioni `kms:Decrypt`, `kms:GenerateDataKey` e `kms:DescribeKey` per crittografare e decrittografare i risultati. Per ulteriori informazioni, consulta [Autorizzazioni di accesso a dati crittografati in Amazon S3](encryption.md#permissions-for-encrypting-and-decrypting-data). 

Il principale che invia la query utilizzando l’API `StartQueryExecution` e legge i risultati utilizzando `GetQueryResults` deve inoltre disporre dell’autorizzazione alla chiave gestita dal cliente e alle operazioni `kms:Decrypt`, `kms:GenerateDataKey` e `kms:DescribeKey` oltre alle autorizzazioni Athena e Amazon S3. Per ulteriori informazioni, vedere [Politiche chiave](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-default-allow-users) in. AWS KMS