Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Gestione dei segreti e delle politiche relative alle risorse
<a name="managing-secrets-resource-policies"></a>

Quando [configuri un provider vocale di terze parti](configure-third-party-speech-providers.md), dovrai creare un segreto in Secrets Manager che contenga la chiave API del provider vocale. La creazione del segreto è un processo in due fasi:
+ Crea il segreto contenente la chiave API. Per istruzioni, consulta [Creare un Gestione dei segreti AWS segreto](https://docs.aws.amazon.com/secretsmanager/latest/userguide/create_secret.html).
+ Configura le autorizzazioni necessarie:
  + Allega una politica basata sulle risorse al segreto.
  + Allega una policy basata sulle risorse alla chiave KMS (non alla chiave API) associata al segreto. La chiave KMS protegge la chiave API nel segreto.

  Queste politiche consentono a Connect Customer di accedere alla chiave API all'interno del segreto. Tieni presente che non puoi utilizzare la chiave `aws/secretsmanager` KMS predefinita; dovrai creare una nuova chiave o utilizzare una chiave esistente gestita dal cliente. Per ulteriori informazioni su come le chiavi KMS proteggono i segreti, vedi [Crittografia e decrittografia segrete in Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html).

Assicurati che la politica basata sulle risorse per il segreto includa le condizioni sostitutive `aws:SourceAccount` e `aws:SourceArn` confuse (vedi Il [problema del vice confuso) e che la](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) politica basata sulle risorse per la chiave KMS includa la condizione. `kms:EncryptionContext:SecretARN` Ciò garantirà che Connect Customer possa accedere alla chiave segreta dell'API solo nel contesto di una singola istanza specifica e possa accedere alla chiave KMS solo nel contesto sia di quell'istanza che del segreto specifico.

## Esempio di policy basata sulle risorse per i segreti di Secrets Manager
<a name="example-resource-policy-secrets-manager"></a>

Di seguito è riportato un esempio di policy basata sulle risorse che puoi allegare al tuo segreto.

```
{
  "Version":"2012-10-17",		 	 	                    
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "connect.amazonaws.com"
        ]
      },
      "Action": "secretsmanager:GetSecretValue",
      "Resource": "*",
      "Condition": {
        "ArnLike": {
          "aws:sourceArn": "///the ARN of your Amazon Connect instance///"
        },
        "StringEquals": {
          "aws:sourceAccount": "///Your account ID///"
        }
      }
    }
  ]
}
```

## Esempio di politica basata sulle risorse per AWS KMS key s
<a name="example-resource-policy-kms-keys"></a>

Di seguito è riportato un esempio di politica basata sulle risorse che puoi allegare alla tua chiave KMS.

```
{
  "Version":"2012-10-17",		 	 	                    
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "connect.amazonaws.com"
        ]
      },
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "ArnLike": {
          "aws:sourceArn": "///the ARN of your Amazon Connect instance///"
        },
        "StringEquals": {
          "aws:sourceAccount": "///Your account ID///",
          "kms:EncryptionContext:SecretARN": "///the ARN of your secrets manager secret///"
        }
      }
    }
  ]
}
```

## Allegare una policy basata sulle risorse al segreto di Secrets Manager
<a name="attaching-resource-policy-secrets-manager"></a>

[Per allegare una politica basata sulle risorse al tuo segreto, vai alla console Secrets Manager all'interno di Console di gestione AWS, vai al tuo segreto, scegli **Modifica autorizzazioni o Autorizzazioni****risorse** e quindi aggiungi o modifica la politica delle risorse direttamente nella pagina in modo che sia simile all'esempio.](#example-resource-policy-secrets-manager) Puoi anche allegare la politica delle risorse tramite il `put-resource-policy` comando AWS CLI's o a livello di codice utilizzando l'operazione API. [PutResourcePolicy](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_PutResourcePolicy.html)

## Allegare una politica basata sulle risorse alla chiave KMS
<a name="attaching-resource-policy-kms-key"></a>

[Per allegare una politica basata sulle risorse alla tua chiave KMS, vai alla AWS Key Management Service console all'interno di, vai alla tua chiave KMS e modifica la Console di gestione AWS politica chiave in modo che assomigli all'esempio.](#example-resource-policy-kms-keys) Puoi anche aggiornare la chiave tramite il `put-key-policy` comando AWS CLI's o a livello di codice utilizzando l'operazione API. [PutKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html)

## Chiavi API rotanti
<a name="rotating-api-keys"></a>

Consigliamo di ruotare le chiavi API almeno ogni 90 giorni per ridurre al minimo il rischio di compromissione e mantenere un processo di rotazione delle chiavi ben consolidato per le situazioni di emergenza.

Per ruotare una chiave API, devi ruotare il segreto in cui è contenuta. Per ulteriori informazioni su come [ruotare i segreti](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html), consulta Rotate *Secrets Manager nella Guida per l'utente* di Secrets Manager. Quando ruoti una chiave API, ti consigliamo di attendere che l'utilizzo della chiave precedente scenda a zero prima di revocare la vecchia chiave API per garantire che le richieste in corso non vengano influenzate.