Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Guida per le chiavi KMS
<a name="kms-guidance"></a>

AWS Control Tower funziona con AWS Key Management Service (AWS KMS). Facoltativamente, se desideri crittografare e decrittografare le risorse AWS Control Tower con una chiave di crittografia gestita da te, puoi generare e configurare. AWS KMS keys Puoi aggiungere o modificare una chiave KMS ogni volta che aggiorni la tua landing zone. Come best practice, ti consigliamo di utilizzare le tue chiavi KMS e di cambiarle di tanto in tanto.

AWS KMS consente di creare chiavi KMS multiregionali e chiavi asimmetriche. Tuttavia, AWS Control Tower non supporta chiavi multiregionali o chiavi asimmetriche. AWS Control Tower esegue un controllo preliminare delle chiavi esistenti. Potresti visualizzare un messaggio di errore se selezioni una chiave multiregionale o una chiave asimmetrica. In tal caso, genera un'altra chiave da utilizzare con le risorse AWS Control Tower.

*Per i clienti che gestiscono un cluster AWS CloudHSM: crea un archivio di chiavi personalizzato associato al tuo cluster CloudHSM*. Quindi puoi creare una chiave KMS, che risiede nell'archivio di chiavi personalizzato di CloudHSM che hai creato. Puoi aggiungere questa chiave KMS a AWS Control Tower.

È necessario effettuare un aggiornamento specifico alla policy di autorizzazione di una chiave KMS per farla funzionare con AWS Control Tower. Per i dettagli, consulta la sezione chiamata. [Aggiorna la politica delle chiavi KMS](configure-kms-keys.md#kms-key-policy-update)