Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Chiamata CreateKey
<a name="create-key"></a>

An AWS KMS key viene generato come risultato di una chiamata alla chiamata [https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)API.

Di seguito è riportato un sottoinsieme della [sintassi della richiesta da `CreateKey`](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html#API_CreateKey_RequestSyntax).

```
{
  "Description": "string",
  "KeySpec": "string",
  "KeyUsage": "string",
  "Origin": "string";
  "Policy": "string"
}
```

La richiesta accetta i seguenti dati in formato JSON.

**Description**  
(Facoltativo) Descrizione della chiave. Si consiglia di scegliere una descrizione che consenta di decidere se la chiave è appropriata per una determinata attività.

**KeySpec**  
Specifica il tipo di chiave KMS da creare. Il valore predefinito, SYMMETRIC\_DEFAULT, crea una chiave KMS di crittografia simmetrica. Questo parametro è facoltativo per le chiavi di crittografia simmetrica e richiesto per tutte le altre specifiche di chiave.

**KeyUsage**  
Specifica l'utilizzo della chiave. I valori validi sono `ENCRYPT_DECRYPT`, `SIGN_VERIFY` o `GENERATE_VERIFY_MAC`. Il valore predefinito è `ENCRYPT_DECRYPT`. Questo parametro è facoltativo per le chiavi di crittografia simmetrica e richiesto per tutte le altre specifiche di chiave.

** Origin**  
(Facoltativo) Specifica l’origine del materiale chiave della chiave KMS. Il valore predefinito è`AWS_KMS`, che indica che AWS KMS genera e gestisce il materiale chiave per la chiave KMS. Altri valori validi includono`EXTERNAL`, che rappresenta una chiave KMS creata senza materiale chiave per il [materiale chiave importato](https://docs.aws.amazon.com/kms/latest/developerguide/importing-keys.html) e `AWS_CLOUDHSM` che crea una chiave KMS in un [archivio chiavi personalizzato](https://docs.aws.amazon.com/kms/latest/developerguide/custom-key-store-overview.html) supportato da un AWS CloudHSM cluster controllato dall'utente.

**Policy**  
(Facoltativo) Policy da collegare alla chiave. Se la policy viene omessa, la chiave viene creata con la policy di predefinita (seguente) che consente all'account root e i principali IAM con autorizzazioni AWS KMS di gestirla.

Per i dettagli della policy, consulta [Policy delle chiavi in AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) e [Policy della chiave predefinita](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-default.html) nella *Guida per gli sviluppatori di AWS Key Management Service *.

La richiesta `CreateKey` restituisce una [risposta](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html#API_CreateKey_ResponseSyntax) che include una chiave ARN.

```
arn:{{<partition>}}:kms:{{<region>}}:{{<account-id>}}:key/{{<key-id>}}
```

Se `Origin` è `AWS_KMS`, dopo aver creato l'ARN, viene effettuata una richiesta a un HSM AWS KMS su una sessione autenticata per eseguire il provisioning del materiale della chiave (HBK) del modulo di sicurezza hardware (HSM). L'HBK è una chiave a 256 bit associata a questo ID della chiave KMS. Può essere generata solo su un HSM ed è progettata per non essere mai esportata al di fuori del limite HSM in chiaro. L'HBK è crittografato con la chiave di dominio corrente, DK0. Questi token crittografati HBKs sono denominati token a chiave crittografata (). EKTs Sebbene HSMs possano essere configurati per utilizzare una varietà di metodi di key wrapping, l'attuale implementazione utilizza AES-256 in Galois Counter Mode (GCM), uno schema di crittografia autenticato. Questa modalità di crittografia autenticata consente di proteggere alcuni metadati dei token delle chiavi esportate in cleartext.

Questo è rappresentato stilisticamente come:

```
EKT = Encrypt(DK0, HBK)
```

Alle chiavi KMS e alle successive vengono fornite due forme fondamentali di protezione HBKs: le politiche di autorizzazione impostate sulle chiavi KMS e le protezioni crittografiche sulle relative chiavi. HBKs Le sezioni rimanenti descrivono le protezioni crittografiche e la sicurezza delle funzioni di gestione in. AWS KMS

Oltre all'ARN, è possibile creare un nome significativo e associarlo alla chiave KMS creando un *alias* per la chiave. Una volta che un alias è stato associato a una chiave KMS, l'alias può essere utilizzato per identificare la chiave KMS nelle operazioni di crittografia. Per ulteriori informazioni, consulta [Using aliases (Utilizzo di alias)](https://docs.aws.amazon.com/kms/latest/developerguide/kms-alias.html) nella *Guida per lo sviluppatore di AWS Key Management Service *.

L'uso delle chiavi KMS è correlato a diversi livelli di autorizzazioni. AWS KMS abilita politiche di autorizzazione separate tra il contenuto crittografato e la chiave KMS. Ad esempio, un oggetto Amazon Simple Storage Service (Amazon S3) crittografato con envelope AWS KMS eredita la policy sul bucket Amazon S3. Tuttavia, l'accesso alla chiave di crittografia necessaria è determinato dalla policy di accesso sulla chiave KMS. Per informazioni sull'autorizzazione delle chiavi KMS, consulta [Autenticazione e controllo degli accessi per AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/control-access.html) nella *Guida per gli sviluppatori di AWS Key Management Service *.