Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Controlla l'accesso all'eliminazione delle chiavi
<a name="deleting-keys-adding-permission"></a>

Se utilizzi le policy IAM per consentire le AWS KMS autorizzazioni, le identità IAM che dispongono AWS dell'accesso da amministratore (`"Action": "*"`) o dell'accesso AWS KMS completo (`"Action": "kms:*"`) possono già pianificare e annullare l'eliminazione delle chiavi KMS. Per consentire agli amministratori delle chiavi di pianificare e annullare l'eliminazione delle chiavi nella policy delle chiavi, utilizza la AWS KMS console o l'API. AWS KMS 

In genere, solo gli amministratori delle chiavi sono in grado di pianificare o annullare l'eliminazione delle chiavi. Tuttavia, puoi concedere queste autorizzazioni ad altre identità IAM aggiungendo `kms:ScheduleKeyDeletion` e `kms:CancelKeyDeletion` alla policy della chiave o a una policy IAM. Puoi anche utilizzare la chiave [`kms:ScheduleKeyDeletionPendingWindowInDays`](conditions-kms.md#conditions-kms-schedule-key-deletion-pending-window-in-days)condition per limitare ulteriormente i valori che i principali possono specificare nel `PendingWindowInDays` parametro di una richiesta. [ScheduleKeyDeletion](https://docs.aws.amazon.com/kms/latest/APIReference/API_ScheduleKeyDeletion.html)

## Consenti agli amministratori delle chiavi di pianificare e annullare l'eliminazione delle chiavi
<a name="allow-key-deletion"></a>

### Utilizzo della console AWS KMS
<a name="deleting-keys-adding-permission-console"></a>

Per concedere agli amministratori delle chiavi l'autorizzazione per pianificare e annullare l'eliminazione delle chiavi.

1. Accedi a Console di gestione AWS e apri la console AWS Key Management Service (AWS KMS) in [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.

1. Nel riquadro di navigazione, scegli **Chiavi gestite dal cliente**.

1. Scegli l'alias o l'ID chiave della chiave KMS di cui intendi modificare le autorizzazioni.

1. Scegli la scheda **Key policy** (Policy delle chiavi).

1. Il passaggio successivo è diverso per la *visualizzazione predefinita* e la *visualizzazione della policy* della policy delle chiavi. La visualizzazione predefinita è disponibile solo se utilizzi la policy delle chiavi di console predefinita. In caso contrario, è disponibile solo la visualizzazione della policy.

   Quando è disponibile la visualizzazione predefinita, nella scheda **Key policy** (Policy delle chiavi) viene visualizzato il pulsante **Switch to policy view** (Passa alla visualizzazione della policy) o **Switch to default view** (Passa alla visualizzazione predefinita).
   + Nella visualizzazione predefinita:

     1. In **Key deletion** (Eliminazione chiave), seleziona **Allow key administrators to delete this key** (Consenti agli amministratori delle chiavi di eliminare questa chiave).
   + Nella visualizzazione della policy:

     1. Scegli **Modifica**.

     1. Nell'istruzione della policy per gli amministratori delle chiavi, aggiungi le autorizzazioni `kms:ScheduleKeyDeletion` e `kms:CancelKeyDeletion` all'elemento `Action`.

        ```
        {
          "Sid": "Allow access for Key Administrators",
          "Effect": "Allow",
          "Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSKeyAdmin"},
          "Action": [
            "kms:Create*",
            "kms:Describe*",
            "kms:Enable*",
            "kms:List*",
            "kms:Put*",
            "kms:Update*",
            "kms:Revoke*",
            "kms:Disable*",
            "kms:Get*",
            "kms:Delete*",
            "kms:ScheduleKeyDeletion",
            "kms:CancelKeyDeletion"
          ],
          "Resource": "*"
        }
        ```

     1. Scegli **Save changes** (Salva modifiche).

### Utilizzando l'API AWS KMS
<a name="deleting-keys-adding-permission-cli"></a>

È possibile utilizzare il AWS Command Line Interface per aggiungere le autorizzazioni per la pianificazione e l'annullamento dell'eliminazione delle chiavi.

**Per aggiungere l'autorizzazione per pianificare e annullare l'eliminazione di chiavi**

1. Utilizzare il comando [https://docs.aws.amazon.com/cli/latest/reference/kms/get-key-policy.html](https://docs.aws.amazon.com/cli/latest/reference/kms/get-key-policy.html) per recuperare la policy delle chiavi esistente, quindi salvare il documento di policy in un file.

1. Apri il documento della policy nell'editor di testo preferito. Nell'istruzione della policy per gli amministratori delle chiavi, aggiungi le autorizzazioni `kms:ScheduleKeyDeletion` e `kms:CancelKeyDeletion`. L'esempio seguente mostra un'istruzione di policy con queste due autorizzazioni:

   ```
   {
     "Sid": "Allow access for Key Administrators",
     "Effect": "Allow",
     "Principal": {"AWS": "arn:aws:iam::111122223333:user/KMSKeyAdmin"},
     "Action": [
       "kms:Create*",
       "kms:Describe*",
       "kms:Enable*",
       "kms:List*",
       "kms:Put*",
       "kms:Update*",
       "kms:Revoke*",
       "kms:Disable*",
       "kms:Get*",
       "kms:Delete*",
       "kms:ScheduleKeyDeletion",
       "kms:CancelKeyDeletion"
     ],
     "Resource": "*"
   }
   ```

1. Utilizza il comando [https://docs.aws.amazon.com/cli/latest/reference/kms/put-key-policy.html](https://docs.aws.amazon.com/cli/latest/reference/kms/put-key-policy.html) per applicare la policy chiave alla chiave KMS.