Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Crea un allarme che rileva l'uso di una chiave KMS in attesa di eliminazione Puoi combinare le funzionalità di AWS CloudTrail Amazon CloudWatch Logs e Amazon Simple Notification Service (Amazon SNS) per creare un CloudWatch allarme Amazon che ti avvisa quando qualcuno nel tuo account tenta di utilizzare una chiave KMS in attesa di eliminazione. Se ricevi questa notifica, potresti voler annullare l'eliminazione della chiave KMS e riconsiderare la decisione di eliminarla. Le seguenti procedure creano un allarme che ti avvisa ogni volta che il messaggio di errore "`Key ARN is pending deletion`" viene scritto nei tuoi file di registro. CloudTrail Questo messaggio di errore indica che una persona o un'applicazione ha cercato di utilizzare la chiave KMS in una [operazione di crittografia](kms-cryptography.md#cryptographic-operations). Poiché la notifica è collegata al messaggio di errore, non viene attivata quando utilizzi operazioni API consentite sulle chiavi KMS in attesa di eliminazione, ad esempio `ListKeys`, `CancelKeyDeletion` e `PutKeyPolicy`. Per visualizzare un elenco delle operazioni AWS KMS API che restituiscono questo messaggio di errore, consulta[Stati chiave delle AWS KMS chiavi](key-state.md). L'e-mail di notifica che ricevi non include la chiave KMS o l'operazione di crittografia. Puoi trovare tali informazioni nel [file di registro di CloudTrail](logging-using-cloudtrail.md). L'e-mail segnala invece che lo stato dell'allarme è stato modificato da **OK** ad **Alarm (Allarme)**. Per ulteriori informazioni sugli CloudWatch allarmi e sui cambiamenti di stato, consulta [Using Amazon CloudWatch alarms](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) nella *Amazon CloudWatch User Guide*. **avvertimento** Questo CloudWatch allarme Amazon non è in grado di rilevare l'uso della chiave pubblica di una chiave KMS asimmetrica al di fuori di. AWS KMS Per informazioni dettagliate sui rischi particolari derivanti dall'eliminazione delle chiavi KMS asimmetriche utilizzate per la crittografia a chiave pubblica, inclusa la creazione di testi cifrati che non possono essere decrittati, consulta [Deleting asymmetric KMS keys](deleting-keys.md#deleting-asymmetric-cmks). In questa procedura, crei un filtro metrico del gruppo di CloudWatch log che trova le istanze dell'eccezione di eliminazione in sospeso. Quindi, si crea un CloudWatch allarme basato sulla metrica del gruppo di log. Per informazioni sui filtri delle metriche dei gruppi di log, consulta [Creazione di metriche da eventi di log utilizzando filtri](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/MonitoringLogData.html) nella Amazon CloudWatch Logs User Guide. 1. Crea un filtro CloudWatch metrico che analizzi i log. CloudTrail Segui le istruzioni in [Creazione di un filtro di parametri per un gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) utilizzando i seguenti valori obbligatori. Per gli altri campi, accetta i valori predefiniti e immetti i nomi come richiesto. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/kms/latest/developerguide/deleting-keys-creating-cloudwatch-alarm.html) 1. Crea un CloudWatch allarme basato sul filtro metrico creato nel passaggio 1. Segui le istruzioni riportate in [Creare un CloudWatch allarme basato su un filtro metrico di gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) utilizzando i seguenti valori obbligatori. Per gli altri campi, accetta i valori predefiniti e immetti i nomi come richiesto. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/kms/latest/developerguide/deleting-keys-creating-cloudwatch-alarm.html) Dopo aver completato questa procedura, riceverai una notifica ogni volta che il nuovo CloudWatch allarme entra nello `ALARM` stato. Se ricevi una notifica per questo allarme, per crittografare o decrittografare i dati è possibile che sia ancora necessaria una chiave KMS pianificata per l'eliminazione. In questo caso, [annulla l'eliminazione della chiave KMS](deleting-keys-scheduling-key-deletion.md) e riconsidera la decisione di eliminarla.