Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Fase 1: Creare un materiale AWS KMS key senza chiave
<a name="importing-keys-create-cmk"></a>

Per impostazione predefinita, AWS KMS crea automaticamente il materiale chiave quando crei una chiave KMS. Per importare invece il materiale della propria chiave, avvia creando una chiave KMS senza materiale chiave. Quindi, importare il materiale chiave. Per creare una chiave KMS senza materiale chiave, usa la AWS KMS console o l'[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operazione.

Per creare una chiave senza materiale della chiave, specifica un'[origine](create-keys.md#key-origin) `EXTERNAL`. La proprietà dell'origine di una chiave KMS è immutabile. Una volta creata, non è possibile convertire una chiave KMS progettata per il materiale chiave importato in una chiave KMS con materiale chiave proveniente da AWS KMS o da qualsiasi altra fonte.

Lo [stato della chiave](key-state.md) di una chiave KMS con un origine `EXTERNAL` e nessun materiale chiave è `PendingImport`. Una chiave KMS può rimanere in uno stato `PendingImport` indefinitamente. Tuttavia, non puoi utilizzare una chiave KMS in stato `PendingImport` in operazioni crittografiche. Quando importi il materiale della chiave, lo stato della chiave KMS diventa `Enabled` e puoi utilizzarla in operazioni crittografiche.

AWS KMS registra un evento nel AWS CloudTrail registro quando si [crea la chiave KMS, si scarica la chiave](ct-createkey.md) [pubblica e si importa il token e si importa](ct-getparametersforimport.md) [il](ct-importkeymaterial.md) materiale chiave. AWS KMS registra anche un CloudTrail evento quando si [elimina materiale chiave importato o quando si AWS KMS elimina materiale chiave](ct-deleteimportedkeymaterial.md) [scaduto](ct-deleteexpiredkeymaterial.md).

**Topics**
+ [Creazione di una chiave KMS senza materiale della chiave (console)](#importing-keys-create-cmk-console)
+ [Creazione di una chiave KMS senza materiale chiave (API)AWS KMS](#importing-keys-create-cmk-api)

## Creazione di una chiave KMS senza materiale della chiave (console)
<a name="importing-keys-create-cmk-console"></a>

Devi solo creare una sola volta una chiave KMS per il materiale della chiave importato. Puoi importare e reimportare quando vuoi lo stesso materiale della chiave nella chiave KMS, ma non puoi importare materiale della chiave diverso in una chiave KMS. Per informazioni dettagliate, vedi [Fase 2: download della chiave pubblica di wrapping e del token di importazione](importing-keys-get-public-key-and-token.md).

Per trovare le chiavi KMS esistenti con materiale della chiave importato nella tabella **Customer managed keys** (Chiavi gestite dal cliente), utilizza l'icona a forma di ingranaggio nell'angolo in alto a destra per mostrare la colonna **Origin** (Origine) nell'elenco delle chiavi KMS. Il valore di **Origine** per le chiavi importate è **Esterna (Importa il materiale della chiave)**.

Per creare una chiave KMS con materiale chiave importato, inizia seguendo le [istruzioni per creare una chiave KMS del tipo di chiave preferito](create-keys.md), con la seguente eccezione.

Una volta scelto l'utilizzo della chiave, effettua le seguenti operazioni:

1. Espandi **Opzioni avanzate**.

1. In **Key material origin** (Origine del materiale della chiave), seleziona **External (Import key material)** (Esterna (Importa materiale della chiave)).

1. Scegli la casella di controllo accanto a **Comprendo le implicazioni in termini di sicurezza e durabilità derivanti dall'utilizzo di una chiave importata)** per confermare di aver compreso le implicazioni dell'utilizzo del materiale della chiave importato. Per leggere queste implicazioni, consulta [Protezione del materiale della chiave importato](import-keys-protect.md).

1. **Facoltativo: per creare una chiave [KMS multiregionale con materiale chiave](multi-region-keys-overview.md) importato, in **Regionalità seleziona Chiave multiregionale**.**

1. Torna alle istruzioni basilari. Le fasi rimanenti della procedura basilare sono identici per tutte le chiavi KMS di tale tipo. 

Quando scegli **Fine**, hai creato una chiave KMS senza materiale della chiave con lo stato ([stato chiave](key-state.md)) **Importazione in attesa**. 

Tuttavia, invece di tornare alla tabella delle **Chiavi gestite dal cliente**, la console visualizza una pagina in cui puoi scaricare la chiave pubblica e importare il token necessario per l'importazione del materiale della chiave. A questo punto, puoi continuare con la fase di download o scegliere **Annulla** per fermarti a questo punto. Puoi tornare a questa fase di download in qualunque momento.

Successivo: [Fase 2: download della chiave pubblica di wrapping e del token di importazione](importing-keys-get-public-key-and-token.md).

## Creazione di una chiave KMS senza materiale chiave (API)AWS KMS
<a name="importing-keys-create-cmk-api"></a>

Per utilizzare l'[AWS KMS API](https://docs.aws.amazon.com/kms/latest/APIReference/) per creare una chiave KMS di crittografia simmetrica senza materiale chiave, invia una [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)richiesta con il `Origin` parametro impostato su. `EXTERNAL` L'esempio seguente mostra come eseguire questa operazione con l'[AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/).

```
$ aws kms create-key --origin EXTERNAL
```

Se il comando viene eseguito correttamente, verrà visualizzato un output simile al seguente. La AWS KMS chiave `Origin` è `EXTERNAL` e la sua è. `KeyState` `PendingImport`

**Suggerimento**  
Se l'esito del comando non è positivo, potresti visualizzare un'`KMSInvalidStateException` o un'`NotFoundException`. Puoi ritentare la richiesta.

```
{
    "KeyMetadata": {
        "Origin": "EXTERNAL",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "Description": "",
        "Enabled": false,
        "MultiRegion": false,
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "PendingImport",
        "CreationDate": 1568289600.0,
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "AWSAccountId": "111122223333",
        "KeyManager": "CUSTOMER",
        "KeySpec": "SYMMETRIC_DEFAULT",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ]
    }
}
```

Copia il valore `KeyId` dall'output del comando per utilizzarlo in un secondo momento, quindi passa a [Fase 2: download della chiave pubblica di wrapping e del token di importazione](importing-keys-get-public-key-and-token.md).

**Nota**  
Questo comando crea una chiave KMS di crittografia simmetrica con `KeySpec` `SYMMETRIC_DEFAULT` e `KeyUsage` `ENCRYPT_DECRYPT`. Puoi utilizzare i parametri opzionali `--key-spec` e `--key-usage` per creare una chiave KMS HMAC o asimmetrica. Per maggiori informazioni, vedi l'operazione [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html).