Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Politiche chiave in AWS KMS
<a name="key-policies"></a>

Una politica chiave è una politica delle risorse per un. AWS KMS key Le policy chiave sono lo strumento principale per controllare l'accesso alle chiavi KMS. Ogni chiave KMS deve avere esattamente una policy chiave. Le istruzioni nella policy delle chiavi determinano chi dispone dell'autorizzazione per utilizzare la chiave KMS e come questa può essere utilizzata. Puoi anche usare le [policy IAM](iam-policies.md) e le [concessioni](grants.md) per controllare l'accesso alla chiave KMS, ma ogni chiave KMS deve avere un documento di policy delle chiavi. 

Nessun AWS principale, incluso l'utente root dell'account o il creatore della chiave, dispone di autorizzazioni per una chiave KMS a meno che non siano esplicitamente consentite e mai negate in una politica chiave, una politica IAM o una concessione. 

A meno che la policy delle chiavi non lo consenta esplicitamente, non è possibile utilizzare le policy IAM per *permettere* l'accesso a una chiave KMS. Senza l'autorizzazione dalla policy delle chiavi, le policy IAM che consentono le autorizzazioni non hanno alcun effetto. È possibile utilizzare una policy IAM per *negare* un'autorizzazione a una chiave KMS senza l'autorizzazione da una policy delle chiavi. Per impostazione predefinita, la policy delle chiavi di default abilita le policy IAM. Per abilitare le policy IAM nella policy delle chiavi, aggiungere l'istruzione della policy descritta in [Consente l'accesso Account AWS e abilita le politiche IAM](key-policy-default.md#key-policy-default-allow-root-enable-iam).

A differenza delle policy IAM, che sono globali, le policy chiave sono regionali. Una policy delle chiavi controlla l'accesso a una sola chiave KMS nella stessa regione. Non ha alcun effetto sulle chiavi KMS in altre regioni.

**Topics**
+ [Creazione di una policy delle chiavi](key-policy-overview.md)
+ [Policy delle chiavi predefinita](key-policy-default.md)
+ [Visualizza una politica chiave](key-policy-viewing.md)
+ [Modificare una policy della chiave](key-policy-modifying.md)
+ [Autorizzazioni per i servizi AWS](key-policy-services.md)

# Creazione di una policy delle chiavi
<a name="key-policy-overview"></a>

Puoi creare e gestire le policy chiave nella AWS KMS console o utilizzando operazioni AWS KMS API, come [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html), [ReplicateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html)e. [PutKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html) 

Quando crei una chiave KMS nella AWS KMS console, la console ti guida attraverso i passaggi per creare una politica chiave basata sulla [politica chiave predefinita per la console](key-policy-default.md). Quando utilizzi `CreateKey` o `ReplicateKey` APIs, se non specifichi una politica chiave, questa APIs applica la politica chiave [predefinita per le chiavi create a livello di codice](key-policy-default.md). Quando usi l'API `PutKeyPolicy`, devi specificare una policy della chiave.

Ogni documento di policy può avere una o più istruzioni di policy. L'esempio seguente mostra un documento di policy della chiave valido con un'istruzione della policy.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DescribePolicyStatement",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:user/Alice"
      },
      "Action": "kms:DescribeKey",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "kms:KeySpec": "SYMMETRIC_DEFAULT"
        }
      }
    }
  ]
}
```

------

**Topics**
+ [Formato della policy della chiave](#key-policy-format)
+ [Elementi in una policy della chiave](#key-policy-elements)
+ [Esempi di policy delle chiavi](#key-policy-example)

## Formato della policy della chiave
<a name="key-policy-format"></a>

Un documento di policy della chiave deve rispettare le seguenti regole:
+ Fino a 32 kilobyte (32.768 byte)
+ L'elemento `Sid` in un'istruzione di policy della chiave non può includere spazi. Gli spazi sono vietati nell'elemento `Sid` di un documento di policy IAM.

Un documento di policy della chiave può includere solo i seguenti caratteri:
+ Caratteri ASCII stampabili
+ I caratteri stampabili nel set di caratteri Basic Latin e Latin-1 Supplement
+ I caratteri speciali di tabulazione (`\u0009`), avanzamento di riga (`\u000A`) e ritorno a capo (`\u000D`)

## Elementi in una policy della chiave
<a name="key-policy-elements"></a>

Un documento di policy delle chiavi deve avere i seguenti elementi:

**Versione**  
Specifica la versione del documento della policy della chiave. Impostare la versione su `2012-10-17` (la versione più recente).

**Dichiarazione**  
Include le istruzioni della policy. Un documento di policy delle chiavi deve avere almeno un'istruzione.  
Ogni istruzione in una policy della chiave può contenere fino a sei elementi. Gli elementi `Effect`, `Principal`, `Action` e `Resource` sono obbligatori.    
**Sid **  
(Facoltativo) L'identificatore di istruzione (`Sid`) è una stringa arbitraria che è possibile utilizzare per descrivere l'istruzione. Il `Sid` in una policy della chiave può includere spazi. Non è possibile includere spazi nell'elemento `Sid` di una policy IAM.  
**Effetto**  
(Obbligatorio) Specifica se concedere o negare le autorizzazioni nell'istruzione di policy. I valori validi sono `Allow` e `Deny`. Se non concedi esplicitamente l'accesso a una chiave KMS, l'accesso viene implicitamente rifiutato. È anche possibile negare esplicitamente l'accesso a una chiave KMS. È possibile eseguire questa operazione per accertarsi che un utente non sia in grado di accedervi, anche quando l'accesso viene concesso da un'altra policy.  
**Principale**  
(Obbligatorio) Il [principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#Principal_specifying) è l'identità che ottiene le autorizzazioni specificate nell'istruzione di policy. Puoi specificare utenti IAM Account AWS, ruoli IAM e alcuni AWS servizi come principali in una policy chiave. I [gruppi di utenti](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) IAM non sono un principale valido in alcun tipo di policy.  
Un valore asterisco, ad esempio `"AWS": "*"`, rappresenta tutte le identità AWS in tutti gli account.  
Non impostare il principale su un asterisco (\$1) in un'istruzione della policy della chiave che consenta autorizzazioni, a meno che non utilizzi [condizioni](policy-conditions.md) per limitare la policy della chiave. Un asterisco indica ogni identità in ogni Account AWS autorizzazione all'uso della chiave KMS, a meno che un'altra dichiarazione politica non lo neghi esplicitamente. Gli utenti di altri paesi Account AWS possono utilizzare la tua chiave KMS ogni volta che dispongono delle autorizzazioni corrispondenti nel proprio account.
Le best practice di IAM disincentivano l'uso di utenti IAM con credenziali a lungo termine. Quando possibile, utilizza i ruoli IAM che forniscono credenziali temporanee. Per i dettagli, consulta la sezione [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l'utente IAM*.
Quando il principale in una istruzione di policy delle chiavi è un [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-accounts](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-accounts) espresso come `arn:aws:iam::111122223333:root"`, l'istruzione non fornisce l'autorizzazione ad alcun principale IAM. Al contrario, dà il Account AWS permesso di utilizzare le politiche IAM per delegare le autorizzazioni specificate nella politica chiave. (Un principale in formato `arn:aws:iam::111122223333:root"` *non* rappresenta l'[utente root dell'account AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html), nonostante l'uso di "root" nell'identificatore dell'account. Tuttavia, il principale dell'account rappresenta l'account e i relativi amministratori, incluso l'utente root dell'account.)  
Quando il principale è un altro Account AWS o i suoi responsabili, le autorizzazioni sono effettive solo quando l'account è abilitato nella regione con la chiave KMS e la policy chiave. Per informazioni sulle regioni non abilitate per impostazione predefinita ("regioni attivate"), consulta [Gestione delle Regioni AWS](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html) nella *Riferimenti generali di AWS*.  
Per consentire a un altro Account AWS o ai suoi responsabili di utilizzare una chiave KMS, devi fornire l'autorizzazione in una politica chiave e in una politica IAM nell'altro account. Per informazioni dettagliate, vedi [Autorizzazione per gli utenti in altri account di utilizzare una chiave KMS](key-policy-modifying-external-accounts.md).  
**Azione**  
(Obbligatorio) Specificano le operazioni API da permettere o negare. Ad esempio, l'`kms:Encrypt`azione corrisponde all'operazione AWS KMS [Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html). È possibile elencare più di un'operazione in un'istruzione di policy. Per ulteriori informazioni, consulta [Riferimento per le autorizzazioni](kms-api-permissions-reference.md).  
Se l'elemento `Action` obbligatorio non è presente nell'istruzione della policy delle chiavi, l'istruzione non avrà alcun effetto. Una dichiarazione politica chiave senza un `Action` elemento non si applica a nessuna chiave KMS.   
Quando manca un `Action` elemento in una dichiarazione politica chiave, la AWS KMS console riporta correttamente un errore, ma l'operazione viene [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)eseguita correttamente [PutKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html) APIs , anche se la dichiarazione politica è inefficace.  
**Risorsa**  
(Obbligatorio) In una policy della chiave, il valore dell'elemento Resource (Risorsa) è `"*"`, che significa "questa chiave KMS". L'asterisco (`"*"`) identifica la chiave KMS a cui è collegata la policy delle chiavi.  
Se l'elemento `Resource` obbligatorio non è presente nell'istruzione della policy delle chiavi, l'istruzione non avrà alcun effetto. Una istruzione di policy delle chiavi senza un elemento `Resource` non si applica ad alcuna chiave KMS.   
Quando manca un `Resource` elemento in una dichiarazione politica chiave, la AWS KMS console segnala correttamente un errore, ma l'[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)errore viene restituito [PutKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html) APIs correttamente, anche se la dichiarazione politica è inefficace.  
**Condizione**  
(Facoltativo) Le condizioni specificano i requisiti da soddisfare affinché una policy della chiave diventi effettiva. Con le condizioni, AWS può valutare il contesto di una richiesta API per determinare se l'informativa sulla politica è applicabile o meno.   
Per specificare le condizioni, si utilizzano *chiavi di condizione* predefinite. AWS KMS supporta chiavi di [condizione AWS globali e chiavi](conditions-aws.md) di [AWS KMS condizione](conditions-kms.md). Per supportare il controllo degli accessi basato sugli attributi (ABAC), AWS KMS fornisce chiavi di condizione che controllano l'accesso a una chiave KMS basata su tag e alias. Per informazioni dettagliate, vedi [ABAC per AWS KMS](abac.md).  
Il formato per una condizione è:  

```
"Condition": {"condition operator": {"condition key": "condition value"}}
```
come per esempio:  

```
"Condition": {"StringEquals": {"kms:CallerAccount": "111122223333"}}
```

*Per ulteriori informazioni sulla sintassi delle policy, consulta [AWS IAM AWS Policy Reference nella IAM User Guide](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html).*

## Esempi di policy delle chiavi
<a name="key-policy-example"></a>

L'esempio seguente mostra una policy della chiave completa per una chiave KMS di crittografia simmetrica. È utile come riferimento mentre leggi i concetti della policy delle chiavi in questo capitolo. Questa policy delle chiavi combina le istruzioni di policy di esempio della sezione precedente sulla [policy delle chiavi predefinita](key-policy-default.md) in un'unica policy delle chiavi che ottiene quanto segue:
+ Consente all'esempio Account AWS, 111122223333, l'accesso completo alla chiave KMS. Concede all'account e ai relativi amministratori, incluso l'utente root dell'account (per le emergenze), l'uso delle policy IAM nell'account per consentire l'accesso alla chiave KMS.
+ Consente al ruolo IAM `ExampleAdminRole` di amministrare la chiave KMS.
+ Permette al ruolo IAM `ExampleUserRole` di utilizzare la chiave KMS.

------
#### [ JSON ]

****  

```
{
    "Id": "key-consolepolicy",
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "EnableIAMUserPermissions",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:root"
            },
            "Action": "kms:*",
            "Resource": "*"
        },
        {
            "Sid": "AllowKeyAdministratorsAccess",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/ExampleAdminRole"
            },
            "Action": [
                "kms:Create*",
                "kms:Describe*",
                "kms:Enable*",
                "kms:List*",
                "kms:Put*",
                "kms:Update*",
                "kms:Revoke*",
                "kms:Disable*",
                "kms:Get*",
                "kms:Delete*",
                "kms:TagResource",
                "kms:UntagResource",
                "kms:ScheduleKeyDeletion",
                "kms:CancelKeyDeletion",
                "kms:RotateKeyOnDemand"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowKeyUse",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/ExampleUserRole"
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowAttachmentPersistentResources",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/ExampleUserRole"
            },
            "Action": [
                "kms:CreateGrant",
                "kms:ListGrants",
                "kms:RevokeGrant"
            ],
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "kms:GrantIsForAWSResource": "true"
                }
            }
        }
    ]
}
```

------

# Policy delle chiavi predefinita
<a name="key-policy-default"></a>

Quando si crea una chiave KMS, è possibile specificare la policy delle chiavi per la nuova chiave KMS. Se non ne fornisci una, ne AWS KMS crea una per te. La politica di chiave predefinita AWS KMS utilizzata varia a seconda che si crei la chiave nella AWS KMS console o si utilizzi l' AWS KMS API.

**La policy delle chiavi predefinita al momento della creazione di una chiave KMS a livello di programmazione**  
Quando crei una chiave KMS a livello di codice con l'[AWS KMS API](https://docs.aws.amazon.com/kms/latest/APIReference/) (anche utilizzando [AWS Command Line Interface](https://docs.aws.amazon.com/cli/latest/userguide/)o [AWS Strumenti per PowerShell](https://docs.aws.amazon.com/powershell/latest/userguide/)) e non specifichi una politica chiave, AWS KMS applica una policy chiave predefinita molto semplice. [AWS SDKs](https://aws.amazon.com/tools/#sdk) Questa politica chiave predefinita ha una dichiarazione politica che fornisce al Account AWS proprietario della chiave KMS l'autorizzazione a utilizzare le politiche IAM per consentire l'accesso a tutte le AWS KMS operazioni sulla chiave KMS. Per ulteriori informazioni su questa istruzione di policy, consulta [Consente l'accesso Account AWS e abilita le politiche IAM](#key-policy-default-allow-root-enable-iam).

**Politica delle chiavi predefinita quando si crea una chiave KMS con Console di gestione AWS**  
Quando [crei una chiave KMS con Console di gestione AWS, la](create-keys.md) policy chiave inizia con l'informativa che [consente l'accesso Account AWS e abilita le politiche IAM](#key-policy-default-allow-root-enable-iam). [La console aggiunge quindi un'istruzione [Key Administrators, un'istruzione](#key-policy-default-allow-administrators)[key users](#key-policy-default-allow-users) e (per la maggior parte dei tipi di chiave) un'istruzione che consente ai responsabili di utilizzare la chiave KMS con altri servizi. AWS](#key-policy-service-integration) Puoi utilizzare le funzionalità della AWS KMS console per specificare gli utenti IAM, i ruoli IAM e Account AWS chi sono gli amministratori chiave e gli utenti chiave (o entrambi).

**Autorizzazioni**
+ [Consente l'accesso Account AWS e abilita le politiche IAM](#key-policy-default-allow-root-enable-iam)
+ [Consente agli amministratori delle chiavi di amministrare la chiave KMS](#key-policy-default-allow-administrators)
+ [Consente agli utenti della chiave di utilizzare la chiave KMS](#key-policy-default-allow-users)
  + [Consente agli utenti della chiave di utilizzare una chiave KMS per le operazioni di crittografia](#key-policy-users-crypto)
  + [Consente agli utenti chiave di utilizzare la chiave KMS con i servizi AWS](#key-policy-service-integration)

## Consente l'accesso Account AWS e abilita le politiche IAM
<a name="key-policy-default-allow-root-enable-iam"></a>

La seguente istruzione delle policy delle chiavi predefinita è fondamentale. 
+ Fornisce al Account AWS proprietario della chiave KMS l'accesso completo alla chiave KMS. 

  A differenza di altre politiche relative alle AWS risorse, una politica AWS KMS chiave non concede automaticamente l'autorizzazione all'account o a nessuna delle sue identità. Per concedere l'autorizzazione agli amministratori di account, la policy delle chiavi deve includere un'istruzione esplicita che fornisce l'autorizzazione, come questa.
+ Consente all'account di utilizzare le policy IAM per consentire l'accesso alla chiave KMS, oltre alla policy delle chiavi.

  Senza questa autorizzazione, le policy IAM che consentono l'accesso alla chiave sono inefficaci, anche se le policy IAM che negano l'accesso alla chiave sono ancora valide. 
+ Riduce il rischio che la chiave diventi ingestibile fornendo l'autorizzazione per il controllo degli accessi agli amministratori dell'account, incluso l'utente root dell'account, che non può essere eliminato. 

La seguente istruzione della policy delle chiavi è l'unica policy delle chiavi predefinita per le chiavi KMS create a livello di programmazione. È la prima dichiarazione politica nella politica chiave predefinita per le chiavi KMS create nella AWS KMS console.

```
{
  "Sid": "Enable IAM User Permissions",
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:root"
   },
  "Action": "kms:*",
  "Resource": "*"
}
```

**Consente alle policy IAM di controllare l'accesso alla chiave KMS.**  <a name="allow-iam-policies"></a>
L'informativa chiave mostrata sopra fornisce al proprietario Account AWS l'autorizzazione chiave per utilizzare le politiche IAM, nonché le politiche chiave, per consentire tutte le azioni (`kms:*`) sulla chiave KMS.   
Il principale in questa istruzione della policy delle chiavi è il [principale dell'account](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-accounts), rappresentato da un ARN nel formato `arn:aws:iam::account-id:root`. L'account principal rappresenta l' AWS account e i suoi amministratori.   
Quando il principale in una istruzione di policy delle chiavi è il principale dell'account, l'istruzione della policy non fornisce al principale IAM l'autorizzazione a utilizzare la chiave KMS. Consente invece all'account di utilizzare le policy IAM per *delegare* le autorizzazioni specificate nell'istruzione della policy. Questa istruzione di policy delle chiavi predefinita consente all'account di utilizzare le policy IAM per delegare l'autorizzazione per tutte le operazioni (`kms:*`) sulla chiave KMS.

** Riduce il rischio che la chiave KMS diventi ingestibile.**  
A differenza di altre politiche relative alle AWS risorse, una politica AWS KMS chiave non concede automaticamente l'autorizzazione all'account o ai suoi responsabili. Per fornire l'autorizzazione a qualsiasi principale, incluso il [principale dell'account](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-accounts), è necessario utilizzare una istruzione della policy delle chiavi che fornisca esplicitamente l'autorizzazione. Non è richiesto di concedere al principale dell'account, o a qualsiasi principale, l'accesso alla chiave KMS. Tuttavia, l'accesso al principale dell'account aiuta a evitare che la chiave diventi ingestibile.  
Ad esempio, si supponga di creare una policy delle chiavi che dia a un solo utente l'accesso alla chiave KMS. Se questo utente viene eliminato, la chiave diventa ingestibile e diventa necessario [contattare AWS Support](https://console.aws.amazon.com/support/home#/case/create) per ottenere di nuovo l'accesso alla chiave KMS.   
La dichiarazione politica chiave mostrata sopra fornisce all'[account l'autorizzazione principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-accounts) a controllare la chiave. L'account principal rappresenta l'account Account AWS e i suoi amministratori, incluso l'[utente root dell'account](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html). L'utente root dell'account è l'unico principale che non può essere eliminato a meno che non si elimini l' Account AWS. Le best practice IAM scoraggiano l'operazione per conto dell'utente root dell'account, tranne in caso di emergenza. Tuttavia, potrebbe essere necessario agire come utente root dell'account se si eliminano tutti gli altri utenti e ruoli con accesso alla chiave KMS. 

## Consente agli amministratori delle chiavi di amministrare la chiave KMS
<a name="key-policy-default-allow-administrators"></a>

La policy delle chiavi predefinita creata dalla console consente di scegliere gli utenti e i ruoli IAM nell'account e renderli *amministratori delle chiavi*. Questa istruzione si chiama *istruzione degli amministratori delle chiavi*. Gli amministratori delle chiavi dispongono delle autorizzazioni per gestire la chiave KMS, ma non dispongono delle autorizzazioni per utilizzare la chiave KMS nelle [operazioni di crittografia](kms-cryptography.md#cryptographic-operations). È possibile aggiungere utenti e ruoli IAM all'elenco degli amministratori delle chiavi quando si crea la chiave KMS nella visualizzazione di default o nella visualizzazione della policy. 

**avvertimento**  
Poiché gli amministratori chiave sono autorizzati a modificare la politica chiave e creare concessioni, possono concedere a se stessi e ad altri AWS KMS autorizzazioni non specificate in questa politica.  
I principali che dispongono dell'autorizzazione per gestire tag e alias possono anche controllare l'accesso a una chiave KMS. Per informazioni dettagliate, vedi [ABAC per AWS KMS](abac.md).

**Nota**  
Le best practice di IAM disincentivano l'uso di utenti IAM con credenziali a lungo termine. Quando possibile, utilizza i ruoli IAM che forniscono credenziali temporanee. Per i dettagli, consulta la sezione [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l'utente IAM*.

L'esempio seguente mostra l'istruzione degli amministratori della chiave nella visualizzazione predefinita della console AWS KMS .

![\[Amministratori delle chiavi nella policy delle chiavi predefinita, visualizzazione predefinita\]](http://docs.aws.amazon.com/it_it/kms/latest/developerguide/images/console-key-policy-administrators-60.png)


L'esempio seguente mostra un esempio di istruzione degli amministratori della chiave nella visualizzazione della policy della console AWS KMS . Questa dichiarazione degli amministratori chiave si riferisce a una chiave KMS di crittografia simmetrica a regione singola.

**Nota**  
La AWS KMS console aggiunge gli amministratori chiave alla politica chiave sotto l'identificatore dell'istruzione. `"Allow access for Key Administrators"` La modifica di questo identificatore di istruzione potrebbe influire sul modo in cui la console visualizza gli aggiornamenti apportati all'istruzione.

```
{
  "Sid": "Allow access for Key Administrators",
  "Effect": "Allow",
  "Principal": {"AWS":"arn:aws:iam::111122223333:role/ExampleAdminRole"},
  "Action": [
    "kms:Create*",
    "kms:Describe*",
    "kms:Enable*",
    "kms:List*",
    "kms:Put*",
    "kms:Update*",
    "kms:Revoke*",
    "kms:Disable*",
    "kms:Get*",
    "kms:Delete*",
    "kms:TagResource",
    "kms:UntagResource",
    "kms:ScheduleKeyDeletion",
    "kms:CancelKeyDeletion",
    "kms:RotateKeyOnDemand"
  ],
  "Resource": "*"
}
```

L'istruzione predefinita degli amministratori della chiave per la chiave KMS più comune, una chiave KMS di crittografia simmetrica mono-regione, concede le seguenti autorizzazioni. Per informazioni dettagliate su ciascuna autorizzazione, consultare [AWS KMS autorizzazioni](kms-api-permissions-reference.md).

Quando si utilizza la AWS KMS console per creare una chiave KMS, la console aggiunge gli utenti e i ruoli specificati all'`Principal`elemento dell'istruzione Key Administrators.

Molte di queste autorizzazioni contengono il carattere jolly (`*`), che concede tutte le autorizzazioni che iniziano con il verbo specificato. Di conseguenza, quando AWS KMS aggiunge nuove operazioni API, gli amministratori chiave possono utilizzarle automaticamente. Non è necessario aggiornare le policy della chiave per includere le nuove operazioni. Se si preferisce limitare gli amministratori della chiave a un set fisso di operazioni API, è possibile [modificare la policy della chiave](key-policy-modifying.md).

**`kms:Create*`**  
Consente [`kms:CreateAlias`](kms-alias.md) e [`kms:CreateGrant`](grants.md). (L'autorizzazione `kms:CreateKey` è valida solo in una policy IAM.)

**`kms:Describe*`**  
Consente [`kms:DescribeKey`](viewing-keys.md). L'autorizzazione `kms:DescribeKey` è richiesta per visualizzare la pagina dei dettagli della chiave per una chiave KMS nella Console di gestione AWS.

**`kms:Enable*`**  
Permette [`kms:EnableKey`](enabling-keys.md). Per le chiavi KMS di crittografia simmetrica, consente anche [`kms:EnableKeyRotation`](rotate-keys.md).

**`kms:List*`**  
Permette [`kms:ListGrants`](grants.md), [https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeyPolicies.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeyPolicies.html) e [`kms:ListResourceTags`](tagging-keys.md). (Le autorizzazioni `kms:ListAliases` e `kms:ListKeys`, che sono necessarie per visualizzare le chiavi KMS nella Console di gestione AWS, sono valide solo nelle policy IAM.)

**`kms:Put*`**  
Consente [https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html). Questa autorizzazione consente agli amministratori della chiave di modificare la policy della chiave per questa chiave KMS.

**`kms:Update*`**  
Consente [`kms:UpdateAlias`](alias-update.md) e [https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateKeyDescription.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateKeyDescription.html). Per le chiavi multi-Regione, consente [`kms:UpdatePrimaryRegion`](multi-region-update.md#update-primary-console) su questa chiave KMS.

**`kms:Revoke*`**  
Concede [`kms:RevokeGrant`](grant-delete.md), che permette agli amministratori della chiave di [eliminare una concessione](grant-delete.md) anche se non sono un [principale per il ritiro](grants.md#terms-retiring-principal) nella concessione. 

**`kms:Disable*`**  
Permette [`kms:DisableKey`](enabling-keys.md). Per le chiavi KMS di crittografia simmetrica, consente anche [`kms:DisableKeyRotation`](rotate-keys.md).

**`kms:Get*`**  
Permette [`kms:GetKeyPolicy`](key-policy-viewing.md) e [`kms:GetKeyRotationStatus`](rotate-keys.md). Per le chiavi KMS con materiale chiave importato, consente [https://docs.aws.amazon.com/kms/latest/APIReference/API_GetParametersForImport.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetParametersForImport.html). Per le chiavi KMS asimmetriche, consente [https://docs.aws.amazon.com/kms/latest/APIReference/API_GetPublicKey.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetPublicKey.html). L'autorizzazione `kms:GetKeyPolicy` è richiesta per visualizzare la policy della chiave per una chiave KMS nella Console di gestione AWS.

**`kms:Delete*`**  
Consente [`kms:DeleteAlias`](kms-alias.md). Per le chiavi con materiale chiave importato, consente [`kms:DeleteImportedKeyMaterial`](importing-keys.md). L'autorizzazione `kms:Delete*` non consente agli amministratori della chiave di eliminare la chiave KMS (`ScheduleKeyDeletion`).

**`kms:TagResource`**  
Consente [`kms:TagResource`](tagging-keys.md), per cui gli amministratori della chiave possono aggiungere tag alla chiave KMS. Poiché i tag possono essere utilizzati anche per controllare l'accesso alla chiave KMS, questa autorizzazione può consentire agli amministratori di permettere o negare l'accesso alla chiave KMS. Per informazioni dettagliate, vedi [ABAC per AWS KMS](abac.md).

**`kms:UntagResource`**  
Consente [`kms:UntagResource`](tagging-keys.md), per cui gli amministratori della chiave possono eliminare tag dalla chiave KMS. Poiché i tag possono essere utilizzati per controllare l'accesso alla chiave, questa autorizzazione può consentire agli amministratori di permettere o negare l'accesso alla chiave KMS. Per informazioni dettagliate, vedi [ABAC per AWS KMS](abac.md).

**`kms:ScheduleKeyDeletion`**  
Consente [https://docs.aws.amazon.com/kms/latest/APIReference/API_ScheduleKeyDeletion.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_ScheduleKeyDeletion.html), per cui gli amministratori della chiave possono [eliminare questa chiave KMS](deleting-keys.md). Per eliminare questa autorizzazione, deseleziona l'opzione **Consenti agli amministratori della chiave di eliminare questa chiave**.

**`kms:CancelKeyDeletion`**  
Consente [https://docs.aws.amazon.com/kms/latest/APIReference/API_CancelKeyDeletion.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_CancelKeyDeletion.html), per cui gli amministratori della chiave possono [annullare l'eliminazione di questa chiave KMS](deleting-keys.md). Per eliminare questa autorizzazione, deseleziona l'opzione **Consenti agli amministratori della chiave di eliminare questa chiave**.

**`kms:RotateKeyOnDemand`**  
Consente [https://docs.aws.amazon.com/kms/latest/APIReference/API_RotateKeyOnDemand.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_RotateKeyOnDemand.html), che consente agli amministratori chiave di [eseguire la rotazione su richiesta del materiale chiave in questa chiave KMS](rotating-keys-on-demand.md).

 

AWS KMS aggiunge le seguenti autorizzazioni all'istruzione predefinita degli amministratori delle chiavi quando si creano chiavi per scopi speciali.

**`kms:ImportKeyMaterial`**  
L'autorizzazione [https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_ImportKeyMaterial.html) consente agli amministratori della chiave di importare il materiale chiave nella chiave KMS. Questa autorizzazione è inclusa nella policy delle chiavi solo quando [crei una chiave KMS senza materiale della chiave](importing-keys-create-cmk.md).

**`kms:ReplicateKey`**  
L'[https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html)autorizzazione consente agli amministratori chiave di [creare una replica di una chiave primaria multiregionale in una regione diversa](multi-region-keys-replicate.md). AWS Questa autorizzazione è inclusa nella policy della chiave solo quando si crea una chiave primaria o di replica multi-Regione.

**`kms:UpdatePrimaryRegion`**  
L'autorizzazione [https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdatePrimaryRegion.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdatePrimaryRegion.html) consente agli amministratori della chiave di [modificare una replica di una chiave multi-Regione in una chiave primaria multi-Regione](multi-region-update.md). Questa autorizzazione è inclusa nella policy della chiave solo quando si crea una chiave primaria o di replica multi-Regione.

## Consente agli utenti della chiave di utilizzare la chiave KMS
<a name="key-policy-default-allow-users"></a>

*La policy chiave predefinita creata dalla console per le chiavi KMS consente di scegliere utenti IAM e ruoli IAM nell'account e all'esterno Account AWS e renderli utenti chiave.* 

La console aggiunge due istruzioni di policy alla policy delle chiavi per gli utenti della chiave.
+ [Utilizzare direttamente la chiave KMS](#key-policy-users-crypto) — La prima istruzione di policy delle chiavi consente agli utenti della chiave di utilizzare la chiave KMS direttamente per tutte le [operazioni di crittografia](kms-cryptography.md#cryptographic-operations) per quel tipo di chiave KMS.
+ [Usa la chiave KMS con AWS i servizi](#key-policy-service-integration): la seconda dichiarazione politica concede agli utenti chiave il permesso di consentire ai AWS servizi integrati di utilizzare la chiave KMS AWS KMS per loro conto per proteggere risorse, come i bucket Amazon S3 e le tabelle Amazon DynamoDB.

Puoi aggiungere utenti IAM, ruoli IAM e altri Account AWS all'elenco degli utenti chiave quando crei la chiave KMS. È anche possibile modificare l'elenco con la visualizzazione predefinita della console per le policy delle chiavi, come illustrato nella seguente immagine. La visualizzazione predefinita per le policy delle chiavi si trova nella pagina dei dettagli delle chiavi. Per ulteriori informazioni su come consentire agli utenti di altri utenti Account AWS di utilizzare la chiave KMS, consulta. [Autorizzazione per gli utenti in altri account di utilizzare una chiave KMS](key-policy-modifying-external-accounts.md)

**Nota**  
Le best practice di IAM disincentivano l'uso di utenti IAM con credenziali a lungo termine. Quando possibile, utilizza i ruoli IAM che forniscono credenziali temporanee. Per i dettagli, consulta la sezione [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l'utente IAM*.

![\[Gli utenti delle chiavi nella policy delle chiavi predefinita, visualizzazione predefinita\]](http://docs.aws.amazon.com/it_it/kms/latest/developerguide/images/console-key-policy-users-sm.png)


Le *istruzioni degli amministratori della chiave* predefinite per una chiave KMS simmetrica a Regione singola concedono le seguenti autorizzazioni. Per informazioni dettagliate su ciascuna autorizzazione, consultare [AWS KMS autorizzazioni](kms-api-permissions-reference.md).

Quando usi la AWS KMS console per creare una chiave KMS, la console aggiunge gli utenti e i ruoli specificati all'`Principal`elemento in ogni istruzione key users.

**Nota**  
La AWS KMS console aggiunge gli utenti chiave alla politica chiave sotto gli identificatori `"Allow use of the key"` di dichiarazione e. `"Allow attachment of persistent resources"` La modifica di questi identificatori delle istruzioni potrebbe influire sul modo in cui la console visualizza gli aggiornamenti apportati all'istruzione.

```
{
  "Sid": "Allow use of the key",
  "Effect": "Allow",
  "Principal": {"AWS": [
    "arn:aws:iam::111122223333:role/ExampleRole",
    "arn:aws:iam::444455556666:root"
  ]},
  "Action": [
    "kms:Encrypt",
    "kms:Decrypt",
    "kms:ReEncrypt*",
    "kms:GenerateDataKey*",
    "kms:DescribeKey"
  ],
  "Resource": "*"
},
{
  "Sid": "Allow attachment of persistent resources",
  "Effect": "Allow",
  "Principal": {"AWS": [
    "arn:aws:iam::111122223333:role/ExampleRole",
    "arn:aws:iam::444455556666:root"
  ]},
  "Action": [
    "kms:CreateGrant",
    "kms:ListGrants",
    "kms:RevokeGrant"
  ],
  "Resource": "*",
  "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}}
}
```

## Consente agli utenti della chiave di utilizzare una chiave KMS per le operazioni di crittografia
<a name="key-policy-users-crypto"></a>

Gli utenti della chiave sono autorizzati a utilizzare direttamente la chiave KMS in tutte le [operazioni di crittografia supportate](kms-cryptography.md#cryptographic-operations) nella chiave KMS. Possono inoltre utilizzare l'[DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)operazione per ottenere informazioni dettagliate sulla chiave KMS nella AWS KMS console o utilizzare le AWS KMS operazioni API.

Per impostazione predefinita, la AWS KMS console aggiunge alla politica delle chiavi predefinita le istruzioni chiave degli utenti chiave, come quelle degli esempi seguenti. Dato che supportano diverse operazioni API, le operazioni nelle istruzioni della policy per le chiavi KMS di crittografia simmetrica, le chiavi KMS HMAC, le chiavi asimmetriche per la crittografia a chiave pubblica e le chiavi KMS asimmetriche per la firma e la verifica sono leggermente diverse.

**Chiavi KMS di crittografia simmetrica**  
La console aggiunge l'istruzione seguente alla policy della chiave per le chiavi KMS di crittografia simmetrica.  

```
{
  "Sid": "Allow use of the key",
  "Effect": "Allow",  
  "Principal": {"AWS": "arn:aws:iam::111122223333:role/ExampleKeyUserRole"},
  "Action": [
    "kms:Decrypt",
    "kms:DescribeKey",
    "kms:Encrypt",
    "kms:GenerateDataKey*",
    "kms:ReEncrypt*"
  ],
  "Resource": "*"
}
```

**Chiavi KMS HMAC**  
La console aggiunge l'istruzione seguente alla policy della chiave per le chiavi KMS HMAC.  

```
{
  "Sid": "Allow use of the key",
  "Effect": "Allow",  
  "Principal": {"AWS": "arn:aws:iam::111122223333:role/ExampleKeyUserRole"},
  "Action": [
    "kms:DescribeKey",
    "kms:GenerateMac",
    "kms:VerifyMac"
  ],
  "Resource": "*"
}
```

**Chiavi KMS asimmetriche per la crittografia a chiave pubblica**  
La console aggiunge l'istruzione seguente alla policy delle chiavi per le chiavi KMS asimmetriche con un utilizzo di chiave **Encrypt and decrypt (Crittografia e decrittografia)**.  

```
{
  "Sid": "Allow use of the key",
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::111122223333:role/ExampleKeyUserRole"
  },
  "Action": [
    "kms:Encrypt",
    "kms:Decrypt",
    "kms:ReEncrypt*",
    "kms:DescribeKey",
    "kms:GetPublicKey"
  ],
  "Resource": "*"
}
```

**Chiavi KMS asimmetriche per la firma e la verifica**  
La console aggiunge l'istruzione seguente alla policy delle chiavi per le chiavi KMS asimmetriche con un utilizzo di chiave **Sign and verify (Firma e verifica)**.  

```
{
  "Sid": "Allow use of the key",
  "Effect": "Allow",
  "Principal": {"AWS": "arn:aws:iam::111122223333:role/ExampleKeyUserRole"},
  "Action": [
    "kms:DescribeKey",
    "kms:GetPublicKey",
    "kms:Sign",
    "kms:Verify"
  ],
  "Resource": "*"
}
```

**Chiavi KMS asimmetriche per derivare segreti condivisi**  
**La console aggiunge la seguente dichiarazione alla politica chiave per le chiavi KMS asimmetriche con un utilizzo chiave di Key agreement.**  

```
{
  "Sid": "Allow use of the key",
  "Effect": "Allow",
  "Principal": {"AWS": "arn:aws:iam::111122223333:role/ExampleKeyUserRole"},
  "Action": [
    "kms:DescribeKey",
    "kms:GetPublicKey",
    "kms:DeriveSharedSecret"
  ],
  "Resource": "*"
}
```

Le operazioni in queste istruzioni forniscono agli utenti della chiave le autorizzazioni seguenti.

[https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html)  
Permette agli utenti della chiave di crittografare i dati con questa chiave KMS.

[https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)  
Permette agli utenti della chiave di decrittare i dati con questa chiave KMS.

[https://docs.aws.amazon.com/kms/latest/APIReference/API_DeriveSharedSecret.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeriveSharedSecret.html)  
Consente agli utenti chiave di ricavare segreti condivisi con questa chiave KMS.

[https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)  
Permette agli utenti della chiave di ottenere informazioni dettagliate su questa chiave KMS, compresi gli identificatori, la data di creazione e lo stato della chiave. Consente inoltre agli utenti principali di visualizzare i dettagli sulla chiave KMS nella console. AWS KMS 

`kms:GenerateDataKey*`  
Permette agli utenti della chiave di richiedere una chiave di dati simmetrica o una coppia di chiavi di dati asimmetriche per operazioni di crittografia sul lato client. La console utilizza il carattere jolly \$1 per rappresentare l'autorizzazione per le seguenti operazioni API: [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html), [GenerateDataKeyWithoutPlaintext[GenerateDataKeyPair](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPair.html)](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html), e. [GenerateDataKeyPairWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPairWithoutPlaintext.html) Queste autorizzazioni sono valide solo per le chiavi KMS di crittografia simmetrica che crittografano le chiavi di dati.

[km: GenerateMac](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateMac.html)  
Consente agli utenti della chiave di utilizzare una chiave KMS HMAC per generare un tag HMAC.

[km: GetPublicKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetPublicKey.html)  
Permette agli utenti della chiave di scaricare la chiave pubblica della chiave KMS asimmetrica. Le parti con cui condividi questa chiave pubblica possono crittografare i dati all'esterno di. AWS KMS Questi testi cifrati possono essere decriptati solo chiamando l'operazione [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) in AWS KMS.

[km: \$1 ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html)   
Permette agli utenti della chiave di crittografare nuovamente i dati originariamente crittografati con questa chiave KMS o di utilizzare questa chiave KMS per ricrittografare dati crittografati in precedenza. L'[ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html)operazione richiede l'accesso alle chiavi KMS di origine e di destinazione. A tal fine, puoi concedere l'autorizzazione `kms:ReEncryptFrom` sulla chiave KMS di origine e l'autorizzazione `kms:ReEncryptTo` sulla chiave KMS di destinazione. Per semplicità, però, la console consente `kms:ReEncrypt*` (con il carattere jolly `*`) su entrambe le chiavi KMS.

[kms:Sign](https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html)  
Permette agli utenti della chiave di firmare messaggi con questa chiave KMS.

[kms:Verify](https://docs.aws.amazon.com/kms/latest/APIReference/API_Verify.html)  
Permette agli utenti della chiave di verificare le firme con questa chiave KMS.

[km: VerifyMac](https://docs.aws.amazon.com/kms/latest/APIReference/API_VerifyMac.html)  
Consente agli utenti della chiave di utilizzare una chiave KMS HMAC per verificare un tag HMAC.

## Consente agli utenti chiave di utilizzare la chiave KMS con i servizi AWS
<a name="key-policy-service-integration"></a>

La politica delle chiavi predefinita nella console offre inoltre agli utenti chiave le autorizzazioni necessarie per proteggere i propri dati nei AWS servizi che utilizzano le sovvenzioni. AWS i servizi spesso utilizzano le sovvenzioni per ottenere autorizzazioni specifiche e limitate all'uso di una chiave KMS.

[Questa dichiarazione politica chiave consente all'utente principale di creare, visualizzare e revocare le concessioni sulla chiave KMS, ma solo quando la richiesta di operazione di concessione proviene da un servizio integrato con.AWSAWS KMS](https://aws.amazon.com/kms/features/#AWS_Service_Integration) La condizione [kms: GrantIsFor AWSResource](conditions-kms.md#conditions-kms-grant-is-for-aws-resource) policy non consente all'utente di chiamare direttamente queste operazioni di concessione. Se l'utente chiave lo consente, un AWS servizio può creare una concessione per conto dell'utente che consente al servizio di utilizzare la chiave KMS per proteggere i dati dell'utente. 

Gli utenti della chiave hanno bisogno di queste autorizzazioni di concessione per utilizzare la loro chiave KMS con i servizi integrati, ma queste autorizzazioni non sono sufficienti. Gli utenti della chiave hanno bisogno dell'autorizzazione anche per utilizzare i servizi integrati. Per informazioni dettagliate su come concedere agli utenti l'accesso a un AWS servizio che si integra con AWS KMS, consulta la documentazione del servizio integrato.

```
{
  "Sid": "Allow attachment of persistent resources",
  "Effect": "Allow",
  "Principal": {"AWS": "arn:aws:iam::111122223333:role/ExampleKeyUserRole"},
  "Action": [
    "kms:CreateGrant",
    "kms:ListGrants",
    "kms:RevokeGrant"
  ],
  "Resource": "*",
  "Condition": {"Bool": {"kms:GrantIsForAWSResource": true}}
}
```

Ad esempio, gli utenti della chiave possono utilizzare queste autorizzazioni sulla chiave KMS nei modi seguenti.
+ Utilizza questa chiave KMS con Amazon Elastic Block Store (Amazon EBS) e Amazon Elastic Compute Cloud (Amazon EC2) per allegare un volume EBS crittografato a un'istanza EC2. L'utente della chiave offre implicitamente a Amazon EC2 l'autorizzazione a utilizzare la chiave KMS per collegare il volume crittografato all'istanza. Per ulteriori informazioni, consultare [In che modo Amazon Elastic Block Store (Amazon EBS) utilizza Amazon Elastic Block Store (Amazon EBS) AWS KMS](services-ebs.md).
+ Utilizza questa chiave KMS con Amazon Redshift per avviare un cluster crittografato. L'utente della chiave offre implicitamente a Amazon Redshift l'autorizzazione a utilizzare la chiave KMS per avviare il cluster crittografato e creare snapshot crittografate. Per ulteriori informazioni, consultare [Come utilizza Amazon Redshift AWS KMS](services-redshift.md).
+ Utilizzare questa chiave KMS con altri [servizi AWS integrati con AWS KMS](service-integration.md) che utilizzano concessioni per creare, gestire o utilizzare le risorse crittografate con quei servizi.

La policy delle chiavi predefinita consente agli utenti della chiave di delegare l'autorizzazione di concessione a *tutti* i servizi integrati che utilizzano le concessioni. Tuttavia, è possibile creare una politica di chiave personalizzata che limiti l'autorizzazione a servizi specifici AWS . Per ulteriori informazioni, consulta la chiave di condizione [kms:ViaService](conditions-kms.md#conditions-kms-via-service).

# Visualizza una politica chiave
<a name="key-policy-viewing"></a>

Puoi visualizzare la politica chiave per una [chiave gestita dal AWS KMS cliente](concepts.md#customer-mgn-key) o [Chiave gestita da AWS](concepts.md#aws-managed-key)nel tuo account utilizzando la AWS KMS console o l'[GetKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html)operazione nell' AWS KMS API. Non è possibile utilizzare queste tecniche per visualizzare la policy delle chiavi di una chiave KMS in un Account AWS diverso. 

Per ulteriori informazioni sulle politiche AWS KMS chiave, consulta[Politiche chiave in AWS KMS](key-policies.md). Per informazioni su come determinare quali utenti e ruoli hanno accesso a una chiave KMS, consulta [Determinare l'accesso a AWS KMS keys](determining-access.md).

## Utilizzo della AWS KMS console
<a name="key-policy-viewing-console"></a>

Gli utenti autorizzati possono visualizzare la policy delle chiavi per una[Chiave gestita da AWS](concepts.md#aws-managed-key) o una [chiave gestita dal cliente](concepts.md#customer-mgn-key) nella scheda **Key policy (Policy delle chiavi)** della Console di gestione AWS. 

Per visualizzare la politica chiave per una chiave KMS in Console di gestione AWS, devi disporre delle autorizzazioni [kms: ListAliases](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListAliases.html), [kms: DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) e [kms](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html):. GetKeyPolicy

1. [Accedi a Console di gestione AWS e apri la console AWS Key Management Service ()AWS KMS in /kms. https://console.aws.amazon.com](https://console.aws.amazon.com/kms)

1. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.

1. 

   **Per visualizzare le chiavi dell'account che AWS crea e gestisce per te, nel riquadro di navigazione, scegli chiavi gestite.AWS ** Per visualizzare le chiavi nell'account creato e gestito dall'utente, nel riquadro di navigazione, seleziona **Chiavi gestite dal cliente**.

1. Nell'elenco di chiavi KMS, scegliere l'alias o l'ID chiave della chiave KMS che si intende esaminare.

1. Scegli la scheda **Policy della chiave**.

   Nella tab **Policy chiave** è possibile che venga visualizzato il documento della policy delle chiavi. Si tratta della *visualizzazione policy*. Nelle istruzioni della policy delle chiavi è possibile visualizzare i principali a cui la policy ha concesso l'accesso alla chiave KMS e le operazioni che tali entità possono eseguire.

   Nell'esempio seguente viene illustrata la visualizzazione policy per la [policy di chiave predefinita](key-policy-default.md).   
![\[Visualizzazione della politica delle chiavi predefinita nella visualizzazione delle politiche nella AWS KMS console\]](http://docs.aws.amazon.com/it_it/kms/latest/developerguide/images/console-key-policy-view.png)

   In alternativa, se hai creato la chiave KMS in Console di gestione AWS, vedrai la *visualizzazione predefinita* con le sezioni **Amministratori delle chiavi**, **Eliminazione delle chiavi** e Utenti **chiave**. Per visualizzare il documento di policy delle chiavi, scegliere **Switch to policy view (Passa alla visualizzazione policy)**.

   Nell'esempio seguente viene illustrata la visualizzazione predefinita per la [policy di chiave predefinita](key-policy-default.md).   
![\[Visualizzazione della politica delle chiavi predefinita nella visualizzazione predefinita nella console AWS KMS\]](http://docs.aws.amazon.com/it_it/kms/latest/developerguide/images/console-key-policy-full-vsm.png)

## Utilizzo dell' AWS KMS API
<a name="key-policy-viewing-api"></a>

Per ottenere la politica chiave per una chiave KMS nella tua Account AWS, utilizza l'[GetKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html)operazione nell' AWS KMS API. Non è possibile utilizzare questa operazione per visualizzare una policy di chiave in un account diverso.

L'esempio seguente utilizza il [get-key-policy](https://docs.aws.amazon.com/cli/latest/reference/kms/get-key-policy.html)comando contenuto in AWS Command Line Interface (AWS CLI), ma puoi utilizzare qualsiasi AWS SDK per effettuare questa richiesta. 

Il parametro `PolicyName` è obbligatorio, anche se l'unico valore valido è `default`. Inoltre, questo comando richiede l'output nel testo, anziché in JSON, per rendere la visualizzazione più semplice.

Prima di eseguire questo comando, sostituisci l'ID chiave di esempio con un ID valido dell'account.

```
$ aws kms get-key-policy --key-id 1234abcd-12ab-34cd-56ef-1234567890ab --policy-name default --output text
```

La risposta deve essere simile a quella seguente, che restituisce la [policy di chiave predefinita](key-policy-default.md).

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Id" : "key-consolepolicy-3",
  "Statement" : [ {
  "Sid" : "EnableIAMUserPermissions",
    "Effect" : "Allow",
    "Principal" : {
      "AWS" : "arn:aws:iam::111122223333:root"
    },
    "Action" : "kms:*",
    "Resource" : "*"
  } ]
}
```

------

# Modificare una policy della chiave
<a name="key-policy-modifying"></a>

Puoi modificare la politica chiave per una chiave KMS nel tuo Account AWS sistema utilizzando l'[PutKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html)operazione Console di gestione AWS o. Non è possibile utilizzare queste tecniche per modificare la policy delle chiavi di una chiave KMS in un Account AWS diverso.

Quando modifichi una policy delle chiavi, ricorda le seguenti regole:
+ Puoi visualizzare la policy delle chiavi per una [Chiave gestita da AWS](concepts.md#aws-managed-key) o per una [chiave gestita dal cliente](concepts.md#customer-mgn-key), ma puoi modificare la policy delle chiavi solo per una chiave gestita dal cliente. Le politiche di Chiavi gestite da AWS vengono create e gestite dal AWS servizio che ha creato la chiave KMS nel tuo account. Non puoi visualizzare o modificare la policy delle chiavi per una [Chiave di proprietà di AWS](concepts.md#aws-owned-key).
+ Puoi aggiungere o rimuovere utenti IAM, ruoli IAM e Account AWS nella policy chiave e modificare le azioni consentite o negate per tali responsabili. Per ulteriori informazioni sui metodi per specificare principali e autorizzazioni in una policy delle chiavi, consulta [Policy delle chiavi](key-policies.md).
+ Non puoi aggiungere gruppi IAM a una policy delle chiavi, ma puoi aggiungere più utenti IAM e ruoli IAM. Per ulteriori informazioni, consulta [Autorizzazione per più principali IAM di accedere a una chiave KMS](iam-policies.md#key-policy-modifying-multiple-iam-users).
+ Se aggiungi elementi esterni Account AWS a una policy chiave, devi utilizzare anche le policy IAM negli account esterni per concedere le autorizzazioni agli utenti, ai gruppi o ai ruoli IAM in tali account. Per ulteriori informazioni, consulta [Autorizzazione per gli utenti in altri account di utilizzare una chiave KMS](key-policy-modifying-external-accounts.md).
+ Il documento di policy delle chiavi risultante non può superare i 32 KB (32.768 byte).

## Come modificare una policy delle chiavi
<a name="key-policy-modifying-how-to"></a>

Puoi modificare una policy chiavi in tre diversi modi, ognuno dei quali è illustrato nelle seguenti sezioni.

**Topics**
+ [Utilizzo della visualizzazione Console di gestione AWS predefinita](#key-policy-modifying-how-to-console-default-view)
+ [Utilizzo della visualizzazione delle politiche Console di gestione AWS](#key-policy-modifying-how-to-console-policy-view)
+ [Utilizzo dell'API AWS KMS](#key-policy-modifying-how-to-api)

### Utilizzo della visualizzazione Console di gestione AWS predefinita
<a name="key-policy-modifying-how-to-console-default-view"></a>

Puoi utilizzare la console per modificare una policy delle chiavi mediante un'interfaccia grafica denominata *visualizzazione predefinita*.

Se le procedure seguenti non corrispondono a ciò che viene visualizzato nella console, è possibile che questa policy delle chiavi non sia stata creata con la console oppure che sia stata modificata in un modo non supportato dalla visualizzazione predefinita della console. In questo caso, segui i passaggi descritti in [Utilizzo della visualizzazione delle politiche Console di gestione AWS](#key-policy-modifying-how-to-console-policy-view) o [Utilizzo dell'API AWS KMS](#key-policy-modifying-how-to-api).

1. Visualizza la policy delle chiavi per una chiave gestita dal cliente come descritto in [Utilizzo della AWS KMS console](key-policy-viewing.md#key-policy-viewing-console). (Non è possibile modificare le politiche chiave di Chiavi gestite da AWS.)

1. Decidere cosa modificare.
   + Per aggiungere o rimuovere [amministratori delle chiavi](key-policy-default.md#key-policy-default-allow-administrators) e per consentire o impedire agli amministratori di [eliminare la chiave KMS](deleting-keys.md), utilizza i controlli nella sezione **Key Administrators** della pagina. Gli amministratori delle chiavi gestiscono la chiave KMS, possono abilitare e disabilitare la stessa, impostare la policy delle chiavi e [abilitare la rotazione delle chiavi](rotate-keys.md).
   + Per aggiungere o rimuovere [utenti chiave](key-policy-default.md#key-policy-default-allow-users) e per consentire o impedire l'uso della chiave KMS Account AWS da parte di esterni, utilizza i controlli nella sezione **Utenti chiave** della pagina. Gli utenti della chiave possono utilizzare la chiave KMS nelle [operazioni di crittografia](kms-cryptography.md#cryptographic-operations), ad esempio crittografia, decrittografia, ricrittografia e generazione di chiavi di dati.

### Utilizzo della visualizzazione delle politiche Console di gestione AWS
<a name="key-policy-modifying-how-to-console-policy-view"></a>

Puoi utilizzare la console per modificare un documento di policy delle chiavi mediante la *visualizzazione policy* della console.

1. Visualizza la policy delle chiavi per una chiave gestita dal cliente come descritto in [Utilizzo della AWS KMS console](key-policy-viewing.md#key-policy-viewing-console). (Non è possibile modificare le politiche chiave di Chiavi gestite da AWS.)

1. Nella sezione **Policy della chiave**, scegli **Passa alla visualizzazione della policy**.

1. Scegli **Modifica**.

1. Decidere cosa modificare.
   + Per aggiungere una nuova dichiarazione, scegli **Aggiungi nuova dichiarazione**. Quindi, puoi selezionare le azioni, i principi e le condizioni per la nuova dichiarazione politica chiave dalle opzioni elencate nel pannello di creazione delle politiche o inserire manualmente gli elementi della dichiarazione politica.
   + **Per rimuovere una dichiarazione dalla tua politica chiave, seleziona la dichiarazione e scegli Rimuovi.** Rivedi l'informativa politica selezionata e conferma che desideri rimuoverla. Se decidi di non voler procedere con la rimozione dell'informativa, scegli **Annulla**.
   + Per modificare una dichiarazione politica chiave esistente, selezionate la dichiarazione. Quindi, puoi utilizzare il pannello di creazione delle dichiarazioni per scegliere elementi specifici che desideri modificare o modificare manualmente l'istruzione.

1. Scegli **Save changes** (Salva modifiche).

### Utilizzo dell'API AWS KMS
<a name="key-policy-modifying-how-to-api"></a>

Puoi utilizzare l'[PutKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html)operazione per modificare la politica chiave di una chiave KMS nel tuo Account AWS. Non è possibile utilizzare questa API per una chiave KMS in un Account AWS differente.

1. Utilizza l'[GetKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html)operazione per ottenere il documento di politica chiave esistente, quindi salva il documento di politica chiave in un file. Per il codice di esempio in più linguaggi di programmazione, consulta [Utilizzo `GetKeyPolicy` con un AWS SDK o una CLI](example_kms_GetKeyPolicy_section.md).

1. Aprire il documento di policy delle chiavi in un editor di testo, modificarlo e salvare il file.

1. Utilizza l'[PutKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html)operazione per applicare il documento di policy chiave aggiornato alla chiave KMS. Per il codice di esempio in più linguaggi di programmazione, consulta [Utilizzo `PutKeyPolicy` con un AWS SDK o una CLI](example_kms_PutKeyPolicy_section.md).

Per un esempio di copia di una politica chiave da una chiave KMS a un'altra, vedi l'[GetKeyPolicy esempio](https://docs.aws.amazon.com/cli/latest/reference/kms/get-key-policy.html#examples) nel Command Reference. AWS CLI 

# Autorizzazioni per i AWS servizi nelle politiche chiave
<a name="key-policy-services"></a>

Molti AWS servizi lo utilizzano AWS KMS keys per proteggere le risorse che gestiscono. Quando un servizio utilizza [Chiavi di proprietà di AWS](concepts.md#aws-owned-key) o [Chiavi gestite da AWS](concepts.md#aws-managed-key), il servizio stabilisce e mantiene le policy della chiave per queste chiavi KMS. 

Tuttavia, quando si utilizza una [chiave gestita dal cliente](concepts.md#customer-mgn-key) con un servizio AWS , è l'utente che imposta e mantiene la policy della chiave. Tale policy della chiave deve concedere al servizio le autorizzazioni minime necessarie per proteggere la risorsa per conto dell'utente. Si consiglia di seguire il principio del privilegio minimo: concedere al servizio soltanto le autorizzazioni necessarie. È possibile farlo in modo efficace scoprendo di quali autorizzazioni il servizio ha bisogno e utilizzando le [chiavi di condizione globali AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) e le [chiavi di condizione AWS KMS](policy-conditions.md) per perfezionare le autorizzazioni. 

Per trovare le autorizzazioni richieste dal servizio su una chiave gestita dal cliente, consultare la documentazione di crittografia per il servizio. L'elenco seguente include collegamenti alla documentazione di alcuni servizi:
+ **AWS CloudTrail**autorizzazioni: [configura le politiche AWS KMS chiave per CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/create-kms-key-policy-for-cloudtrail.html#create-kms-key-policy-for-cloudtrail-decrypt)
+ Autorizzazioni **Amazon Elastic Block Store** - Guida per l'utente di [Amazon EC2 e Guida per l'utente](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#ebs-encryption-permissions) di Amazon [EC2](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EBSEncryption.html#ebs-encryption-permissions)
+ **AWS Lambda**permissions - [Crittografia dei dati a riposo per](https://docs.aws.amazon.com/lambda/latest/dg/security-encryption-at-rest.html) Lambda
+ Autorizzazioni **Amazon Q** - [Crittografia dei dati per Amazon](https://docs.aws.amazon.com/amazonq/latest/qbusiness-ug/data-encryption.html) Q
+ [AWS KMS Autorizzazioni di **Amazon Relational Database** Service: gestione delle chiavi](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.Keys.html)
+ **Gestione dei segreti AWS**permessi: [autorizzazione all'uso della chiave KMS](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html#security-encryption-authz)
+ Autorizzazioni **Amazon Simple Queue Service** - Gestione delle chiavi [Amazon SQS](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-key-management.html)