Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Connect a AWS KMS tramite un endpoint VPC
Puoi connetterti direttamente AWS KMS tramite un endpoint con interfaccia privata nel tuo cloud privato virtuale (VPC). Quando si utilizza un endpoint VPC di interfaccia, la comunicazione tra il VPC e il VPC AWS KMS viene condotta interamente all'interno della rete. AWS
AWS KMS supporta gli endpoint Amazon Virtual Private Cloud (Amazon VPC) con tecnologia. [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/) Ogni endpoint VPC è rappresentato da una o più [interfacce di rete elastiche](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) (ENIs) con indirizzi IP privati nelle sottoreti VPC.
L'interfaccia VPC endpoint collega il tuo VPC direttamente AWS KMS senza un gateway Internet, un dispositivo NAT, una connessione VPN o una connessione. AWS Direct Connect Le istanze del tuo VPC non necessitano di indirizzi IP pubblici con cui comunicare. AWS KMS
**Regioni**
AWS KMS supporta gli endpoint VPC e le policy degli endpoint VPC in tutti i casi in cui è supportato. Regioni AWS [AWS KMS](https://docs.aws.amazon.com/general/latest/gr/kms.html)
**Considerazioni sugli endpoint AWS KMS VPC**
*Prima di configurare un endpoint VPC di interfaccia per AWS KMS, consulta l'argomento [Proprietà e limitazioni dell'endpoint dell'interfaccia](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#vpce-interface-limitations) nella Guida.AWS PrivateLink *
AWS KMS il supporto per un endpoint VPC include quanto segue.
+ Puoi utilizzare l'endpoint VPC per richiamare tutte le [operazioni API AWS KMS](https://docs.aws.amazon.com/kms/latest/APIReference/API_Operations.html) dal VPC.
+ [È possibile creare un endpoint VPC di interfaccia che si connette a un endpoint AWS KMS regionale o a un endpoint FIPS.AWS KMS](https://docs.aws.amazon.com/general/latest/gr/kms.html)
+ Puoi utilizzare AWS CloudTrail i log per verificare l'utilizzo delle chiavi KMS tramite l'endpoint VPC. Per informazioni dettagliate, vedi [Registrazione delle AWS KMS richieste che utilizzano un endpoint VPC](vpce-logging.md).
**Topics**
+ [Crea un endpoint VPC per AWS KMS](vpce-create-endpoint.md)
+ [Connect a un AWS KMS endpoint VPC](vpce-connect.md)
+ [Usa gli endpoint VPC per controllare l'accesso alle risorse AWS KMS](vpce-policy-condition.md)
+ [Registrazione delle AWS KMS richieste che utilizzano un endpoint VPC](vpce-logging.md)
# Crea un endpoint VPC per AWS KMS
Puoi creare un endpoint VPC per AWS KMS utilizzando la console Amazon VPC o l'API Amazon VPC. Segui le procedure per [creare un endpoint di interfaccia](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint) utilizzando uno dei seguenti valori.
+ Per creare un endpoint VPC per AWS KMS, usa il seguente nome di servizio:
```
com.amazonaws.region.kms
```
Ad esempio, nella regione Stati Uniti occidentali (Oregon) (`us-west-2`), il nome del servizio sarebbe:
```
com.amazonaws.us-west-2.kms
```
+ Per creare un endpoint VPC che si collega a un [endpoint FIPS AWS KMS](https://docs.aws.amazon.com/general/latest/gr/kms.html), usa il seguente nome di servizio:
```
com.amazonaws.region.kms-fips
```
Ad esempio, nella regione Stati Uniti occidentali (Oregon) (`us-west-2`), il nome del servizio sarebbe:
```
com.amazonaws.us-west-2.kms-fips
```
Per semplificare l'utilizzo dell'endpoint VPC, puoi abilitare un [nome DNS privato](https://docs.aws.amazon.com/vpc/latest/privatelink/verify-domains.html) per l'endpoint VPC. Se selezioni l'opzione **Enable DNS Name** (Abilita nome DNS), il nome host DNS standard AWS KMS si risolve nell'endpoint VPC. Ad esempio, `https://kms.us-west-2.amazonaws.com` si risolverebbe in un endpoint VPC connesso al nome del servizio `com.amazonaws.us-west-2.kms`.
Questa opzione rende più semplice utilizzare l'endpoint VPC. Per impostazione predefinita, AWS CLI utilizza il nome host AWS KMS DNS standard, quindi non è necessario specificare l'URL dell'endpoint VPC nelle applicazioni e nei comandi. AWS SDKs
Per ulteriori informazioni, consulta la sezione [Accesso a un servizio tramite un endpoint di interfaccia](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#access-service-though-endpoint) nella *Guida di AWS PrivateLink *.
# Connect a un AWS KMS endpoint VPC
Puoi connetterti AWS KMS tramite l'endpoint VPC utilizzando un AWS SDK, o. AWS CLI AWS Strumenti per PowerShell Per specificare l'endpoint VPC, utilizzare il nome DNS.
Ad esempio, il comando [list-keys](https://docs.aws.amazon.com/cli/latest/reference/kms/list-keys.html) utilizza il parametro `endpoint-url` per specificare l'endpoint VPC. Per utilizzare un comando come questo, sostituisci l'ID dell'endpoint VPC con uno presente nel tuo account.
```
$ aws kms list-keys --endpoint-url https://vpce-1234abcdf5678c90a-09p7654s-us-east-1a.ec2.us-east-1.vpce.amazonaws.com
```
**Autorizzazioni richieste**
Affinché una AWS KMS richiesta che utilizza un endpoint VPC abbia esito positivo, il principale richiede le autorizzazioni da due fonti:
+ Una [policy chiave](key-policies.md), una [policy IAM](iam-policies.md) o una [concessione](grants.md) deve concedere l'autorizzazione al principale per chiamare l'operazione sulla risorsa (chiave KMS o alias).
+ Una policy di endpoint VPC deve concedere l'autorizzazione al principale per utilizzare l'endpoint per effettuare la richiesta.
Ad esempio, una policy chiave potrebbe concedere al principale un'autorizzazione per chiamare [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) in una determinata chiave KMS. Tuttavia, la policy di endpoint VPC potrebbe non consentire a tale principale di chiamare `Decrypt` sulla chiave KMS utilizzando l'endpoint.
Oppure una policy [DisableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html)sugli endpoint VPC potrebbe consentire a un principale di utilizzare l'endpoint per richiamare determinate chiavi KMS. Tuttavia se il principale non dispone di tali autorizzazioni da una policy delle chiavi, una policy IAM o una concessione, la richiesta non riesce.
Puoi creare una policy di endpoint VPC quando crei l'endpoint e puoi modificare la policy di endpoint VPC in qualsiasi momento. Utilizza la console di gestione VPC o le operazioni [CreateVpcEndpoint](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateVpcEndpoint.html)o [ModifyVpcEndpoint](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpcEndpoint.html). Puoi anche creare e modificare una policy per gli endpoint VPC [utilizzando](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-ec2-vpcendpoint.html) un modello. AWS CloudFormation Per informazioni sull'utilizzo della console di gestione VPC, consulta la sezione [Creazione di un endpoint di interfaccia](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint) e [Modifica di un endpoint di interfaccia](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#modify-interface-endpoint) nella *Guida di AWS PrivateLink *.
**Hostname privati**
Se hai attivato nomi host privati al momento della creazione dell'endpoint VPC, non è necessario specificare l'URL dell'endpoint VPC nella configurazione dell'applicazione o nei comandi della CLI. Il nome host DNS standard AWS KMS viene risolto nell'endpoint VPC. Seleziona AWS CLI e SDKs utilizza questo nome host per impostazione predefinita, in modo da poter iniziare a utilizzare l'endpoint VPC per connetterti a AWS KMS un endpoint regionale senza modificare nulla negli script e nelle applicazioni.
Per utilizzare nomi host privati, gli attributi `enableDnsHostnames` e `enableDnsSupport` del VPC devono essere impostati su `true`. Per impostare questi attributi, usa l'operazione. [ModifyVpcAttribute](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpcAttribute.html) Per informazioni dettagliate, consulta la sezione [Visualizzazione e aggiornamento degli attributi DNS per il VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating) nella *Guida per l'utente di Amazon VPC*.
# Usa gli endpoint VPC per controllare l'accesso alle risorse AWS KMS
Puoi controllare l'accesso alle AWS KMS risorse e alle operazioni quando la richiesta proviene da VPC o utilizza un endpoint VPC. A tale scopo, utilizza una delle seguenti [chiavi di condizione globale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#AvailableKeys) in una [policy delle chiavi](key-policies.md) o una [policy IAM](iam-policies.md).
+ Usa la chiave di condizione `aws:sourceVpce` per concedere o limitare l'accesso in base all'endpoint VPC.
+ Usa la chiave di condizione `aws:sourceVpc` per concedere o limitare l'accesso in base al VPC che ospita l'endpoint privato.
**Nota**
Fai attenzione durante la creazione delle policy IAM e delle policy delle chiavi basate sull'endpoint VPC. Se una dichiarazione di policy richiede che le richieste provengano da un particolare VPC o endpoint VPC, le richieste provenienti da AWS servizi integrati che utilizzano una AWS KMS risorsa per conto dell'utente potrebbero non riuscire. Per assistenza, consulta [Utilizzo delle condizioni degli endpoint VPC nelle policy con autorizzazioni AWS KMS](conditions-aws.md#conditions-aws-vpce).
Inoltre, la chiave di condizione `aws:sourceIP` non è efficace quando la richiesta proviene da un [endpoint Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html). Per limitare le richieste a un endpoint VPC, utilizza il comando `aws:sourceVpce` o le chiavi di condizione `aws:sourceVpc`. Per ulteriori informazioni, consulta la sezione [Gestione delle identità e degli accessi per endpoint VPC e servizi endpoint VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-iam.html) nella *Guida di AWS PrivateLink *.
È possibile utilizzare queste chiavi di condizione globali per controllare l'accesso a AWS KMS keys (chiavi KMS), gli alias e a operazioni del genere [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)che non dipendono da alcuna risorsa particolare.
Ad esempio, la seguente policy delle chiavi di esempio consente a un utente di eseguire alcune operazioni di crittografia con una chiave KMS solo quando la richiesta utilizza l'endpoint VPC specificato. Quando un utente effettua una richiesta a AWS KMS, l'ID dell'endpoint VPC nella richiesta viene confrontato con il valore della chiave di `aws:sourceVpce` condizione nella policy. Se non corrisponde, la richiesta viene rifiutata.
Per utilizzare una politica come questa, sostituisci l' Account AWS ID segnaposto e l'endpoint VPC IDs con valori validi per il tuo account.
------
#### [ JSON ]
****
```
{
"Id": "example-key-1",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnableIAMpolicies",
"Effect": "Allow",
"Principal": {"AWS":["111122223333"]},
"Action": ["kms:*"],
"Resource": "*"
},
{
"Sid": "Restrict usage to my VPC endpoint",
"Effect": "Deny",
"Principal": "*",
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:sourceVpce": "vpce-1234abcdf5678c90a"
}
}
}
]
}
```
------
Puoi anche utilizzare la chiave di condizione `aws:sourceVpc` per limitare l'accesso alle tue chiavi KMS in base al VPC in cui risiede l'endpoint VPC.
I seguenti comandi di esempio della policy delle chiavi consentono i comandi che gestiscono la chiave KMS solo quando la loro provenienza è `vpc-12345678`. Inoltre, consente i comandi che utilizzano la chiave KMS per le operazioni di crittografia solo quando provengono da `vpc-2b2b2b2b`. Puoi usare una policy come questa se un'applicazione è in esecuzione in un VPC, ma devi utilizzare un secondo VPC separato per le funzioni di gestione.
Per utilizzare una politica come questa, sostituisci l' Account AWS ID segnaposto e l'endpoint VPC IDs con valori validi per il tuo account.
------
#### [ JSON ]
****
```
{
"Id": "example-key-2",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAdministrativeActionsFromVPC",
"Effect": "Allow",
"Principal": {
"AWS": "111122223333"
},
"Action": [
"kms:Create*",
"kms:Enable*",
"kms:Put*",
"kms:Update*",
"kms:Revoke*",
"kms:Disable*",
"kms:Delete*",
"kms:TagResource",
"kms:UntagResource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:sourceVpc": "vpc-12345678"
}
}
},
{
"Sid": "AllowKeyUsageFromVPC2b2b2b2b",
"Effect": "Allow",
"Principal": {
"AWS": "111122223333"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:sourceVpc": "vpc-2b2b2b2b"
}
}
},
{
"Sid": "AllowReadActionsEverywhere",
"Effect": "Allow",
"Principal": {
"AWS": "111122223333"
},
"Action": [
"kms:Describe*",
"kms:List*",
"kms:Get*"
],
"Resource": "*"
}
]
}
```
------
# Registrazione delle AWS KMS richieste che utilizzano un endpoint VPC
AWS CloudTrail registra tutte le operazioni che utilizzano l'endpoint VPC. Quando una richiesta AWS KMS utilizza un endpoint VPC, l'ID dell'endpoint VPC viene visualizzato nella voce di [AWS CloudTrail registro che registra](logging-using-cloudtrail.md) la richiesta. Puoi utilizzare l'ID endpoint per verificare l'uso del tuo endpoint AWS KMS VPC.
Tuttavia, CloudTrail i registri non includono le operazioni richieste dai responsabili in altri account o le richieste di AWS KMS operazioni su chiavi e alias KMS in altri account. Inoltre, per proteggere il tuo VPC, le richieste che vengono rifiutate da una policy sugli endpoint VPC, ma che altrimenti sarebbero state consentite, non vengono registrate in. [AWS CloudTrail](logging-using-cloudtrail.md)
Ad esempio, questa voce di log di esempio registra una richiesta [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) che utilizza l'endpoint VPC. Il campo `vpcEndpointId` viene visualizzato alla fine della voce di log.
```
{
"eventVersion":"1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accessKeyId": "EXAMPLE_KEY_ID",
"accountId": "111122223333",
"userName": "Alice"
},
"eventTime":"2018-01-16T05:46:57Z",
"eventSource":"kms.amazonaws.com",
"eventName":"GenerateDataKey",
"awsRegion":"eu-west-1",
"sourceIPAddress":"172.01.01.001",
"userAgent":"aws-cli/1.14.23 Python/2.7.12 Linux/4.9.75-25.55.amzn1.x86_64 botocore/1.8.27",
"requestParameters":{
"keyId":"1234abcd-12ab-34cd-56ef-1234567890ab",
"numberOfBytes":128
},
"responseElements":null,
"requestID":"a9fff0bf-fa80-11e7-a13c-afcabff2f04c",
"eventID":"77274901-88bc-4e3f-9bb6-acf1c16f6a7c",
"readOnly":true,
"resources":[{
"ARN":"arn:aws:kms:eu-west-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId":"111122223333",
"type":"AWS::KMS::Key"
}],
"eventType":"AwsApiCall",
"recipientAccountId":"111122223333",
"vpcEndpointId": "vpce-1234abcdf5678c90a"
}
```