Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Chiavi multiregionali in ingresso AWS KMS
AWS KMS supporta *chiavi multiregionali*, che sono disponibili AWS KMS keys in diverse Regioni AWS regioni e possono essere utilizzate in modo intercambiabile, come se avessi la stessa chiave in più regioni. Ogni set di chiavi multiregionali *correlate* ha lo stesso materiale chiave e lo stesso [ID](concepts.md#key-id-key-id) di chiave, quindi puoi crittografare i dati in una Regione AWS e decrittografarli in un'altra Regione AWS senza doverli crittografare nuovamente o effettuare una chiamata interregionale a. AWS KMS
Come tutte le chiavi KMS, le chiavi multiregionali non escono mai non crittografate. AWS KMS È possibile creare chiavi multi-regione simmetriche o asimmetriche per la crittografia o la firma, creare chiavi multi-regione HMAC per la generazione e la verifica dei tag HMAC e creare [chiavi multi-regione con materiale della chiave importato](importing-keys.md) o materiale della chiave generato da AWS KMS . È necessario gestire ogni chiave multi-regione in modo indipendente, inclusa la creazione di alias e tag, l'impostazione delle policy chiave e delle concessioni e l'abilitazione e la disabilitazione selettiva. È possibile utilizzare chiavi multi-regione in tutte le operazioni di crittografia che è possibile eseguire con le chiavi di singola regione.
Le chiavi multi-regione sono una soluzione flessibile e potente per molti scenari comuni di sicurezza dei dati.
**Ripristino di emergenza **
In un'architettura di backup e ripristino, le chiavi multiregionali consentono di elaborare i dati crittografati senza interruzioni anche in caso di interruzione. Regione AWS I dati mantenuti nelle regioni di backup possono essere decrittati nella regione di backup e i dati appena crittografati nella regione di backup possono essere decrittati nella regione principale quando tale regione viene ripristinata.
**Gestione globale dei dati**
Le aziende che operano a livello globale necessitano di dati distribuiti a livello globale e che siano disponibili in modo coerente in Regioni AWS. È possibile creare chiavi multi-regione in tutte le aree geografiche in cui risiedono i dati, quindi utilizzare le chiavi come se fossero una chiave singola regione senza la latenza di una chiamata tra regioni diverse o il costo di una nuova crittografia dei dati sotto una chiave diversa in ogni regione.
**Applicazioni per la firma distribuita**
Le applicazioni che richiedono funzionalità di firma tra regioni diverse possono utilizzare chiavi di firma asimmetriche multi-regione per generare firme digitali identiche in modo coerente e ripetuto in diverse Regioni AWS.
Se si utilizza il concatenamento dei certificati con un unico archivio affidabile globale (per una singola autorità di certificazione principale (CA) e un sistema intermedio regionale CAs firmato dalla CA principale, non sono necessarie chiavi multiregionali. Tuttavia, se il sistema non supporta funzionalità intermedie CAs, come la firma delle applicazioni, puoi utilizzare chiavi multiregionali per garantire coerenza alle certificazioni regionali.
**Applicazioni in modalità attivo-attivo che si estendono su più regioni**
Alcuni carichi di lavoro e applicazioni possono estendersi su più regioni in architetture di modalità attivo-attivo. Per queste applicazioni, le chiavi multi-regione possono ridurre la complessità fornendo lo stesso materiale chiave per le operazioni simultanee di crittografia e decrittografia sui dati che potrebbero essere spostati oltre i confini della regione.
[Puoi utilizzare chiavi multiregionali con librerie di crittografia lato client, come [AWS Database Encryption SDK e la crittografia](https://docs.aws.amazon.com/dynamodb-encryption-client/latest/devguide/) lato client Amazon S3. [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingClientSideEncryption.html)
La maggior parte dei [AWS servizi che si integrano con AWS KMS](https://aws.amazon.com/kms/features/) la crittografia a riposo o le firme digitali attualmente trattano le chiavi multiregionali come se fossero chiavi a regione singola. Potrebbero riavvolgere o crittografare i dati spostati tra le regioni. Ad esempio, la replica interregionale di Amazon S3 decrittografa e cripta nuovamente i dati con una chiave KMS nella regione di destinazione, anche durante la replica di oggetti protetti da una chiave multiregionale. Consulta la documentazione specifica del servizio per capire come un servizio replica i dati crittografati e se tratta le chiavi multiregionali in modo diverso.
Le chiavi multi-regione non sono globali. Creare una chiave primaria multi-regione e quindi replicarla in Regioni selezionate all'interno di una [partizione AWS](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html). Puoi quindi gestire la chiave multi-regione in ogni regione in modo indipendente. Né crea AWS né replica automaticamente chiavi multiregionali in AWS KMS alcuna regione per tuo conto. [Chiavi gestite da AWS](concepts.md#aws-managed-key), le chiavi KMS che AWS i servizi creano per te nel tuo account sono sempre chiavi per regione singola.
Nelle regioni della Cina, puoi utilizzare la funzionalità chiave multiregionale per replicare le chiavi KMS all'interno della partizione China Regions (). `aws-cn` Ad esempio, è possibile replicare una chiave dalla regione Cina (Pechino) alla regione Cina (Ningxia) o viceversa. Replicando una chiave da una regione della Cina a un'altra, l'utente accetta di utilizzare la regione AWS Key Management Service di destinazione e di rispettare tutti i termini del contratto applicabili per la regione di destinazione. Non è possibile replicare una chiave dalle regioni di Pechino e Ningxia in una AWS regione al di fuori della partizione delle regioni della Cina. Allo stesso modo, non è possibile replicare una chiave da una regione al di fuori della partizione delle regioni della Cina nelle regioni di Pechino e Ningxia.
Non è possibile convertire una chiave di regione singola esistente in una chiave multi-regione. Questo design garantisce che tutti i dati protetti con le chiavi esistenti di regione singola mantengano le stesse proprietà di residenza e sovranità dei dati.
Per la maggior parte delle esigenze di sicurezza dei dati, l'isolamento regionale e la tolleranza agli errori delle risorse regionali rendono le chiavi standard per AWS KMS regione singola la soluzione più adatta. Tuttavia, quando è necessario crittografare o firmare i dati in applicazioni lato client in più regioni, è possibile che le chiavi multi-regione siano la soluzione.
**Regioni**
Le chiavi multiregionali sono supportate in tutti i Regioni AWS supporti. AWS KMS
**Prezzi e quote**
Ogni chiave di un set di chiavi multi-regione viene conteggiata come una chiave KMS per i prezzi e le quote. Le [quote di AWS KMS](limits.md) sono calcolate separatamente per ogni regione di un account. L'utilizzo e la gestione delle chiavi multi-regione in ogni regione conteggiano per le quote per quella regione.
**Tipi di chiavi KMS supportati**
È possibile creare i seguenti tipi di chiavi KMS multiregione:
+ Chiavi KMS di crittografia simmetrica
+ Chiavi KMS asimmetriche
+ Chiavi KMS HMAC
+ Chiavi KMS con materiale della chiave importato
Non è possibile creare chiavi multi-regione in un archivio delle chiavi personalizzate.
**Ulteriori informazioni**
+ Per informazioni su come controllare l'accesso alle chiavi KMS multiregionali, consulta. [Controlla l'accesso alle chiavi multiregionali](multi-region-keys-auth.md)
+ Per creare chiavi KMS primarie multiregionali di qualsiasi tipo, consulta. [Creazione di chiavi primarie multiregionali](create-primary-keys.md)
+ Per creare chiavi KMS di replica multiregionale, vedi. [Creazione di chiavi di replica multiregionali](multi-region-keys-replicate.md)
+ Per aggiornare la regione principale, vedere. [Cambia la chiave primaria in un set di chiavi multiregionali](multi-region-update.md)
+ Per identificare e visualizzare le chiavi KMS multiregionali, vedi. [Identifica le chiavi HMAC KMS](identify-key-types.md#hmac-view)
+ Per ulteriori informazioni sulle considerazioni speciali sull'eliminazione delle chiavi KMS multiregionali, consulta. [Deleting multi-Region keys](deleting-keys.md#deleting-mrks)
## Concetti e terminologia
I termini e i concetti seguenti sono utilizzati con le chiavi multi-regione.
### Chiave multi-regione
Una *chiave multi-regione* è una di un set di chiavi KMS con lo stesso ID chiave e materiale chiave (e altre [proprietà condivise](#mrk-replica-key)) in diversi Regioni AWS. Ogni chiave multi-regione è una chiave KMS completamente funzionante che può essere utilizzata indipendentemente dalle relative chiavi multi-regione correlate. Poiché tutte le chiavi multiregione *correlate* hanno lo stesso ID di chiave e lo stesso materiale di chiave, sono *interoperabili*, ovvero qualsiasi chiave multiregionale correlata Regione AWS può decrittografare il testo cifrato crittografato da qualsiasi altra chiave multiregionale correlata.
Puoi impostare la proprietà multi-regione di una chiave KMS al momento della sua creazione. Non è possibile modificare la proprietà multi-Regione su una chiave esistente. Non è possibile convertire una chiave a Regione singola in chiave multi-Regione o convertire una chiave multi-Regione in una chiave a Regione singola. Per spostare i carichi di lavoro esistenti in scenari multi-Regione, è necessario crittografare nuovamente i dati o creare nuove firme con nuove chiavi multi-Regione.
[Una chiave multiregionale può essere [simmetrica o asimmetrica e può utilizzare materiale chiave o](symmetric-asymmetric.md) materiale chiave importato. AWS KMS](importing-keys.md) Non è possibile creare chiavi multi-regione in un [archivio delle chiavi personalizzate](key-store-overview.md#custom-key-store-overview).
In una serie di chiavi multi-regione correlate, c'è esattamente una [chiave primaria](#mrk-primary-key) in qualsiasi momento. È possibile creare [chiavi di replica](#mrk-replica-key) di quella chiave primaria in altri Regioni AWS. È possibile anche [aggiornare l'area principale](multi-region-update.md#update-primary-console), che modifica la chiave primaria in una chiave di replica e modifica una chiave di replica specificata nella chiave primaria. Tuttavia, è possibile mantenere una sola chiave primaria o chiave di replica per ciascuna. Regione AWS Tutte le regioni devono trovarsi nella stessa [partizione AWS](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).
È possibile avere più set di chiavi multi-regione correlate nello stesso o in un diverso Regioni AWS. Sebbene le chiavi multi-regione correlate siano interoperabili, le chiavi multi-regione non correlate non sono interoperabili.
### Chiave primaria
Una *chiave primaria multiregionale è una chiave* KMS che può essere replicata in altre Regioni AWS nella stessa partizione. Ogni set di chiavi multi-regione ha una sola chiave primaria.
Una chiave primaria differisce da una chiave di replica nei seguenti modi:
+ Solo una chiave primaria può essere [replicata](multi-region-keys-replicate.md).
+ La chiave primaria è la fonte per le [proprietà condivise](#mrk-replica-key) delle sue [chiavi di replica](#mrk-replica-key), incluso il materiale della chiave e l'ID chiave.
+ Puoi abilitare e disabilitare la [rotazione automatica delle chiavi](rotate-keys.md) solo su una chiave primaria.
+ È possibile [pianificare l'eliminazione di una chiave primaria](deleting-keys.md#deleting-mrks) in qualsiasi momento. Ma non AWS KMS eliminerà una chiave primaria finché non verranno eliminate tutte le relative chiavi di replica.
Tuttavia, le chiavi primarie e di replica non differiscono in alcuna proprietà crittografica. È possibile utilizzare una chiave primaria e le relative chiavi di replica in modo intercambiabile.
Non è necessario replicare una chiave primaria. È possibile utilizzarlo come qualsiasi chiave KMS e replicarlo se e quando è utile. Tuttavia, poiché le chiavi multi-regione dispongono di proprietà di protezione diverse dalle chiavi di regione singola, si consiglia di creare una chiave multi-regione solo quando si prevede di replicarla.
### Chiave di replica
Una chiave di *replica multiregionale è una chiave* KMS che ha lo stesso [ID e lo stesso materiale chiave](concepts.md#key-id-key-id) della chiave [primaria e delle relative chiavi di replica, ma esiste in una chiave](#mrk-primary-key) diversa. Regione AWS
Una chiave di replica è una chiave KMS completamente funzionale con policy di chiave, privilegi, alias, tag e altre proprietà. Non è una copia o un puntatore alla chiave primaria o a qualsiasi altra chiave. È possibile utilizzare una chiave di replica anche se la chiave primaria e tutte le chiavi di replica correlate sono disabilitate. È inoltre possibile convertire una chiave di replica in una chiave primaria e una chiave primaria in una chiave di replica. Una volta creata, una chiave di replica si basa sulla sua chiave primaria solo per [rotazione delle chiavi](rotate-keys.md#multi-region-rotate) e [aggiornamento della regione primaria](multi-region-update.md).
Le chiavi primarie e di replica non differiscono nelle proprietà crittografiche. È possibile utilizzare una chiave primaria e le relative chiavi di replica in modo intercambiabile. I dati crittografati da una chiave primaria o di replica possono essere decrittati dalla stessa chiave o da qualsiasi chiave primaria o di replica correlata.
### Replica
È possibile *replicare* una [chiave primaria](#mrk-primary-key) multiregionale in un'altra nella stessa partizione. Regione AWS Quando lo fai, AWS KMS crea una [chiave di replica](#mrk-replica-key) multiregionale nella regione specificata con lo stesso [ID di chiave](concepts.md#key-id-key-id) e altre [proprietà condivise](#mrk-sync-properties) della chiave primaria. Per le chiavi KMS con `AWS_KMS` origine, trasporta AWS KMS in modo sicuro il materiale chiave attraverso il confine della regione e lo associa alla nuova chiave di replica, il tutto all'interno. AWS KMS Per le chiavi KMS con `EXTERNAL` origine, è necessario importare lo stesso materiale chiave importato nella chiave regionale principale per ogni chiave regionale di replica singolarmente.
### Proprietà condivise
*Le proprietà condivise* sono proprietà di una chiave primaria multiregionale condivise con le relative chiavi di replica. AWS KMS crea le chiavi di replica con gli stessi valori di proprietà condivisi di quelli della chiave primaria. Quindi, sincronizza periodicamente i valori delle proprietà condivise della chiave primaria con le relative chiavi di replica. Non è possibile impostare queste proprietà su una chiave di replica.
Di seguito sono riportate le proprietà condivise delle chiavi multi-regione.
+ [ID chiave](concepts.md#key-id-key-id) — (L'elemento `Region` del [ARN della chiave](concepts.md#key-id-key-ARN) differisce.)
+ [Materiale chiave](create-keys.md#key-origin): le chiavi primarie e di replica di un set di chiavi multiregionali correlate condividono lo stesso materiale chiave. Per le chiavi multiregionali il cui materiale chiave è generato da AWS KMS (`AWS_KMS`origine), trasporta AWS KMS in modo sicuro tutti i materiali chiave dalla principale a ciascuna replica al momento della creazione della replica o quando viene creato un nuovo materiale chiave tramite rotazione automatica o su richiesta. Per le chiavi multiregionali con materiale chiave importato (`EXTERNAL`origine), AWS KMS sincronizza l'identificatore del materiale chiave dalla chiave primaria, ma è necessario importare il materiale chiave in ciascuna chiave di replica in modo indipendente.
+ [Origine del materiale della chiave](create-keys.md#key-origin)
+ [Specifica della chiave](create-keys.md#key-spec) e algoritmi di crittografia
+ [Utilizzo delle chiavi](create-keys.md#key-usage)
+ [Rotazione automatica delle chiavi](rotating-keys-enable.md), è possibile abilitare e disabilitare la rotazione automatica delle chiavi solo sulla chiave primaria. Le nuove chiavi di replica vengono create con tutte le versioni del materiale della chiave condivisa. Per informazioni dettagliate, vedi [Rotating multi-Region keys](rotate-keys.md#multi-region-rotate).
+ Rotazione [su richiesta: è possibile eseguire la rotazione](rotating-keys-on-demand.md) su richiesta solo sulla chiave primaria. Per le chiavi multiregionali il cui materiale chiave è generato da AWS KMS (`AWS_KMS`origine), AWS KMS crea chiavi di replica con tutte le versioni del materiale chiave condiviso. Per le chiavi multiregionali con materiale chiave importato (`EXTERNAL`origine), AWS KMS propaga l'ID del materiale chiave e la descrizione del materiale chiave dalla chiave primaria alle chiavi di replica, ma non al materiale chiave. È necessario importare singolarmente il materiale chiave corretto in ciascuna chiave di replica. Per informazioni dettagliate, vedi [Rotating multi-Region keys](rotate-keys.md#multi-region-rotate).
È inoltre possibile considerare le designazioni primarie e di replica delle chiavi multi-regione correlate come proprietà condivise. Quando si [creano nuove chiavi di replica](#mrk-replica-key) o si [aggiorna la chiave primaria](multi-region-update.md#update-primary-console), AWS KMS sincronizza la modifica con tutte le chiavi multiregionali correlate. Una volta completate queste modifiche, tutte le chiavi multi-regione elencano in modo accurato la chiave primaria e le chiavi di replica.
[[Tutte le altre proprietà delle chiavi multiregionali sono *proprietà indipendenti*, tra cui la descrizione della chiave, i [criteri chiave](key-policies.md), le [concessioni](grants.md), gli [stati delle chiavi abilitati e disabilitati, gli alias e](enabling-keys.md) i tag.](tagging-keys.md)](kms-alias.md) Puoi impostare gli stessi valori per queste proprietà su tutte le chiavi multi-regione correlate, ma se si modifica il valore di una proprietà indipendente, AWS KMS non lo sincronizza.
È possibile tenere traccia della sincronizzazione delle proprietà condivise delle chiavi multi-regione. Nel tuo AWS CloudTrail registro, cerca l'evento. [SynchronizeMultiRegionKey](ct-synchronize-multi-region-key.md)
# Considerazioni sulla protezione per le chiavi multi-regione
Usa una chiave AWS KMS multiregionale solo quando ne hai bisogno. Le chiavi multi-regione offrono una soluzione flessibile e scalabile per carichi di lavoro che spostano dati crittografati tra Regioni AWS o hanno bisogno di un accesso tra regioni. Considera una chiave multi-regione se hai bisogno di condividere, spostare o eseguire il backup di dati protetti tra regioni o creare firme digitali identiche di applicazioni che operano in diverse regioni.
Tuttavia, il processo di creazione di una chiave multi-regione sposta il materiale chiave su limiti Regione AWS all'interno di AWS KMS. Il testo cifrato generato da una chiave multi-regione può potenzialmente essere decrittato da più chiavi correlate in più posizioni geografiche. I servizi e le risorse isolate a livello regionale offrono vantaggi significativi. Ogni Regione AWS è isolata e indipendente dalle altre regioni. Le regioni forniscono la tolleranza ai guasti, la stabilità e la resilienza e possono anche ridurre la latenza. Consentono di creare risorse ridondanti che restano disponibili e non influenzate da un'interruzione in un'altra regione. Inoltre AWS KMS, assicurano che ogni testo cifrato possa essere decrittografato con una sola chiave.
Le chiavi multi-regione sollevano anche nuove considerazioni sulla sicurezza:
+ Il controllo dell'accesso e l'applicazione della policy di sicurezza dei dati è più complesso con le chiavi multi-regione. È necessario assicurarsi che la policy sia controllata in modo coerente sulla chiave in più aree isolate. E devi usare la policy per applicare i limiti, invece di fare affidamento su chiavi separate.
Ad esempio, è necessario impostare le condizioni di policy sui dati per impedire ai team del ciclo paghe di una regione di leggere i dati del ciclo paghe per una regione diversa. Inoltre, è necessario utilizzare il controllo di accesso per impedire uno scenario in cui una chiave multi-regione in una regione protegge i dati di un tenant e una chiave multi-regione correlata in un'altra regione protegge i dati di un tenant diverso.
+ Anche la verifica delle chiavi in tutte le regioni è più complesso. Con le chiavi multi-regione, è necessario esaminare e riconciliare le attività di verifica in più regioni per ottenere una comprensione completa delle attività chiave sui dati protetti.
+ La conformità ai requisiti di residenza dei dati può essere più complessa. Con le regioni isolate, è possibile garantire la residenza dei dati e la conformità alla sovranità dei dati. Le chiavi KMS in una determinata regione possono decrittare i dati sensibili solo in tale regione. I dati crittografati in una regione possono rimanere completamente protetti e inaccessibili in qualsiasi altra regione.
Per verificare la residenza e la sovranità dei dati con chiavi multiregionali, è necessario implementare politiche di accesso e compilare eventi in più regioni. AWS CloudTrail
[Per semplificare la gestione del controllo degli accessi sulle chiavi multiregionali, l'autorizzazione a replicare una chiave multiregionale ([kms:ReplicateKey) è separata dall'autorizzazione standard per la creazione di chiavi (kms:](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html)). CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html) Inoltre, AWS KMS supporta diverse condizioni politiche per le chiavi multiregionali`kms:MultiRegion`, tra cui la possibilità di consentire o negare l'autorizzazione a creare, utilizzare o gestire chiavi multiregionali e la limitazione delle regioni in cui è possibile `kms:ReplicaRegion` replicare una chiave multiregionale. Per informazioni dettagliate, vedi [Controlla l'accesso alle chiavi multiregionali](multi-region-keys-auth.md).
# Come funzionano le chiavi multi-regione
Si inizia creando una [chiave primaria multiregionale](multi-region-keys-overview.md#mrk-primary-key) simmetrica o asimmetrica in un sistema che supporti, ad esempio Stati Uniti orientali (Virginia settentrionale). Regione AWS AWS KMS È possibile decidere se una chiave è di regione singola o multi-regione solo al momento della creazione. Non è possibile modificare questa proprietà in un secondo momento. Come per qualsiasi chiave KMS, è possibile impostare una policy delle chiavi per la chiave multi-regione ed è possibile creare concessioni e aggiungere alias e tag per la categorizzazione e l'autorizzazione. (Queste sono [proprietà indipendenti](multi-region-keys-overview.md#mrk-sync-properties) che non sono condiviei o sincronizzate con altre chiavi.) È possibile utilizzare la chiave primaria multi-regione nelle operazioni di crittografia per la crittografia o la firma.
È possibile [creare una chiave primaria multiregionale nella](create-primary-keys.md) AWS KMS console o utilizzando l'API con il parametro impostato su. [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)`MultiRegion``true` Si noti che le chiavi multi-regione hanno un ID chiave distintivo che inizia con `mrk-`. È possibile utilizzare il `mrk-` prefisso per l'identificazione MRKs a livello di codice.
![\[Multi-Region primary key icon with red key symbol and sample key ID format.\]](http://docs.aws.amazon.com/it_it/kms/latest/developerguide/images/multi-region-primary-key.png)
Se lo desideri, puoi [replicare](multi-region-keys-overview.md#replicate) la chiave primaria multiregionale in una o più diverse Regioni AWS nella stessa [AWS partizione](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html), ad esempio Europa (Irlanda). Quando lo fai, AWS KMS crea una [chiave di replica](multi-region-keys-overview.md#mrk-replica-key) nella regione specificata con lo stesso ID di chiave e altre [proprietà condivise](multi-region-keys-overview.md#mrk-sync-properties) della chiave primaria. Il risultato è due chiavi multi-regione *correlate*, una chiave primaria e una chiave di replica, che possono essere utilizzate in modo intercambiabile.
È possibile [creare una chiave di replica multiregionale](multi-region-keys-replicate.md) nella AWS KMS console o utilizzando l'API. [ReplicateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html)
![\[Diagram showing multi-Region primary and replica keys in US East and EU regions with key IDs.\]](http://docs.aws.amazon.com/it_it/kms/latest/developerguide/images/multi-region-replica-key.png)
La risultante [chiave di replica multi-regione](multi-region-keys-overview.md#mrk-replica-key) è una chiave KMS completamente funzionale con le stesse [proprietà condivise](multi-region-keys-overview.md#mrk-sync-properties) come chiave primaria. Per tutti gli altri aspetti, si tratta di una chiave KMS indipendente con descrizione, policy delle chiavi, concessioni, alias e tag propri. L'attivazione o la disattivazione di una chiave multi-regione non ha alcun effetto sulle chiavi multi-regione. È possibile utilizzare le chiavi primarie e di replica in modo indipendente nelle operazioni di crittografia o coordinarne l'utilizzo. Ad esempio, è possibile crittografare i dati con la chiave primaria nella regione Stati Uniti orientali (Virginia settentrionale), spostare i dati nella regione Europa (Irlanda) e utilizzare la chiave di replica per decrittare i dati.
Le chiavi multi-regione correlate hanno lo stesso ID chiave. La loro chiave ARNs (Amazon Resource Names) differisce solo nel campo Regione. Ad esempio, la chiave primaria multiregionale e le chiavi di replica potrebbero avere la seguente chiave di esempio. ARNs L'ID chiave, l'ultimo elemento nell'ARN della chiave, è identico. Entrambe le chiavi hanno l'ID chiave distintivo delle chiavi multi-regione, che inizia con **mrk-**.
```
Primary key: arn:aws:kms:us-east-1:111122223333:key/mrk-1234abcd12ab34cd56ef12345678990ab
Replica key: arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef12345678990ab
```
Per l'interoperabilità è necessario disporre dello stesso ID chiave. Durante la crittografia, AWS KMS associa l'ID della chiave KMS al testo cifrato in modo che il testo cifrato possa essere decrittografato solo con quella chiave KMS o con una chiave KMS con lo stesso ID di chiave. Questa caratteristica rende anche facili da riconoscere le chiavi multi-regione correlate e rende più facile utilizzarle in modo intercambiabile. Ad esempio, quando le si utilizzano in un'applicazione, è possibile fare riferimento alle chiavi multi-regione correlate tramite il relativo ID chiave condivisa. Quindi, se necessario, specificare la regione o l'ARN per distinguerli.
Man mano che le esigenze relative ai dati cambiano, puoi replicare la chiave primaria su altre Regioni AWS chiavi della stessa partizione, ad esempio Stati Uniti occidentali (Oregon) e Asia Pacifico (Sydney). Il risultato sono quattro chiavi multiregionali *correlate* con lo stesso materiale chiave e la stessa chiave IDs, come illustrato nel diagramma seguente. Gestisci le chiavi in modo indipendente. Per le chiavi multiregionali con materiale chiave importato, l'utente è responsabile dell'importazione del materiale chiave in ciascuna chiave correlata singolarmente. Puoi usarle indipendentemente o in modo coordinato. Ad esempio, è possibile crittografare i dati con la chiave di replica in Asia Pacifico (Sydney), spostare i dati in Stati Uniti occidentali (Oregon) e decrittarli con la chiave di replica in Stati Uniti occidentali (Oregon).
![\[Le chiavi primarie e di replica in una chiave multiregionale\]](http://docs.aws.amazon.com/it_it/kms/latest/developerguide/images/multi-region-keys.png)
Altre considerazioni per le chiavi multi-regione includono le seguenti.
*Sincronizzazione delle proprietà condivise*[: se una [proprietà condivisa](multi-region-keys-overview.md#mrk-sync-properties) delle chiavi multiregionali cambia, sincronizza AWS KMS automaticamente la modifica dalla [chiave primaria a tutte le relative chiavi](multi-region-keys-overview.md#mrk-primary-key) di replica.](multi-region-keys-overview.md#mrk-replica-key) Non è possibile richiedere o forzare una sincronizzazione delle proprietà condivise. AWS KMS rileva e sincronizza tutte le modifiche per te. Tuttavia, è possibile controllare la sincronizzazione utilizzando l'[SynchronizeMultiRegionKey](ct-synchronize-multi-region-key.md)evento nei registri. CloudTrail
Ad esempio, se abiliti la rotazione automatica delle chiavi su una chiave primaria simmetrica multiregionale con `AWS_KMS` origine, AWS KMS copia tale impostazione su tutte le relative chiavi di replica. Quando il materiale chiave viene ruotato, la rotazione viene sincronizzata tra tutte le chiavi multi-regione correlate, in modo che continuino ad avere lo stesso materiale chiave corrente e ad accedere a tutte le versioni precedenti del materiale chiave. Se si crea una nuova chiave di replica, la chiave contiene lo stesso materiale corrente di tutte le chiavi multi-regione correlate e l'accesso a tutte le versioni precedenti del materiale chiave. Per dettagli, consulta [Rotating multi-Region keys](rotate-keys.md#multi-region-rotate).
*Modifica della chiave primaria* — Ogni set di chiavi multi-regione deve avere esattamente una chiave primaria. La [chiave primaria](multi-region-keys-overview.md#mrk-primary-key) è l'unica chiave che può essere replicata. È anche la fonte delle proprietà condivise delle chiavi di replica. Tuttavia, è possibile modificare la chiave primaria in una replica e promuovere una delle chiavi di replica in primaria. È possibile eseguire questa operazione in modo da poter eliminare una chiave primaria per più aree da una determinata regione o individuare la chiave primaria in una regione più vicina agli amministratori di progetto. Per informazioni dettagliate, vedi [Cambia la chiave primaria in un set di chiavi multiregionali](multi-region-update.md).
*Eliminazione delle chiavi multiregionali: come tutte le chiavi* KMS, è necessario pianificare l'eliminazione delle chiavi multiregionali prima di eliminarle. AWS KMS Mentre la chiave è in attesa di eliminazione, non è possibile utilizzarla in nessuna operazione di crittografia. Tuttavia, non AWS KMS eliminerà una chiave primaria multiregionale finché non verranno eliminate tutte le relative chiavi di replica. Per informazioni dettagliate, vedi [Deleting multi-Region keys](deleting-keys.md#deleting-mrks).