Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# AWS politiche gestite per AWS Key Management Service
Una politica AWS gestita è una politica autonoma creata e amministrata da AWS. AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.
Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Si consiglia pertanto di ridurre ulteriormente le autorizzazioni definendo [policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) specifiche per i propri casi d'uso.
Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti.
Per ulteriori informazioni, consultare [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per l'utente di IAM*.
## AWS politica gestita: AWSKey ManagementServicePowerUser
È possibile allegare la policy `AWSKeyManagementServicePowerUser` alle identità IAM.
È possibile utilizzare una policy gestita da `AWSKeyManagementServicePowerUser` per assegnare ai principali IAM dell'account le autorizzazioni di un utente esperto. Gli utenti esperti possono creare chiavi KMS, utilizzare e gestire le chiavi KMS da loro create e visualizzare tutte le chiavi KMS e le identità IAM. I principali che dispongono della policy gestita `AWSKeyManagementServicePowerUser` possono ottenere le autorizzazioni anche da altre origini, incluse le policy delle chiavi, altre policy IAM e concessioni.
`AWSKeyManagementServicePowerUser`è una policy IAM AWS gestita. Per ulteriori informazioni sulle policy AWS gestite, consulta le [policy AWS gestite](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *IAM User Guide*.
**Nota**
Le autorizzazioni in questa policy specifiche di una chiave KMS, ad esempio `kms:TagResource` e `kms:GetKeyRotationStatus`, sono efficaci solo quando la policy delle chiavi per quella chiave KMS [consente esplicitamente all' Account AWS di utilizzare policy IAM](key-policy-default.md#key-policy-default-allow-root-enable-iam) per controllare l'accesso alla chiave. Per determinare se un'autorizzazione è specifica di una chiave KMS, consultare [AWS KMS autorizzazioni](kms-api-permissions-reference.md) e cercare un valore di **chiave KMS** nella colonna **Resources** (Risorse).
Questa policy fornisce all'utente esperto le autorizzazioni per qualsiasi chiave KMS con una policy delle chiavi che consenta l'operazione. Per autorizzazioni multi-account, come `kms:DescribeKey` e `kms:ListGrants`, ciò potrebbe includere chiavi KMS in Account AWS non attendibili. Per informazioni dettagliate, consulta [Best practice per le policy IAM](iam-policies-best-practices.md) e [Autorizzazione per gli utenti in altri account di utilizzare una chiave KMS](key-policy-modifying-external-accounts.md). Per determinare se un'autorizzazione è valida per le chiavi KMS in altri account, consultare [AWS KMS autorizzazioni](kms-api-permissions-reference.md) e cercare un valore **Yes** (Sì) nella colonna **Cross-account use** (Utilizzo per più account).
Per consentire ai responsabili di visualizzare la AWS KMS console senza errori, il principale necessita del [tag: GetResources](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/API_GetResources.html) permission, che non è incluso nella `AWSKeyManagementServicePowerUser` policy. È possibile concedere questa autorizzazione in una policy IAM separata.
La policy IAM gestita da [AWSKeyManagementServicePowerUser](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSKeyManagementServicePowerUser) deve includere le seguenti autorizzazioni:
+ Consente ai principali di creare chiavi KMS. Poiché questo processo include l'impostazione della policy delle chiavi, gli utenti esperti possono concedere a se stessi e ad altri l'autorizzazione per utilizzare e gestire le chiavi KMS create.
+ Consente ai principali di creare ed eliminare [alias](kms-alias.md) e [tag](tagging-keys.md) in tutte le chiavi KMS. La modifica di un tag o alias può consentire o negare l'autorizzazione all'utilizzo e alla gestione della chiave KMS. Per informazioni dettagliate, vedi [ABAC per AWS KMS](abac.md).
+ Consente ai principali di ottenere informazioni dettagliate su tutte le chiavi KMS, compreso l'ARN della chiave, la configurazione di crittografia, la policy delle chiavi, gli alias, i tag e lo [stato di rotazione](rotate-keys.md).
+ Consente ai principali di elencare utenti, gruppi e ruoli IAM.
+ Questa policy non consente ai principali di utilizzare o gestire le chiavi KMS che non hanno creato. Tuttavia, possono modificare alias e tag su tutte le chiavi KMS, il che potrebbe consentire o negare loro l'autorizzazione all'utilizzo o alla gestione di una chiave KMS.
Per visualizzare le autorizzazioni per questa politica, consulta [AWSKeyManagementServicePowerUser](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSKeyManagementServicePowerUser.html)il AWS Managed Policy Reference.
## AWS politica gestita: AWSService RoleForKeyManagementServiceCustomKeyStores
Non è possibile collegare `AWSServiceRoleForKeyManagementServiceCustomKeyStores`alle entità IAM. Questa policy è associata a un ruolo collegato al servizio che AWS KMS autorizza a visualizzare AWS CloudHSM i cluster associati all'archivio delle AWS CloudHSM chiavi e a creare la rete per supportare una connessione tra l'archivio chiavi personalizzato e il relativo cluster. AWS CloudHSM Per ulteriori informazioni, consulta [Autorizzazione AWS KMS alla gestione AWS CloudHSM e alle risorse Amazon EC2](authorize-kms.md).
## AWS politica gestita: AWSService RoleForKeyManagementServiceMultiRegionKeys
Non è possibile collegare `AWSServiceRoleForKeyManagementServiceMultiRegionKeys`alle entità IAM. Questa policy è associata a un ruolo collegato al servizio che AWS KMS autorizza a sincronizzare qualsiasi modifica al materiale chiave di una chiave primaria multiregionale con le relative chiavi di replica. Per ulteriori informazioni, consulta [Autorizzazione AWS KMS alla sincronizzazione di chiavi multiregionali](multi-region-auth-slr.md).
## AWS KMS aggiornamenti alle politiche AWS gestite
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite AWS KMS da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per gli avvisi automatici sulle modifiche apportate alla pagina, iscriviti al feed RSS alla pagina AWS KMS [Cronologia dei documenti](dochistory.md).
| Modifica | Descrizione | Data |
| --- | --- | --- |
| [AWSKeyManagementServiceMultiRegionKeysServiceRolePolicy](multi-region-auth-slr.md): aggiornamento a policy esistente | AWS KMS ha aggiunto un campo statement ID (`Sid`) alla policy gestita nella versione di policy v2. | 21 novembre 2024 |
| [AWSKeyManagementServiceCustomKeyStoresServiceRolePolicy](authorize-kms.md): aggiornamento a policy esistente | AWS KMS ha aggiunto `ec2:DescribeVpcs``ec2:DescribeNetworkAcls`, e `ec2:DescribeNetworkInterfaces` le autorizzazioni per monitorare le modifiche nel VPC che contiene AWS CloudHSM il cluster in modo da AWS KMS fornire messaggi di errore chiari in caso di errori. | 10 novembre 2023 |
| AWS KMS ha iniziato a tenere traccia delle modifiche | AWS KMS ha iniziato a tenere traccia delle modifiche per le sue politiche AWS gestite. | 10 novembre 2023 |