Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Gestione delle chiavi in Amazon Managed Service per Apache Flink
<a name="key-management-flink"></a>

In Amazon MSF, puoi scegliere di utilizzare una delle chiavi gestite dai clienti [Chiavi gestite da AWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html)o le tue [chiavi gestite dai clienti (CMKs)](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-mgn-key) per crittografare i dati. CMKs in AWS Key Management Service (AWS KMS) sono chiavi di crittografia che puoi creare, possedere e gestire autonomamente.

**Topics**
+ [Crittografia trasparente in Amazon MSF](#transparent-encryption-flink)
+ [Chiavi gestite dal cliente in Amazon MSF](#cmk-flink)
+ [Utilizzo di chiavi gestite dal cliente in Amazon MSF](use-cmk-flink.md)
+ [Gestione di CMK tramite Console di gestione AWS](manage-cmk-console.md)
+ [Gestione di CMK tramite APIs](manage-cmk-api.md)

## Crittografia trasparente in Amazon MSF
<a name="transparent-encryption-flink"></a>

Per impostazione predefinita, Amazon MSF utilizza Chiavi di proprietà di AWS (AOKs) per crittografare i dati in uno storage temporaneo (storage di applicazioni in esecuzione) e durevole (storage di applicazioni durevole). [Ciò significa che tutti i dati soggetti a un [checkpoint o a un'istantanea Flink verranno crittografati](how-fault.md) per impostazione predefinita.](how-snapshots.md) AOKs sono il metodo di crittografia predefinito in Amazon MSF e non è richiesta alcuna configurazione aggiuntiva. Per crittografare i dati in transito, Amazon MSF utilizza TLS e HTTP\$1SSL per impostazione predefinita e non richiede alcuna configurazione o configurazione aggiuntiva.

## Chiavi gestite dal cliente in Amazon MSF
<a name="cmk-flink"></a>

In Amazon MSF, CMK è una funzionalità che consente di crittografare i dati dell'applicazione con una chiave creata, posseduta e gestita dall'utente. AWS KMS

**Topics**
+ [Con cosa viene crittografato? CMKs](#what-is-encrypted-cmk)
+ [Con cosa non è crittografato? CMKs](#what-is-not-encrypted-cmk)
+ [Tipi di chiavi KMS supportati](#supported-kms-key-types)
+ [Autorizzazioni delle chiavi KMS](#kms-key-permissions)
+ [Contesto e vincoli di crittografia KMS](#kms-encryption-context-constraints)
+ [Politica di rotazione delle chiavi](#kms-key-rotation-policy)
+ [Dichiarazioni politiche chiave con privilegi minimi](#kms-least-privilege-policy-examples)
+ [Esempi di voci di AWS CloudTrail registro](#kms-cloudtrail-log-entries)

### Con cosa viene crittografato? CMKs
<a name="what-is-encrypted-cmk"></a>

In un'applicazione Amazon MSF, i dati soggetti a un checkpoint o snapshot Flink verranno crittografati con un CMK definito per quell'applicazione. Di conseguenza, la tua CMK crittograferà i dati archiviati nello storage delle applicazioni in esecuzione o nello storage durevole delle applicazioni. Le [seguenti sezioni](manage-cmk-api.md) descrivono la procedura di configurazione CMKs delle applicazioni Amazon MSF.

**Politica di rotazione delle chiavi**  
Amazon MSF non gestisce la politica di rotazione delle chiavi per te CMKs. Sei responsabile della rotazione delle chiavi. Questo perché tu crei e mantieni CMKs. Per informazioni su come utilizzare la politica di rotazione delle chiavi con CMK in Amazon MSF, consulta. [Politica di rotazione delle chiavi](#kms-key-rotation-policy)

### Con cosa non è crittografato? CMKs
<a name="what-is-not-encrypted-cmk"></a>

**Sorgenti e pozzi**  
La crittografia delle fonti di dati e dei sink non è gestita da Amazon MSF. È gestita dalla configurazione di origine o del sink o dalla configurazione del connettore dell'applicazione.

**Applicazione retroattiva della crittografia**  
CMK in Amazon MSF non fornisce supporto per l'applicazione retroattiva a uno CMKs snapshot storico esistente.

**crittografia dei log**  
Attualmente, Amazon MSF non supporta la crittografia dei log utilizzando KMS CMK per i log generati dal codice jar dell'applicazione. Dovrai assicurarti che i log non contengano dati che richiedono la crittografia CMK.

**Crittografia dei dati in transito**  
Non puoi usare CMK per crittografare i dati in transito. Per impostazione predefinita, Amazon MSF crittografa tutti i dati in transito utilizzando TLS o HTTP e SSL.

### Tipi di chiavi KMS supportati
<a name="supported-kms-key-types"></a>

CMK in Amazon MSF supporta chiavi [simmetriche](https://docs.aws.amazon.com/kms/latest/developerguide/symm-asymm-choose-key-spec.html#symmetric-cmks).

### Autorizzazioni delle chiavi KMS
<a name="kms-key-permissions"></a>

CMK in Amazon MSF richiede l'autorizzazione per eseguire le seguenti azioni KMS. Queste autorizzazioni sono necessarie per convalidare l'accesso, creare uno storage di applicazioni in esecuzione criptato CMK e archiviare lo stato delle applicazioni crittografate CMK in uno storage durevole delle applicazioni.
+ 

**[km: DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)**  
Concede l'autorizzazione a risolvere un alias di chiave KMS nella chiave ARN.
+ 

**[kms:Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)**  
Concede l'autorizzazione ad accedere allo stato durevole dell'applicazione e fornisce lo storage delle applicazioni in esecuzione.
+ 

**[km: GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)**  
Concede l'autorizzazione a memorizzare uno stato durevole dell'applicazione.
+ 

**[km: GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)**  
Concede l'autorizzazione per il provisioning dello storage delle applicazioni in esecuzione.
+ 

**[km: CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)**  
Concede l'autorizzazione ad accedere all'archiviazione delle applicazioni in esecuzione.

### Contesto e vincoli di crittografia KMS
<a name="kms-encryption-context-constraints"></a>

CMK in Amazon MSF fornisce un contesto di crittografia quando si accede alle chiavi per leggere o scrivere dati crittografati, ovvero. `kms:EncryptionContext:aws:kinesisanalytics:arn` Oltre al contesto di crittografia, i contesti di origine [aws: SourceArn e [aws: SourceAccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) vengono forniti durante la lettura o la scrittura di applicazioni di storage durevole.

Quando si crea una concessione per fornire lo storage crittografato di applicazioni in esecuzione, Amazon MSF CMK crea sovvenzioni con tipo di vincolo che [EncryptionContextSubset](https://docs.aws.amazon.com/kms/latest/developerguide/create-grant-overview.html#grant-constraints)garantiscono che sia consentita solo l'operazione [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html). `"kms:GrantOperations": "Decrypt"`

### Politica di rotazione delle chiavi
<a name="kms-key-rotation-policy"></a>

Amazon MSF non gestisce la politica di rotazione delle chiavi per te CMKs. Sei responsabile della rotazione delle chiavi perché sei tu a creare e gestire CMKs.

In KMS utilizzi la rotazione automatica o manuale delle chiavi per creare nuovo materiale crittografico per te. CMKs *Per informazioni su come ruotare le chiavi, consulta [Ruotare AWS KMS keys](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html) nella Guida per gli sviluppatori.AWS Key Management Service *

Quando ruoti le chiavi CMKs in Amazon MSF, devi assicurarti che l'operatore (chiamante API) disponga delle autorizzazioni sia per la chiave precedente che per quella nuova.

**Nota**  
Un'applicazione può iniziare da un'istantanea crittografata con AOK dopo essere stata configurata per utilizzare CMK. Un'applicazione può anche iniziare da un'istantanea crittografata con una vecchia CMK. Per avviare un'applicazione da un'istantanea, l'operatore (chiamante API) deve disporre delle autorizzazioni sia per la vecchia che per la nuova chiave.

In Amazon MSF, ti consigliamo di interrompere e riavviare le applicazioni utilizzando la crittografia CMK. Ciò garantisce che la nuova chiave master di rotazione venga applicata a tutti i dati nello storage delle applicazioni in esecuzione e nello storage durevole delle applicazioni. Se non si interrompe e non si riavvia l'applicazione, il nuovo materiale chiave verrà applicato solo allo storage durevole delle applicazioni. L'archiviazione delle applicazioni in esecuzione continuerà a essere crittografata utilizzando il materiale della chiave di rotazione precedente.

Se stai modificando l' AWS KMS key ARN utilizzato per CMK, dovresti utilizzarlo in [UpdateApplication](https://docs.aws.amazon.com/managed-flink/latest/apiv2/API_UpdateApplication.html)Amazon MSF. Ciò garantirà il riavvio dell'applicazione Flink durante l'`UpdateApplication`applicazione delle modifiche CMK.

**Nota**  
Quando fornisci un alias o un alias ARN, Amazon MSF risolve l'alias in ARN chiave e memorizza la chiave ARN come chiave configurata per l'applicazione.

### Dichiarazioni politiche chiave con privilegi minimi
<a name="kms-least-privilege-policy-examples"></a>

Per informazioni sulle dichiarazioni politiche chiave, vedere e. [Crea una politica chiave KMS](manage-cmk-api.md#create-cmk-kms-key-policy) [Autorizzazioni dell'operatore del ciclo di vita dell'applicazione (chiamante API)](manage-cmk-api.md#create-cmk-kms-api-caller-permissions)

### Esempi di voci di AWS CloudTrail registro
<a name="kms-cloudtrail-log-entries"></a>

Quando Amazon MSF utilizza CMKs AWS KMS, registra AWS CloudTrail automaticamente tutte le chiamate AWS KMS API e i relativi dettagli. Questi log contengono informazioni quali Servizio AWS l'invio della richiesta, l'ARN della chiave KMS, le azioni API eseguite e i timestamp che escludono i dati crittografati. Questi registri forniscono percorsi di controllo essenziali per la conformità, il monitoraggio della sicurezza e la risoluzione dei problemi, mostrando quali servizi hanno avuto accesso alle chiavi e quando.

**Esempio 1: AWS KMS decrittografa una chiamata API utilizzando un ruolo presunto in Amazon MSF**  
Il seguente CloudTrail registro mostra Amazon MSF che esegue un'operazione di test [KMS:Decrypt su](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) un CMK. Amazon MSF effettua questa richiesta utilizzando un **Operator** ruolo mentre utilizza l'[CreateApplication](https://docs.aws.amazon.com/managed-flink/latest/apiv2/API_CreateApplication.html)API. Il registro seguente include dettagli essenziali, come l'ARN della chiave KMS di destinazione, l'applicazione Amazon MSF associata *MyCmkApplication* () e il timestamp dell'operazione.

```
{
    "eventVersion": "1.11",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "REDACTED",
        "arn": "arn:aws:sts::123456789012:assumed-role/Operator/CmkTestingSession",
        "accountId": "123456789012",
        "accessKeyId": "REDACTED",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "REDACTED",
                "arn": "arn:aws:iam::123456789012:role/Operator",
                "accountId": "123456789012",
                "userName": "Operator"
            },
            "attributes": {
                "creationDate": "2025-08-07T13:29:28Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "kinesisanalytics.amazonaws.com"
    },
    "eventTime": "2025-08-07T13:45:45Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "kinesisanalytics.amazonaws.com",
    "userAgent": "kinesisanalytics.amazonaws.com",
    "errorCode": "DryRunOperationException",
    "errorMessage": "The request would have succeeded, but the DryRun option is set.",
    "requestParameters": {
        "encryptionContext": {
            "aws:kinesisanalytics:arn": "arn:aws:kinesisanalytics:us-east-1:123456789012:application/MyCmkApplication"
        },
        "keyId": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT",
        "dryRun": true
    },
    "responseElements": null,
    "additionalEventData": {
        "keyMaterialId": "REDACTED"
    },
    "requestID": "56764d19-1eb1-48f1-8044-594aa7dd05c4",
    "eventID": "1371b402-f1dc-4c47-8f3a-1004e4803c5a",
    "readOnly": true,
    "resources": [
        {
            "accountId": "123456789012",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management"
}
```

**Esempio 2: AWS KMS Decrittografa la chiamata API in Amazon MSF con l'autenticazione diretta del servizio**  
Il seguente CloudTrail registro mostra Amazon MSF che esegue un'operazione di test [KMS:Decrypt su](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) un CMK. Amazon MSF effettua questa richiesta tramite AWS service-to-service l'autenticazione diretta anziché assumere un ruolo. Il registro seguente include dettagli essenziali, come l'ARN della chiave KMS di destinazione, l'applicazione Amazon MSF associata *MyCmkApplication* () e un ID evento condiviso dell'operazione.

```
{
    "eventVersion": "1.11",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "kinesisanalytics.amazonaws.com"
    },
    "eventTime": "2025-08-07T13:45:45Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "kinesisanalytics.amazonaws.com",
    "userAgent": "kinesisanalytics.amazonaws.com",
    "errorCode": "DryRunOperationException",
    "errorMessage": "The request would have succeeded, but the DryRun option is set.",
    "requestParameters": {
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT",
        "keyId": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "encryptionContext": {
            "aws:kinesisanalytics:arn": "arn:aws:kinesisanalytics:us-east-1:123456789012:application/MyCmkApplication"
        },
        "dryRun": true
    },
    "responseElements": null,
    "additionalEventData": {
        "keyMaterialId": "REDACTED"
    },
    "requestID": "5fe45ada-7519-4608-be2f-5a9b8ddd62b2",
    "eventID": "6206b08f-ce04-3011-9ec2-55951d357b2c",
    "readOnly": true,
    "resources": [
        {
            "accountId": "123456789012",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "Application-account-ID",
    "sharedEventID": "acbe4a39-ced9-4f53-9f3c-21ef7e89dc37",
    "eventCategory": "Management"
}
```