Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Utilizzo di chiavi gestite dal cliente per la crittografia
<a name="custom-keys-certs"></a>

Facoltativamente, puoi fornire una [chiave gestita dal cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) per la crittografia dei dati nel tuo ambiente. È necessario creare la chiave KMS gestita dal cliente nella stessa regione dell'istanza di ambiente Amazon MWAA e del bucket Amazon S3 in cui archiviare le risorse per i flussi di lavoro. Se la chiave KMS gestita dal cliente specificata si trova in un account diverso da quello utilizzato per configurare un ambiente, è necessario specificare la chiave utilizzando il relativo ARN per l'accesso tra account. *Per ulteriori informazioni sulla creazione di chiavi, consulta Creating Keys nella Developer [Guide](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html).AWS Key Management Service *

## Cosa è supportato
<a name="custom-keys-grants-support"></a>


| AWS KMS funzionalità | Supportato | 
| --- | --- | 
| Un [ID AWS KMS chiave o ARN](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html). | Sì | 
| Qualsiasi [alias AWS KMS chiave](https://docs.aws.amazon.com/kms/latest/developerguide/kms-alias.html). | No | 
| Una chiave [AWS KMS multiregionale.](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) | No | 

## Utilizzo di Grants for Encryption
<a name="custom-keys-grants-provide"></a>

Questo argomento descrive le sovvenzioni che Amazon MWAA attribuisce a una chiave KMS gestita dal cliente per tuo conto per crittografare e decrittografare i tuoi dati.

### Come funziona
<a name="custom-keys-certs-grants"></a>

[https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)

Una politica chiave viene utilizzata quando l'autorizzazione è per lo più statica e utilizzata in modalità di servizio sincrona. Una concessione viene utilizzata quando sono richieste autorizzazioni più dinamiche e granulari, ad esempio quando un servizio deve definire autorizzazioni di accesso diverse per se stesso o per altri account.

Amazon MWAA utilizza e associa quattro politiche di concessione alla tua chiave KMS gestita dal cliente. Ciò è dovuto alle autorizzazioni granulari necessarie per un ambiente per crittografare i dati inattivi da CloudWatch Logs, dalla coda Amazon SQS, dal database del database Aurora PostgreSQL, dai segreti di Secrets Manager, dal bucket Amazon S3 e dalle tabelle DynamoDB.

Quando crei un ambiente Amazon MWAA e specifichi una chiave KMS gestita dal cliente, Amazon MWAA allega le politiche di concessione alla tua chiave KMS gestita dal cliente. Queste policy consentono ad Amazon MWAA di `airflow.{{us-east-1}}.amazonaws.com` utilizzare la tua chiave KMS gestita dal cliente per crittografare le risorse di proprietà di Amazon MWAA per tuo conto.

Amazon MWAA crea e assegna ulteriori concessioni a una chiave KMS specificata per tuo conto. Ciò include le politiche per ritirare una sovvenzione in caso di eliminazione dell'ambiente, per utilizzare la chiave KMS gestita dal cliente per la crittografia lato client (CSE) e per il ruolo di AWS Fargate esecuzione che deve accedere ai segreti protetti dalla chiave gestita dal cliente in Secrets Manager.

## Politiche di concessione
<a name="custom-keys-certs-grant-policies"></a>

Amazon MWAA aggiunge le seguenti concessioni di [policy basate sulle risorse](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) per tuo conto a una chiave KMS gestita dal cliente. Queste politiche consentono al beneficiario e al committente (Amazon MWAA) di eseguire le azioni definite nella politica.

### Grant 1: utilizzato per creare risorse sul piano dati
<a name="custom-keys-certs-grant-policies-1"></a>

```
{
  "Name": "mwaa-grant-for-env-mgmt-role-{{environment name}}",
  "GranteePrincipal": "airflow.{{us-east-1}}.amazonaws.com",
  "RetiringPrincipal": "airflow.{{us-east-1}}.amazonaws.com",
  "Operations": [
    "kms:Encrypt",
    "kms:Decrypt",
    "kms:ReEncrypt*",
    "kms:GenerateDataKey*",
    "kms:CreateGrant",
    "kms:DescribeKey",
    "kms:RetireGrant"
  ]
}
```

### Grant 2: utilizzato per `ControllerLambdaExecutionRole` l'accesso
<a name="custom-keys-certs-grant-policies-2"></a>

```
{
  "Name": "mwaa-grant-for-lambda-exec-{{environment name}}",
  "GranteePrincipal": "airflow.{{us-east-1}}.amazonaws.com",
  "RetiringPrincipal": "airflow.{{us-east-1}}.amazonaws.com",
  "Operations": [
    "kms:Encrypt",
    "kms:Decrypt",
    "kms:ReEncrypt*",
    "kms:GenerateDataKey*",
    "kms:DescribeKey",
    "kms:RetireGrant"
  ]
}
```

### Grant 3: utilizzato per `CfnManagementLambdaExecutionRole` l'accesso
<a name="custom-keys-certs-grant-policies-3"></a>

```
{
  "Name": " mwaa-grant-for-cfn-mgmt-{{environment name}}",
  "GranteePrincipal": "airflow.{{us-east-1}}.amazonaws.com",
  "RetiringPrincipal": "airflow.{{us-east-1}}.amazonaws.com",
  "Operations": [
    "kms:Encrypt",
    "kms:Decrypt",
    "kms:ReEncrypt*",
    "kms:GenerateDataKey*",
    "kms:DescribeKey"
  ]
}
```

### Grant 4: utilizzato per il ruolo di esecuzione di Fargate per accedere ai segreti del backend
<a name="custom-keys-certs-grant-policies-4"></a>

```
{
  "Name": "mwaa-fargate-access-for-{{environment name}}",
  "GranteePrincipal": "airflow.{{us-east-1}}.amazonaws.com",
  "RetiringPrincipal": "airflow.{{us-east-1}}.amazonaws.com",
  "Operations": [
    "kms:Encrypt",
    "kms:Decrypt",
    "kms:ReEncrypt*",
    "kms:GenerateDataKey*",
    "kms:DescribeKey",
    "kms:RetireGrant"
  ]
}
```

## Allegare le politiche chiave a una chiave gestita dal cliente
<a name="custom-keys-certs-grant-policies-attach"></a>

Se scegli di utilizzare la tua chiave KMS gestita dal cliente con Amazon MWAA, devi allegare la seguente policy alla chiave per consentire ad Amazon MWAA di utilizzarla per crittografare i tuoi dati.

Se la chiave KMS gestita dal cliente che hai utilizzato per il tuo ambiente Amazon MWAA non è già configurata per funzionare CloudWatch, devi aggiornare la [policy delle chiavi per consentire i log crittografati](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html). CloudWatch Per ulteriori informazioni, consulta il servizio [Encrypt](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/encrypt-log-data-kms.html) log data in using. CloudWatch AWS Key Management Service 

L'esempio seguente rappresenta una politica chiave per CloudWatch Logs. Sostituisci i valori di esempio forniti per la regione.

```
{
  "Effect": "Allow",
  "Principal": {
    "Service": "logs.us-east-1.amazonaws.com"
  },
  "Action": [
    "kms:Encrypt*",
    "kms:Decrypt*",
    "kms:ReEncrypt*",
    "kms:GenerateDataKey*",
    "kms:Describe*"
  ],
  "Resource": "*",
  "Condition": {
    "ArnLike": {
      "kms:EncryptionContext:aws:logs:arn": "arn:aws:logs:us-east-1:*:*"
    }
  }
}
```