Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Crittografia dei metadati delle applicazioni dell' OpenSearch interfaccia utente con chiavi gestite dal cliente
<a name="application-encryption-cmk"></a>

Le risorse visive e le configurazioni vengono archiviate come metadati per le applicazioni dell'interfaccia utente. OpenSearch Ciò include interrogazioni, visualizzazioni e dashboard salvate. I dati provenienti dalle fonti di dati associate non vengono archiviati nei metadati. Per informazioni sulla crittografia dei dati nelle tue fonti di dati, consulta [Protezione dei dati in Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/data-protection.html) per i OpenSearch domini e [Crittografia in Amazon OpenSearch Serverless per le raccolte serverless](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/serverless-encryption.html).

I metadati OpenSearch dell'interfaccia utente sono protetti con crittografia a riposo. Ciò impedisce l'accesso non autorizzato. La crittografia utilizza AWS Key Management Service (AWS KMS) per archiviare e gestire le chiavi di crittografia. Per impostazione predefinita, OpenSearch i metadati dell'interfaccia utente sono crittografati con chiavi AWS proprietarie.

Puoi anche utilizzare la funzionalità Customer Managed Key (CMK) per gestire le tue chiavi di crittografia. Ciò consente di soddisfare i requisiti normativi e di conformità. Per utilizzare CMK, è necessario creare una nuova applicazione OpenSearch UI e abilitare CMK nel processo di creazione. Al momento non è supportato l'aggiornamento di un'applicazione OpenSearch UI esistente dalla chiave AWS proprietaria a CMK.

Quando utilizzare le chiavi gestite dal cliente:
+ La tua organizzazione ha requisiti di conformità normativa per la gestione delle chiavi
+ Sono necessari audit trail per l'utilizzo delle chiavi di crittografia
+ Vuoi controllare i programmi di rotazione dei tasti
+ È necessario integrarsi con i flussi di lavoro di gestione delle chiavi esistenti

Quando utilizzi una chiave gestita dal cliente, hai il pieno controllo sulla chiave. Ciò include la capacità di:
+ Stabilire e mantenere le policy della chiave
+ Stabilire e mantenere concessioni e policy IAM
+ Attivare e disattivare la chiave
+ Ruota il materiale crittografico della chiave
+ Aggiungi tag alla chiave
+ Creare alias delle chiavi
+ Pianifica l'eliminazione della chiave

**Nota**  
La chiave gestita dal cliente deve trovarsi nella Regione AWS stessa applicazione dell' OpenSearch interfaccia utente. Non è possibile utilizzare una chiave proveniente da un'altra regione.

**Topics**
+ [Prerequisiti per l'utilizzo delle chiavi gestite dal cliente](#application-encryption-cmk-prerequisites)
+ [Creazione di un'applicazione con crittografia a chiave gestita dal cliente utilizzando la console](#application-encryption-cmk-create-console)
+ [Creazione di un'applicazione con crittografia a chiave gestita dal cliente utilizzando AWS CLI](#application-encryption-cmk-create-cli)
+ [Monitoraggio dell'utilizzo delle chiavi gestite dal cliente](#application-encryption-cmk-monitoring)
+ [Aggiornamento delle impostazioni di crittografia](#application-encryption-cmk-update)

## Prerequisiti per l'utilizzo delle chiavi gestite dal cliente
<a name="application-encryption-cmk-prerequisites"></a>

Prima di poter utilizzare una chiave gestita dal cliente per crittografare i metadati dell'applicazione dell' OpenSearch interfaccia utente, è necessario creare una chiave di crittografia simmetrica. AWS KMS*Per istruzioni sulla creazione di chiavi, consulta [Creating keys](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) nella Developer Guide.AWS KMS *

La politica chiave per la chiave gestita dal cliente deve concedere all' OpenSearch interfaccia utente l'autorizzazione all'uso della chiave. Utilizza la seguente politica chiave, sostituendola {{placeholder values}} con le tue informazioni:

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowOpenSearchUIToUseKey",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "application.opensearchservice.amazonaws.com"
                ]
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowKeyAdministration",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::{{account-id}}:root"
            },
            "Action": "kms:*",
            "Resource": "*"
        }
    ]
}
```

La policy include due dichiarazioni:
+ La prima istruzione consente all' OpenSearch interfaccia utente di utilizzare la chiave per le operazioni di crittografia.
+ La seconda istruzione consente agli utenti dell'utente Account AWS di amministrare la chiave. Ciò include le autorizzazioni per aggiornare la politica delle chiavi, abilitare o disabilitare la chiave e pianificare l'eliminazione della chiave. Puoi limitare ulteriormente queste autorizzazioni sostituendo il root principal con utenti o ruoli IAM specifici.

Per ulteriori informazioni sulle politiche chiave, consulta [Using key policy AWS KMS nella AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) *Developer Guide*.

## Creazione di un'applicazione con crittografia a chiave gestita dal cliente utilizzando la console
<a name="application-encryption-cmk-create-console"></a>

Quando OpenSearch crei un'applicazione UI nella console, puoi specificare una chiave gestita dal cliente per crittografare i metadati dell'applicazione.

**Per creare un'applicazione OpenSearch UI con crittografia a chiave gestita dal cliente utilizzando la console**

1. Accedi alla console di Amazon OpenSearch Service da [https://console.aws.amazon.com/aos/casa](https://console.aws.amazon.com/aos/home).

1. Nel riquadro di navigazione a sinistra, scegli **OpenSearch UI (dashboard).**

1. Scegli **Crea applicazione**.

1. Per **Nome applicazione**, inserisci un nome per l'applicazione.

1. Configura le impostazioni di autenticazione e amministratore in base alle esigenze. Per ulteriori informazioni, consulta [Guida introduttiva all'interfaccia OpenSearch utente in Amazon OpenSearch Service](application-getting-started.md).

1. Nella sezione **Crittografia**, per **Encryption at rest**, scegli **Usa chiave gestita dal cliente**.

1. Seleziona una chiave gestita dal cliente esistente dall'elenco oppure scegli **Crea una chiave** per crearne una nuova AWS KMS.
**Nota**  
La chiave deve essere nella Regione AWS stessa dell'applicazione che stai creando.

1. (Facoltativo) Aggiungi tag all'applicazione.

1. Scegli **Create** (Crea).

## Creazione di un'applicazione con crittografia a chiave gestita dal cliente utilizzando AWS CLI
<a name="application-encryption-cmk-create-cli"></a>

Per creare un'applicazione OpenSearch UI con crittografia a chiave gestita dal cliente utilizzando il AWS CLI, utilizzate il comando [create-application](https://docs.aws.amazon.com/cli/latest/reference/opensearch/create-application.html) con il `--kms-key-arn` parametro.

Sostituisci {{placeholder values}} con le informazioni appropriate.

```
aws opensearch create-application \
    --name {{my-application}} \
    --kms-key-arn arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/{{12345678-1234-1234-1234-123456789012}}
```

Se non specificate il `--kms-key-arn` parametro, OpenSearch utilizza una chiave AWS-managed per crittografare i metadati dell'applicazione.

## Monitoraggio dell'utilizzo delle chiavi gestite dal cliente
<a name="application-encryption-cmk-monitoring"></a>

Quando si utilizza una chiave gestita dal cliente con un'applicazione di OpenSearch interfaccia utente, AWS KMS registra ogni utilizzo della chiave nei AWS CloudTrail registri. È possibile utilizzare questi registri per monitorare come e quando viene utilizzata la chiave. I registri mostrano quale utente o servizio ha avuto accesso alla chiave.

AWS AWS KMS ruota automaticamente le chiavi gestite dal cliente ogni anno. È inoltre possibile ruotare manualmente i tasti in base alle esigenze. *Per ulteriori informazioni sulla rotazione dei tasti, consulta [Rotating KMS keys](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html) nella Developer Guide.AWS KMS *

*Per ulteriori informazioni sul monitoraggio dell'utilizzo delle chiavi, consulta [Logging AWS KMS API call with AWS CloudTrail](https://docs.aws.amazon.com/kms/latest/developerguide/logging-using-cloudtrail.html) nella Developer Guide.AWS KMS *

**Nota**  
L'utilizzo di chiavi gestite dal cliente comporta dei costi. AWS KMS I costi si basano sul numero di richieste API e di chiavi archiviate. Per i dettagli sui prezzi, consulta la sezione [Prezzi del servizio di gestione delle AWS chiavi](https://aws.amazon.com/kms/pricing/).

## Aggiornamento delle impostazioni di crittografia
<a name="application-encryption-cmk-update"></a>

Dopo aver creato un'applicazione OpenSearch UI, non è possibile modificarne le impostazioni di crittografia. Se è necessario utilizzare una chiave gestita dal cliente diversa, è necessario creare una nuova applicazione. Se è necessario passare da una chiave gestita AWS a una chiave gestita dal cliente e viceversa, è inoltre necessario creare una nuova applicazione con le impostazioni di crittografia desiderate.

**Importante**  
Prima di disabilitare o eliminare una chiave gestita dal cliente, considera quanto segue:  
Se disabiliti la chiave, l'applicazione perderà l'accesso ai metadati crittografati. È necessario riattivare la stessa chiave per ripristinare l'accesso.
Se si elimina la chiave, gli oggetti salvati nell'applicazione diventano definitivamente inaccessibili. Ciò include interrogazioni, visualizzazioni e dashboard. Le chiavi eliminate non possono essere recuperate.
Ti consigliamo di documentare l'ARN della tua chiave prima di apportare modifiche allo stato della chiave.

**Fasi successive**  
Dopo aver configurato la crittografia CMK per la tua applicazione, puoi:
+ Associare fonti di dati all'applicazione. Per ulteriori informazioni, consulta [Gestione delle associazioni delle fonti di dati e delle autorizzazioni di accesso al Virtual Private Cloud](application-data-sources-and-vpc.md).
+ Crea spazi di lavoro per il tuo team. Per ulteriori informazioni, consulta [Utilizzo delle aree di lavoro OpenSearch di Amazon Service](application-workspaces.md).
+ Imposta il AWS CloudTrail monitoraggio dell'utilizzo delle chiavi. Per ulteriori informazioni, consulta [Monitoraggio dell'utilizzo delle chiavi gestite dal cliente](#application-encryption-cmk-monitoring).