Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Politica delle chiavi KMS richiesta per l'uso con volumi EBS crittografati in PCS AWS
<a name="security-key-policy-for-encrypted-volumes"></a>

AWS PCS utilizza [ruoli collegati ai servizi](service-linked-roles.md) per delegare le autorizzazioni ad altri. Servizi AWS Il ruolo collegato al servizio AWS PCS è predefinito e include le autorizzazioni richieste da AWS PCS per chiamare altri utenti per conto dell'utente. Servizi AWS Le autorizzazioni predefinite includono anche l'accesso alle chiavi gestite dai clienti, Chiavi gestite da AWS ma non a quelle gestite dai clienti.

Questo argomento descrive come configurare la politica delle chiavi richiesta per avviare le istanze quando si specifica una chiave gestita dal cliente per la crittografia Amazon EBS. 

**Nota**  
AWS PCS non richiede un'autorizzazione aggiuntiva per utilizzare l'impostazione predefinita Chiave gestita da AWS per proteggere i volumi crittografati nel tuo account. 

**Contents**
+ [Panoramica di](#overview)
+ [Configurare le policy chiave](#configuring-key-policies)
+ [Esempio 1: sezioni delle policy delle chiavi che permettono l'accesso alla chiave gestita dal cliente](#policy-example-cmk-access)
+ [Esempio 2: sezioni delle policy delle chiavi che permettono l'accesso multiaccount alla chiave gestita dal cliente](#policy-example-cmk-cross-account-access)
+ [Modifica le politiche chiave nella console AWS KMS](#eding-key-policies-console)

## Panoramica di
<a name="overview"></a>

È possibile utilizzare quanto segue AWS KMS keys per la crittografia Amazon EBS quando AWS PCS avvia istanze: 
+ [Chiave gestita da AWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk)— Una chiave di crittografia nel tuo account che Amazon EBS crea, possiede e gestisce. Questa è la chiave di crittografia di default per un nuovo account. Amazon EBS utilizza la Chiave gestita da AWS crittografia a meno che non venga specificata una chiave gestita dal cliente. 
+ [Chiave gestita dal cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk): una chiave di crittografia personalizzata che l’utente crea, possiede e gestisce. Per ulteriori informazioni, consulta [Creare una chiave KMS nella Guida per](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) gli *AWS Key Management Service sviluppatori*. 
**Nota**  
La chiave deve essere simmetrica. Amazon EBS non supporta chiavi asimmetriche gestite dai clienti. 

Le chiavi gestite dal cliente vengono configurate quando si creano istantanee crittografate o un modello di avvio che specifica i volumi crittografati o quando si sceglie di abilitare la crittografia per impostazione predefinita.

## Configurare le policy chiave
<a name="configuring-key-policies"></a>

Le tue chiavi KMS devono avere una politica chiave che consenta a AWS PCS di avviare istanze con volumi Amazon EBS crittografati con una chiave gestita dal cliente. 

Utilizza gli esempi in questa pagina per configurare una politica chiave che consenta a AWS PCS di accedere alla chiave gestita dal cliente. È possibile modificare la politica chiave della chiave gestita dal cliente al momento della creazione della chiave o in un secondo momento.

La politica chiave deve contenere le seguenti dichiarazioni:
+ Un'istruzione che consente all'identità IAM specificata nell'`Principal`elemento di utilizzare direttamente la chiave gestita dal cliente. Include le autorizzazioni per eseguire AWS KMS `Encrypt``Decrypt`, `ReEncrypt*``GenerateDataKey*`, e `DescribeKey` le operazioni sulla chiave. 
+ Un'istruzione che consente all'identità IAM specificata nell'`Principal`elemento di utilizzare l'`CreateGrant`operazione per generare concessioni che delegano un sottoinsieme delle proprie autorizzazioni a quelle integrate con o con un Servizi AWS altro principale. AWS KMS Questo permette di utilizzare la chiave per creare le risorse crittografate per te.

Non modificate alcuna dichiarazione esistente nella policy quando aggiungete le nuove dichiarazioni politiche alla vostra policy chiave.

Per ulteriori informazioni, consulta:
+ [create-key](https://docs.aws.amazon.com/cli/latest/reference/kms/create-key.html) *nel Command Reference AWS CLI *
+ [put-key-policy](https://docs.aws.amazon.com/cli/latest/reference/kms/put-key-policy.html) in *Riferimento ai comandi AWS CLI *
+ [Trova l'ID chiave e l'ARN della chiave nella Guida](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html) *per gli sviluppatori AWS Key Management Service *
+ [Ruoli collegati ai servizi per PCS AWS](service-linked-roles.md)
+ [Crittografia Amazon EBS](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption.html) nella Guida per l'*utente di Amazon EBS*
+  [AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/)*nella Guida per gli sviluppatori AWS Key Management Service *

## Esempio 1: sezioni delle policy delle chiavi che permettono l'accesso alla chiave gestita dal cliente
<a name="policy-example-cmk-access"></a>

Aggiungi le seguenti dichiarazioni politiche alla politica chiave della chiave gestita dal cliente. Sostituisci l'ARN di esempio con l'ARN del tuo ruolo collegato al servizio. `AWSServiceRoleForPCS` Questa politica di esempio fornisce al ruolo collegato al servizio AWS PCS (`AWSServiceRoleForPCS`) le autorizzazioni per utilizzare la chiave gestita dal cliente. 

```
{
   "Sid": "Allow service-linked role use of the customer managed key",
   "Effect": "Allow",
   "Principal": {
       "AWS": [
           "arn:aws:iam::account-id:role/aws-service-role/pcs.amazonaws.com/AWSServiceRoleForPCS"
       ]
   },
   "Action": [
       "kms:Encrypt",
       "kms:Decrypt",
       "kms:ReEncrypt*",
       "kms:GenerateDataKey*",
       "kms:DescribeKey"
   ],
   "Resource": "*"
}
```

```
{
   "Sid": "Allow attachment of persistent resources",
   "Effect": "Allow",
   "Principal": {
       "AWS": [
           "arn:aws:iam::account-id:role/aws-service-role/pcs.amazonaws.com/AWSServiceRoleForPCS"
       ]
   },
   "Action": [
       "kms:CreateGrant"
   ],
   "Resource": "*",
   "Condition": {
       "Bool": {
           "kms:GrantIsForAWSResource": true
       }
    }
}
```

## Esempio 2: sezioni delle policy delle chiavi che permettono l'accesso multiaccount alla chiave gestita dal cliente
<a name="policy-example-cmk-cross-account-access"></a>

Se si crea una chiave gestita dal cliente in un account diverso da quello del cluster AWS PCS, è necessario utilizzare una **concessione** in combinazione con la politica chiave per consentire l'accesso alla chiave da più account. 

**Per concedere l'accesso alla chiave**

1. Aggiungi le seguenti dichiarazioni politiche alla politica chiave della chiave gestita dal cliente. Sostituisci l'ARN di esempio con l'ARN dell'altro account. Sostituiscilo *111122223333* con l'ID effettivo dell'account in Account AWS cui desideri creare il cluster AWS PCS. Ciò permette di dare a un utente o ruolo IAM dell'account specificato l'autorizzazione a creare una concessione per la chiave utilizzando il comando CLI che segue. Per impostazione predefinita, gli utenti non hanno accesso alla chiave.

   ```
   {.
      "Sid": "Allow external account 111122223333 use of the customer managed key",
      "Effect": "Allow",
      "Principal": {
          "AWS": [
              "arn:aws:iam::111122223333:root"
          ]
      },
      "Action": [
          "kms:Encrypt",
          "kms:Decrypt",
          "kms:ReEncrypt*",
          "kms:GenerateDataKey*",
          "kms:DescribeKey"
      ],
      "Resource": "*"
   }
   ```

   ```
   {
      "Sid": "Allow attachment of persistent resources in external account 111122223333",
      "Effect": "Allow",
      "Principal": {
          "AWS": [
              "arn:aws:iam::111122223333:root"
          ]
      },
      "Action": [
          "kms:CreateGrant"
      ],
      "Resource": "*"
   }
   ```

1. Dall'account in cui desideri creare il cluster AWS PCS, crea una concessione che deleghi le autorizzazioni pertinenti al ruolo collegato al servizio AWS PCS. Il valore di `grantee-principal` è l'ARN del ruolo collegato al servizio. Il valore di `key-id` è l'ARN della chiave.

   Il comando [CLI create-grant](https://docs.aws.amazon.com/cli/latest/reference/kms/create-grant.html) di esempio seguente fornisce al ruolo collegato al servizio indicato `AWSServiceRoleForPCS` nelle *111122223333* autorizzazioni dell'account l'utilizzo della chiave gestita dal cliente nell'account. *444455556666*

   ```
   aws kms create-grant \
     --region us-west-2 \
     --key-id arn:aws:kms:us-west-2:444455556666:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d \
     --grantee-principal arn:aws:iam::111122223333:role/aws-service-role/pcs.amazonaws.com/AWSServiceRoleForPCS \
     --operations "Encrypt" "Decrypt" "ReEncryptFrom" "ReEncryptTo" "GenerateDataKey" "GenerateDataKeyWithoutPlaintext" "DescribeKey" "CreateGrant"
   ```
**Nota**  
L'utente che effettua la richiesta deve disporre delle autorizzazioni per utilizzare l'azione. `kms:CreateGrant` 

   L'esempio seguente di policy IAM consente a un'identità IAM (utente o ruolo) in un account di *111122223333* creare una concessione per l'account *444455556666* key in gestito dal cliente.

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Sid": "AllowCreationOfGrantForTheKMSKeyinExternalAccount444455556666",
         "Effect": "Allow",
         "Action": "kms:CreateGrant",
         "Resource": "arn:aws:kms:us-west-2:444455556666:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d"
       }
     ]
   }
   ```

------

   Per ulteriori informazioni sulla creazione di una concessione per una chiave KMS in un diverso Account AWS, consulta [Concessioni in AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) nella *Guida per gli sviluppatori AWS Key Management Service *.
**Importante**  
Il nome del ruolo collegato al servizio specificato come principale assegnatario deve essere il nome di un ruolo esistente. Dopo aver creato la concessione, per assicurarti che la concessione consenta a AWS PCS di utilizzare la chiave KMS specificata, non eliminare e ricreare il ruolo collegato al servizio.

## Modifica le politiche chiave nella console AWS KMS
<a name="eding-key-policies-console"></a>

Gli esempi nelle seguenti sezioni mostrano solo come aggiungere le istruzioni alla policy di una chiave, che è solo uno dei modi per modificare questo tipo di policy. Il modo più semplice per modificare una policy chiave consiste nell'utilizzare la visualizzazione predefinita della AWS KMS console per le policy chiave e rendere un'identità IAM (utente o ruolo) uno degli *utenti chiave* per la policy chiave appropriata. Per ulteriori informazioni, consulta [Using the Console di gestione AWS default view](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html#key-policy-modifying-how-to-console-default-view) nella *AWS Key Management Service Developer Guide*. 

**avvertimento**  
Le dichiarazioni sulla politica di visualizzazione predefinita della console includono le autorizzazioni per eseguire AWS KMS `Revoke` operazioni sulla chiave gestita dal cliente. Se revochi una concessione che consentiva Account AWS l'accesso a una chiave gestita dal cliente nel tuo account, gli utenti in tale account Account AWS perdono l'accesso ai dati crittografati e alla chiave.