In che modo Resilience Hub di nuova generazione utilizza le sovvenzioni in AWS KMS Creazione di una chiave gestita dal cliente Specificare una chiave gestita dal cliente per Resilience Hub di nuova generazione Policy della chiave Contesto di crittografia Resilience Hub di nuova generazione Monitoraggio delle chiavi di crittografia per Resilience Hub di nuova generazione Ulteriori informazioni

Crittografia inattiva con chiavi gestite dal cliente

Resilience Hub di nuova generazione fornisce la crittografia di default per proteggere i dati sensibili dei clienti durante l'utilizzo. Chiavi di proprietà di AWS

Resilience Hub di nuova generazione utilizza queste chiavi per impostazione predefinita per crittografare automaticamente i dati sensibili. Non è possibile visualizzare, gestire Chiavi di proprietà di AWS, utilizzare o controllare il loro utilizzo. Tuttavia, non devi effettuare alcuna operazione o modificare programmi per proteggere le chiavi che eseguono la crittografia dei dati. Per ulteriori informazioni, consulta la sezione https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk nella Guida per gli sviluppatori di AWS Key Management Service .

Sebbene non sia possibile disabilitare questo livello di crittografia o selezionare un tipo di crittografia alternativo, è possibile aggiungere un secondo livello di crittografia specificando una chiave gestita dal cliente quando si crea una risorsa di servizio:

Chiavi gestite dal cliente Il Resilience Hub di nuova generazione supporta l'uso di una chiave di crittografia simmetrica gestita dal cliente che puoi creare, possedere e gestire. Avendo il pieno controllo di questo livello di crittografia, è possibile eseguire operazioni quali:
- Stabilire e mantenere le policy delle chiavi
- Stabilire e mantenere le policy e le sovvenzioni IAM
- Abilitare e disabilitare le policy delle chiavi
- Ruotare i materiali crittografici delle chiavi
- Aggiungere tag
- Creare alias delle chiavi
- Pianificare l’eliminazione delle chiavi
Per ulteriori informazioni, consulta Customer managed keys nella Guida per sviluppatori AWS Key Management Service .

La tabella seguente riassume il modo in cui Resilience Hub di nuova generazione crittografa i dati sensibili.

Crittografia dei tipi di dati in Resilience Hub di nuova generazione
Tipo di dati	AWS crittografia a chiave proprietaria	Crittografia a chiave gestita dal cliente (opzionale)
`description` Descrizioni di servizi, sistemi e politiche di resilienza.	Abilitato	Abilitato
`finding` Nomi, descrizioni, ragionamenti e commenti dei risultati della valutazione.	Abilitato	Abilitato
`recommendation` Descrizioni dei consigli e modifiche suggerite associate ai risultati.	Abilitato	Abilitato
`serviceFunction` Nomi e descrizioni delle funzioni di servizio.	Abilitato	Abilitato
`assumption` Testo dei presupposti associato alle funzioni di servizio.	Abilitato	Abilitato
`userJourney` Descrizioni del percorso dell'utente.	Abilitato	Abilitato
`event` Descrizioni del registro degli eventi del servizio.	Abilitato	Abilitato
`assessmentData` Dati intermedi generati dai flussi di lavoro di valutazione degli agenti, tra cui topologia, configurazione delle risorse e dati di lavoro archiviati in Amazon S3.	Abilitato	Abilitato
Identificatori di risorse Nomi di risorse, ARN, tipi di risorse e regioni. I nomi delle risorse vengono utilizzati negli identificatori e nel contesto di crittografia e non devono contenere dati sensibili.	Abilitato	Non supportata

Nota

Resilience Hub di nuova generazione abilita automaticamente la crittografia a riposo utilizzando Chiavi di proprietà di AWS gratuitamente. Tuttavia, l'utilizzo di una chiave gestita dal cliente comporta dei AWS KMS costi. Per ulteriori informazioni sui prezzi, consulta Prezzi di AWS Key Management Service.

Importante

Resilience Hub di nuova generazione supporta solo chiavi KMS con crittografia simmetrica. Non è possibile utilizzare nessun altro tipo di chiave KMS per crittografare le risorse Resilience Hub di nuova generazione. Per informazioni su come determinare se una chiave KMS è una chiave di crittografia simmetrica, consulta Identificazione delle chiavi KMS simmetriche e asimmetriche nella Guida per gli sviluppatori.AWS Key Management Service

In che modo Resilience Hub di nuova generazione utilizza le sovvenzioni in AWS KMS

Il Resilience Hub di nuova generazione richiede una concessione per utilizzare la chiave gestita dal cliente durante i flussi di lavoro di valutazione asincroni.

Quando crei un servizio con una chiave gestita dal cliente, Resilience Hub di nuova generazione crea una sovvenzione per tuo conto inviando una richiesta a. CreateGrant AWS KMS La concessione è limitata al contesto di crittografia del servizio e consente solo le seguenti operazioni:

Encrypt— Crittografa campi sensibili come risultati, consigli e ipotesi generati durante i flussi di lavoro di valutazione.
Decrypt— Decrittografa i dati precedentemente crittografati durante l'elaborazione della valutazione.
GenerateDataKey— Genera chiavi dati per crittografare i dati di valutazione intermedi archiviati in Amazon S3.

La concessione viene ritirata quando si elimina il servizio. Puoi anche revocare l'accesso alla concessione o rimuovere l'accesso del servizio alla chiave gestita dal cliente in qualsiasi momento. In tal caso, Resilience Hub di nuova generazione non può accedere a nessuno dei dati crittografati dalla chiave gestita dal cliente, il che influisce sulle operazioni delle API e sui flussi di lavoro di valutazione che dipendono da tali dati.

Per le operazioni API sincrone (come la creazione o l'aggiornamento di un servizio), Resilience Hub di nuova generazione utilizza direttamente le autorizzazioni del chiamante sulla chiave KMS, senza richiedere una concessione.

Creazione di una chiave gestita dal cliente

È possibile creare una chiave di crittografia simmetrica gestita dal cliente utilizzando le o le API. Console di gestione AWS AWS KMS

Per creare una chiave di crittografia simmetrica gestita dal cliente

Segui le fasi descritte in Creazione di chiavi KMS simmetriche di crittografia nella Guida per gli sviluppatori di AWS Key Management Service .

Specificare una chiave gestita dal cliente per Resilience Hub di nuova generazione

È possibile specificare una chiave gestita dal cliente quando si crea un servizio, un sistema o una politica di resilienza. Quando fornisci un ID di chiave KMS, Resilience Hub di nuova generazione utilizza tale chiave per crittografare tutti i dati sensibili associati alla risorsa.

È possibile specificare la chiave utilizzando uno dei seguenti identificatori di chiave:

ID chiave (ad esempio,1234abcd-12ab-34cd-56ef-1234567890ab)
ARN chiave (ad esempio,) arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
Nome alias (ad esempio,) alias/my-key
Alias ARN (ad esempio,) arn:aws:kms:us-west-2:111122223333:alias/my-key

Per specificare una chiave gestita dal cliente, utilizzate il kmsKeyId parametro quando chiamate le CreateService operazioniCreateSystem, o CreatePolicy API.

Policy della chiave

Le policy della chiave controllano l’accesso alla chiave gestita dal cliente. Ogni chiave gestita dal cliente deve avere esattamente una policy della chiave, che contiene istruzioni che determinano chi può usare la chiave e come la possono usare. Quando crei la chiave gestita dal cliente, è possibile specificare una policy della chiave. Per ulteriori informazioni, consulta Gestione dell'accesso alle chiavi gestite dal cliente nella Guida per gli sviluppatori di AWS Key Management Service .

La seguente politica chiave consente a Resilience Hub di nuova generazione di utilizzare la tua chiave. Assegna ogni autorizzazione solo alle operazioni richieste da Resilience Hub di nuova generazione, utilizzando condizioni di contesto di crittografia per garantire che la chiave possa essere utilizzata solo per risorse specifiche. Sostituisci CUSTOMER-ACCOUNT-ID e REGION con i tuoi valori. CUSTOMER-ROLE


{
    "Version": "2012-10-17", 
    "Statement": [
        {
            "Sid": "AllowResilienceHubDescribeKey",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::CUSTOMER-ACCOUNT-ID:role/CUSTOMER-ROLE"
            },
            "Action": "kms:DescribeKey",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "resiliencehub.REGION.amazonaws.com"
                }
            }
        },
        {
            "Sid": "AllowResilienceHubEncryptDecryptForServices",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::CUSTOMER-ACCOUNT-ID:role/CUSTOMER-ROLE"
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "resiliencehub.REGION.amazonaws.com"
                },
                "StringLike": {
                    "kms:EncryptionContext:aws:resiliencehub:service-arn": "arn:aws:resiliencehub:*:CUSTOMER-ACCOUNT-ID:service/*"
                }
            }
        },
        {
            "Sid": "AllowResilienceHubEncryptDecryptForSystems",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::CUSTOMER-ACCOUNT-ID:role/CUSTOMER-ROLE"
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "resiliencehub.REGION.amazonaws.com"
                },
                "StringLike": {
                    "kms:EncryptionContext:aws:resiliencehub:system-arn": "arn:aws:resiliencehub:*:CUSTOMER-ACCOUNT-ID:system/*"
                }
            }
        },
        {
            "Sid": "AllowResilienceHubEncryptDecryptForPolicies",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::CUSTOMER-ACCOUNT-ID:role/CUSTOMER-ROLE"
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "resiliencehub.REGION.amazonaws.com"
                },
                "StringLike": {
                    "kms:EncryptionContext:aws:resiliencehub:policy-arn": "arn:aws:resiliencehub:*:CUSTOMER-ACCOUNT-ID:policy/*"
                }
            }
        },
        {
            "Sid": "AllowResilienceHubCreateGrantForAsyncWorkflows",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::CUSTOMER-ACCOUNT-ID:role/CUSTOMER-ROLE"
            },
            "Action": "kms:CreateGrant",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "resiliencehub.REGION.amazonaws.com",
                    "kms:GrantConstraintType": "EncryptionContextSubset"
                },
                "StringLike": {
                    "kms:EncryptionContext:aws:resiliencehub:service-arn": "arn:aws:resiliencehub:*:CUSTOMER-ACCOUNT-ID:service/*"
                },
                "ForAllValues:StringEquals": {
                    "kms:GrantOperations": [
                        "Encrypt",
                        "Decrypt",
                        "GenerateDataKey"
                    ]
                }
            }
        }
    ]
}

Le dichiarazioni politiche forniscono le seguenti autorizzazioni:

AllowResilienceHubDescribeKey— Consente a Resilience Hub di nuova generazione di convalidare l'esistenza della chiave e che si tratta di una chiave di crittografia simmetrica quando viene specificata durante la creazione del servizio.
AllowResilienceHubEncryptDecryptForServices— Consente a Resilience Hub di nuova generazione di crittografare e decrittografare i dati a livello di servizio (risultati, consigli, ipotesi, funzioni di servizio, eventi e dati di valutazione) durante le chiamate API sincrone. Limitato alle risorse del servizio in base al contesto di crittografia.
AllowResilienceHubEncryptDecryptForSystems— Consente a Resilience Hub di nuova generazione di crittografare e decrittografare i dati a livello di sistema (descrizioni del sistema e descrizioni del percorso utente) durante le chiamate API sincrone. Limitato alle risorse di sistema in base al contesto di crittografia.
AllowResilienceHubEncryptDecryptForPolicies— Consente a Resilience Hub di nuova generazione di crittografare e decrittografare i dati a livello di policy (descrizioni delle politiche di resilienza) durante le chiamate API sincrone. Limitato alle risorse politiche in base al contesto di crittografia.
AllowResilienceHubCreateGrantForAsyncWorkflows— Consente a Resilience Hub di nuova generazione di creare una sovvenzione per flussi di lavoro di valutazione asincroni. La concessione è limitata solo alle operazioni necessarie (Encrypt, Decrypt GenerateDataKey) e deve includere un vincolo di sottoinsieme del contesto di crittografia associato all'ARN del servizio.

Per ulteriori informazioni su come specificare le autorizzazioni in una policy, consulta la Guida per gli sviluppatori di AWS Key Management Service .

Per informazioni sulla Risoluzione dei problemi delle chiavi di accesso consulta la Guida per gli sviluppatori di AWS Key Management Service .

Contesto di crittografia Resilience Hub di nuova generazione

Un contesto di crittografia è un set facoltativo di coppie chiave-valore che contengono ulteriori informazioni contestuali sui dati.

AWS KMS utilizza il contesto di crittografia come dati autenticati aggiuntivi per supportare la crittografia autenticata. Quando includi un contesto di crittografia in una richiesta di crittografia dei dati, AWS KMS associa il contesto di crittografia ai dati crittografati. Per decrittografare i dati, è necessario includere lo stesso contesto di crittografia nella richiesta.

Contesto di crittografia Resilience Hub di nuova generazione

Resilience Hub di nuova generazione utilizza le seguenti chiavi contestuali di crittografia a seconda del tipo di risorsa:

Chiavi contestuali di crittografia
Chiave contestuale di crittografia	Scope	Usato per
`aws:resiliencehub:service-arn`	Servizio	Risultati, raccomandazioni, ipotesi, funzioni di servizio, dipendenze, eventi e dati di valutazione
`aws:resiliencehub:system-arn`	Sistema	Descrizioni del sistema e descrizioni del percorso dell'utente
`aws:resiliencehub:policy-arn`	Policy	Descrizioni delle politiche di resilienza

Esempio di contesto di crittografia per un'operazione a livello di servizio:


"encryptionContext": {
    "aws:resiliencehub:service-arn": "arn:aws:resiliencehub:us-west-2:111122223333:service/my-service:abc123"
}

Utilizzo del contesto di crittografia per il monitoraggio

Quando si utilizza una chiave di crittografia simmetrica gestita dal cliente per crittografare i dati, è possibile utilizzare il contesto di crittografia nei record e nei registri di controllo per identificare come viene utilizzata la chiave gestita dal cliente. Il contesto di crittografia viene visualizzato nei log generati da. AWS CloudTrail

Utilizzo del contesto di crittografia per controllare l'accesso

È possibile utilizzare il contesto di crittografia nelle politiche chiave e nelle politiche IAM conditions per controllare l'accesso alla chiave di crittografia simmetrica gestita dal cliente. È possibile utilizzare i vincoli del contesto di crittografia in una concessione.

Resilience Hub di nuova generazione utilizza un vincolo di sottoinsieme del contesto di crittografia nelle concessioni per garantire che i flussi di lavoro asincroni possano crittografare e decrittografare solo i dati appartenenti al servizio specifico per cui è stata creata la concessione.

Monitoraggio delle chiavi di crittografia per Resilience Hub di nuova generazione

Quando utilizzi una chiave gestita dal cliente con le risorse del Resilience Hub di nuova generazione, puoi utilizzarla AWS CloudTrailper tenere traccia delle richieste a cui invia Resilience Hub di nuova generazione. AWS KMS

CreateGrant

Quando crei un servizio con una chiave gestita dal cliente, Resilience Hub di nuova generazione invia una CreateGrant richiesta per tuo conto per abilitare i flussi di lavoro di valutazione asincroni per l'utilizzo della tua chiave. La concessione è specifica per il servizio e vincolata dal contesto di crittografia. Resilience Hub di nuova generazione utilizza RetireGrant per rimuovere la concessione quando si elimina il servizio.

L’evento di esempio seguente registra l’operazione CreateGrant:


{
    "eventVersion": "1.11",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAEXAMPLE:session-name",
        "arn": "arn:aws:sts::111122223333:assumed-role/YourRole/session-name",
        "accountId": "111122223333",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAEXAMPLE",
                "arn": "arn:aws:iam::111122223333:role/YourRole",
                "accountId": "111122223333",
                "userName": "YourRole"
            }
        },
        "invokedBy": "resiliencehub.amazonaws.com"
    },
    "eventTime": "2026-01-15T10:07:22Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "resiliencehub.amazonaws.com",
    "userAgent": "resiliencehub.amazonaws.com",
    "requestParameters": {
        "granteePrincipal": "resiliencehub.amazonaws.com",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "retiringPrincipal": "resiliencehub.amazonaws.com",
        "operations": [
            "Decrypt",
            "GenerateDataKey",
            "Encrypt"
        ],
        "constraints": {
            "encryptionContextSubset": {
                "aws:resiliencehub:service-arn": "arn:aws:resiliencehub:us-west-2:111122223333:service/my-service:abc123"
            }
        }
    },
    "responseElements": {
        "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "56d4e434-abb6-4dd7-8558-ad38560d03b1",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

GenerateDataKey

Quando Resilience Hub di nuova generazione crittografa i dati utilizzando la chiave gestita dal cliente, invia una GenerateDataKey richiesta per generare una chiave dati. Ciò si verifica sia durante le chiamate API sincrone (come la creazione di un servizio con una descrizione) sia durante i flussi di lavoro di valutazione asincroni.

L’evento di esempio seguente registra l’operazione GenerateDataKey:


{
    "eventVersion": "1.11",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "resiliencehub.amazonaws.com"
    },
    "eventTime": "2026-01-15T11:18:36Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "resiliencehub.amazonaws.com",
    "userAgent": "resiliencehub.amazonaws.com",
    "requestParameters": {
        "numberOfBytes": 32,
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "encryptionContext": {
            "aws:resiliencehub:service-arn": "arn:aws:resiliencehub:us-west-2:111122223333:service/my-service:abc123",
            "aws-crypto-public-key": "AwAnnorjRE+DFQYIuDKjGEvlXwro5Rdiegk8flmq7m0N..."
        }
    },
    "responseElements": null,
    "requestID": "c5bedc9b-e6d6-45f8-b121-c9851a3d718a",
    "eventID": "e839a7ed-e4a9-32a3-b92a-2c7237a40c82",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

Decrypt

Quando si recuperano risorse tramite operazioni API o quando i flussi di lavoro di valutazione elaborano dati precedentemente archiviati, Resilience Hub di nuova generazione invia richieste per decrittografare i dati. Decrypt

L’evento di esempio seguente registra l’operazione Decrypt:


{
    "eventVersion": "1.11",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAEXAMPLE:session-name",
        "arn": "arn:aws:sts::111122223333:assumed-role/YourRole/session-name",
        "accountId": "111122223333",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAEXAMPLE",
                "arn": "arn:aws:iam::111122223333:role/YourRole",
                "accountId": "111122223333",
                "userName": "YourRole"
            }
        },
        "invokedBy": "resiliencehub.amazonaws.com"
    },
    "eventTime": "2026-01-15T11:27:49Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "resiliencehub.amazonaws.com",
    "userAgent": "resiliencehub.amazonaws.com",
    "requestParameters": {
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT",
        "encryptionContext": {
            "aws:resiliencehub:service-arn": "arn:aws:resiliencehub:us-west-2:111122223333:service/my-service:abc123",
            "aws-crypto-public-key": "A/9P3BC05WjeQONZR1fBiEqWKEse/Yk1lMxd2VIh2ED5..."
        }
    },
    "responseElements": null,
    "requestID": "30f8e9bc-4e0a-4359-8bc3-8278ef42c206",
    "eventID": "195ef070-c952-4c28-9883-29bca297a08c",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

DescribeKey

Resilience Hub di nuova generazione invia DescribeKey richieste per verificare che la chiave gestita dal cliente associata al servizio esista nell'account e nella regione e sia una chiave di crittografia simmetrica valida.

L’evento di esempio seguente registra l’operazione DescribeKey:


{
    "eventVersion": "1.11",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAEXAMPLE:session-name",
        "arn": "arn:aws:sts::111122223333:assumed-role/YourRole/session-name",
        "accountId": "111122223333",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAEXAMPLE",
                "arn": "arn:aws:iam::111122223333:role/YourRole",
                "accountId": "111122223333",
                "userName": "YourRole"
            }
        },
        "invokedBy": "resiliencehub.amazonaws.com"
    },
    "eventTime": "2026-01-15T10:07:13Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "DescribeKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "resiliencehub.amazonaws.com",
    "userAgent": "resiliencehub.amazonaws.com",
    "requestParameters": {
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    "responseElements": null,
    "requestID": "e427932c-448b-49aa-88e1-b311c27ba753",
    "eventID": "48c596a5-83c7-4603-b0cf-be0ff2548623",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

Ulteriori informazioni

Le seguenti risorse forniscono ulteriori informazioni sulla crittografia dei dati a riposo.

Per ulteriori informazioni su Concetti base di AWS Key Management Service, consulta la Guida per gli sviluppatori di AWS Key Management Service .
Per ulteriori informazioni sulle migliori pratiche di sicurezza per AWS Key Management Service, consulta la Guida per gli AWS Key Management Service sviluppatori.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Crittografia dei dati a riposo

Crittografia dei dati in transito