Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Crittografia inattiva con chiavi gestite dal cliente
Resilience Hub di nuova generazione fornisce la crittografia di default per proteggere i dati sensibili dei clienti durante l'utilizzo. Chiavi di proprietà di AWS
+ ****Resilience Hub di nuova generazione utilizza queste chiavi per impostazione predefinita per crittografare automaticamente i dati sensibili. Non è possibile visualizzare, gestire Chiavi di proprietà di AWS, utilizzare o controllare il loro utilizzo. Tuttavia, non devi effettuare alcuna operazione o modificare programmi per proteggere le chiavi che eseguono la crittografia dei dati. Per ulteriori informazioni, consulta la sezione [https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) nella *Guida per gli sviluppatori di AWS Key Management Service *.
Sebbene non sia possibile disabilitare questo livello di crittografia o selezionare un tipo di crittografia alternativo, è possibile aggiungere un secondo livello di crittografia specificando una chiave gestita dal cliente quando si crea una risorsa di servizio:
+ **Chiavi gestite dal cliente** Il Resilience Hub di nuova generazione supporta l'uso di una chiave di crittografia simmetrica gestita dal cliente che puoi creare, possedere e gestire. Avendo il pieno controllo di questo livello di crittografia, è possibile eseguire operazioni quali:
+ Stabilire e mantenere le policy delle chiavi
+ Stabilire e mantenere le policy e le sovvenzioni IAM
+ Abilitare e disabilitare le policy delle chiavi
+ Ruotare i materiali crittografici delle chiavi
+ Aggiungere tag
+ Creare alias delle chiavi
+ Pianificare l’eliminazione delle chiavi
Per ulteriori informazioni, consulta [Customer managed keys](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) nella *Guida per sviluppatori AWS Key Management Service *.
La tabella seguente riassume il modo in cui Resilience Hub di nuova generazione crittografa i dati sensibili.
**Crittografia dei tipi di dati in Resilience Hub di nuova generazione**
| Tipo di dati | AWS crittografia a chiave proprietaria | Crittografia a chiave gestita dal cliente (opzionale) |
| --- | --- | --- |
| `description`
Descrizioni di servizi, sistemi e politiche di resilienza. | Abilitato | Abilitato |
| `finding`
Nomi, descrizioni, ragionamenti e commenti dei risultati della valutazione. | Abilitato | Abilitato |
| `recommendation`
Descrizioni dei consigli e modifiche suggerite associate ai risultati. | Abilitato | Abilitato |
| `serviceFunction`
Nomi e descrizioni delle funzioni di servizio. | Abilitato | Abilitato |
| `assumption`
Testo dei presupposti associato alle funzioni di servizio. | Abilitato | Abilitato |
| `userJourney`
Descrizioni del percorso dell'utente. | Abilitato | Abilitato |
| `event`
Descrizioni del registro degli eventi del servizio. | Abilitato | Abilitato |
| `assessmentData`
Dati intermedi generati dai flussi di lavoro di valutazione degli agenti, tra cui topologia, configurazione delle risorse e dati di lavoro archiviati in Amazon S3. | Abilitato | Abilitato |
| Identificatori di risorse
Nomi di risorse, ARN, tipi di risorse e regioni. I nomi delle risorse vengono utilizzati negli identificatori e nel contesto di crittografia e non devono contenere dati sensibili. | Abilitato | Non supportata |
**Nota**
Resilience Hub di nuova generazione abilita automaticamente la crittografia a riposo utilizzando Chiavi di proprietà di AWS gratuitamente. Tuttavia, l'utilizzo di una chiave gestita dal cliente comporta dei AWS KMS costi. Per ulteriori informazioni sui prezzi, consulta [Prezzi di AWS Key Management Service](https://aws.amazon.com/kms/pricing/).
**Importante**
Resilience Hub di nuova generazione supporta solo chiavi KMS con crittografia simmetrica. Non è possibile utilizzare nessun altro tipo di chiave KMS per crittografare le risorse Resilience Hub di nuova generazione. *Per informazioni su come determinare se una chiave KMS è una chiave di crittografia simmetrica, consulta [Identificazione delle chiavi KMS simmetriche e asimmetriche](https://docs.aws.amazon.com/kms/latest/developerguide/find-symm-asymm.html) nella Guida per gli sviluppatori.AWS Key Management Service *
## In che modo Resilience Hub di nuova generazione utilizza le sovvenzioni in AWS KMS
Il Resilience Hub di nuova generazione richiede una [concessione](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) per utilizzare la chiave gestita dal cliente durante i flussi di lavoro di valutazione asincroni.
Quando crei un servizio con una chiave gestita dal cliente, Resilience Hub di nuova generazione crea una sovvenzione per tuo conto inviando una richiesta a. [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) AWS KMS La concessione è limitata al contesto di crittografia del servizio e consente solo le seguenti operazioni:
+ `Encrypt`— Crittografa campi sensibili come risultati, consigli e ipotesi generati durante i flussi di lavoro di valutazione.
+ `Decrypt`— Decrittografa i dati precedentemente crittografati durante l'elaborazione della valutazione.
+ `GenerateDataKey`— Genera chiavi dati per crittografare i dati di valutazione intermedi archiviati in Amazon S3.
La concessione viene ritirata quando si elimina il servizio. Puoi anche revocare l'accesso alla concessione o rimuovere l'accesso del servizio alla chiave gestita dal cliente in qualsiasi momento. In tal caso, Resilience Hub di nuova generazione non può accedere a nessuno dei dati crittografati dalla chiave gestita dal cliente, il che influisce sulle operazioni delle API e sui flussi di lavoro di valutazione che dipendono da tali dati.
Per le operazioni API sincrone (come la creazione o l'aggiornamento di un servizio), Resilience Hub di nuova generazione utilizza direttamente le autorizzazioni del chiamante sulla chiave KMS, senza richiedere una concessione.
## Creazione di una chiave gestita dal cliente
È possibile creare una chiave di crittografia simmetrica gestita dal cliente utilizzando le o le API. Console di gestione AWS AWS KMS
**Per creare una chiave di crittografia simmetrica gestita dal cliente**
Segui le fasi descritte in [Creazione di chiavi KMS simmetriche di crittografia](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) nella *Guida per gli sviluppatori di AWS Key Management Service *.
## Specificare una chiave gestita dal cliente per Resilience Hub di nuova generazione
È possibile specificare una chiave gestita dal cliente quando si crea un servizio, un sistema o una politica di resilienza. Quando fornisci un ID di chiave KMS, Resilience Hub di nuova generazione utilizza tale chiave per crittografare tutti i dati sensibili associati alla risorsa.
[È possibile specificare la chiave utilizzando uno dei seguenti identificatori di chiave:](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-id)
+ ID chiave (ad esempio,`1234abcd-12ab-34cd-56ef-1234567890ab`)
+ ARN chiave (ad esempio,) `arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab`
+ Nome alias (ad esempio,) `alias/my-key`
+ Alias ARN (ad esempio,) `arn:aws:kms:us-west-2:111122223333:alias/my-key`
Per specificare una chiave gestita dal cliente, utilizzate il `kmsKeyId` parametro quando chiamate le `CreateService` operazioni`CreateSystem`, o `CreatePolicy` API.
## Policy della chiave
Le policy della chiave controllano l’accesso alla chiave gestita dal cliente. Ogni chiave gestita dal cliente deve avere esattamente una policy della chiave, che contiene istruzioni che determinano chi può usare la chiave e come la possono usare. Quando crei la chiave gestita dal cliente, è possibile specificare una policy della chiave. Per ulteriori informazioni, consulta [Gestione dell'accesso alle chiavi gestite dal cliente](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) nella *Guida per gli sviluppatori di AWS Key Management Service *.
La seguente politica chiave consente a Resilience Hub di nuova generazione di utilizzare la tua chiave. Assegna ogni autorizzazione solo alle operazioni richieste da Resilience Hub di nuova generazione, utilizzando condizioni di contesto di crittografia per garantire che la chiave possa essere utilizzata solo per risorse specifiche. Sostituisci {{CUSTOMER-ACCOUNT-ID}} e {{REGION}} con i tuoi valori. {{CUSTOMER-ROLE}}
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowResilienceHubDescribeKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{{CUSTOMER-ACCOUNT-ID}}:role/{{CUSTOMER-ROLE}}"
},
"Action": "kms:DescribeKey",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "resiliencehub.{{REGION}}.amazonaws.com"
}
}
},
{
"Sid": "AllowResilienceHubEncryptDecryptForServices",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{{CUSTOMER-ACCOUNT-ID}}:role/{{CUSTOMER-ROLE}}"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "resiliencehub.{{REGION}}.amazonaws.com"
},
"StringLike": {
"kms:EncryptionContext:aws:resiliencehub:service-arn": "arn:aws:resiliencehub:*:{{CUSTOMER-ACCOUNT-ID}}:service/*"
}
}
},
{
"Sid": "AllowResilienceHubEncryptDecryptForSystems",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{{CUSTOMER-ACCOUNT-ID}}:role/{{CUSTOMER-ROLE}}"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "resiliencehub.{{REGION}}.amazonaws.com"
},
"StringLike": {
"kms:EncryptionContext:aws:resiliencehub:system-arn": "arn:aws:resiliencehub:*:{{CUSTOMER-ACCOUNT-ID}}:system/*"
}
}
},
{
"Sid": "AllowResilienceHubEncryptDecryptForPolicies",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{{CUSTOMER-ACCOUNT-ID}}:role/{{CUSTOMER-ROLE}}"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "resiliencehub.{{REGION}}.amazonaws.com"
},
"StringLike": {
"kms:EncryptionContext:aws:resiliencehub:policy-arn": "arn:aws:resiliencehub:*:{{CUSTOMER-ACCOUNT-ID}}:policy/*"
}
}
},
{
"Sid": "AllowResilienceHubCreateGrantForAsyncWorkflows",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{{CUSTOMER-ACCOUNT-ID}}:role/{{CUSTOMER-ROLE}}"
},
"Action": "kms:CreateGrant",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "resiliencehub.{{REGION}}.amazonaws.com",
"kms:GrantConstraintType": "EncryptionContextSubset"
},
"StringLike": {
"kms:EncryptionContext:aws:resiliencehub:service-arn": "arn:aws:resiliencehub:*:{{CUSTOMER-ACCOUNT-ID}}:service/*"
},
"ForAllValues:StringEquals": {
"kms:GrantOperations": [
"Encrypt",
"Decrypt",
"GenerateDataKey"
]
}
}
}
]
}
```
Le dichiarazioni politiche forniscono le seguenti autorizzazioni:
+ **AllowResilienceHubDescribeKey**— Consente a Resilience Hub di nuova generazione di convalidare l'esistenza della chiave e che si tratta di una chiave di crittografia simmetrica quando viene specificata durante la creazione del servizio.
+ **AllowResilienceHubEncryptDecryptForServices**— Consente a Resilience Hub di nuova generazione di crittografare e decrittografare i dati a livello di servizio (risultati, consigli, ipotesi, funzioni di servizio, eventi e dati di valutazione) durante le chiamate API sincrone. Limitato alle risorse del servizio in base al contesto di crittografia.
+ **AllowResilienceHubEncryptDecryptForSystems**— Consente a Resilience Hub di nuova generazione di crittografare e decrittografare i dati a livello di sistema (descrizioni del sistema e descrizioni del percorso utente) durante le chiamate API sincrone. Limitato alle risorse di sistema in base al contesto di crittografia.
+ **AllowResilienceHubEncryptDecryptForPolicies**— Consente a Resilience Hub di nuova generazione di crittografare e decrittografare i dati a livello di policy (descrizioni delle politiche di resilienza) durante le chiamate API sincrone. Limitato alle risorse politiche in base al contesto di crittografia.
+ **AllowResilienceHubCreateGrantForAsyncWorkflows**— Consente a Resilience Hub di nuova generazione di creare una sovvenzione per flussi di lavoro di valutazione asincroni. La concessione è limitata solo alle operazioni necessarie (Encrypt, Decrypt GenerateDataKey) e deve includere un vincolo di sottoinsieme del contesto di crittografia associato all'ARN del servizio.
Per ulteriori informazioni su come [specificare le autorizzazioni in una policy](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html), consulta la *Guida per gli sviluppatori di AWS Key Management Service *.
Per informazioni sulla [Risoluzione dei problemi delle chiavi di accesso](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html#example-no-iam) consulta la *Guida per gli sviluppatori di AWS Key Management Service *.
## Contesto di crittografia Resilience Hub di nuova generazione
Un [contesto di crittografia](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context) è un set facoltativo di coppie chiave-valore che contengono ulteriori informazioni contestuali sui dati.
AWS KMS utilizza il contesto di crittografia come [dati autenticati aggiuntivi](https://docs.aws.amazon.com/kms/latest/cryptographic-details/crypto-primitives.html) per supportare la crittografia autenticata. Quando includi un contesto di crittografia in una richiesta di crittografia dei dati, AWS KMS associa il contesto di crittografia ai dati crittografati. Per decrittografare i dati, è necessario includere lo stesso contesto di crittografia nella richiesta.
**Contesto di crittografia Resilience Hub di nuova generazione**
Resilience Hub di nuova generazione utilizza le seguenti chiavi contestuali di crittografia a seconda del tipo di risorsa:
**Chiavi contestuali di crittografia**
| Chiave contestuale di crittografia | Scope | Usato per |
| --- | --- | --- |
| aws:resiliencehub:service-arn | Servizio | Risultati, raccomandazioni, ipotesi, funzioni di servizio, dipendenze, eventi e dati di valutazione |
| aws:resiliencehub:system-arn | Sistema | Descrizioni del sistema e descrizioni del percorso dell'utente |
| aws:resiliencehub:policy-arn | Policy | Descrizioni delle politiche di resilienza |
Esempio di contesto di crittografia per un'operazione a livello di servizio:
```
"encryptionContext": {
"aws:resiliencehub:service-arn": "arn:aws:resiliencehub:us-west-2:{{111122223333}}:service/{{my-service}}:{{abc123}}"
}
```
**Utilizzo del contesto di crittografia per il monitoraggio**
Quando si utilizza una chiave di crittografia simmetrica gestita dal cliente per crittografare i dati, è possibile utilizzare il contesto di crittografia nei record e nei registri di controllo per identificare come viene utilizzata la chiave gestita dal cliente. Il contesto di crittografia viene visualizzato nei log generati da. [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)
**Utilizzo del contesto di crittografia per controllare l'accesso**
È possibile utilizzare il contesto di crittografia nelle politiche chiave e nelle politiche IAM `conditions` per controllare l'accesso alla chiave di crittografia simmetrica gestita dal cliente. È possibile utilizzare i vincoli del contesto di crittografia in una concessione.
Resilience Hub di nuova generazione utilizza un vincolo di sottoinsieme del contesto di crittografia nelle concessioni per garantire che i flussi di lavoro asincroni possano crittografare e decrittografare solo i dati appartenenti al servizio specifico per cui è stata creata la concessione.
## Monitoraggio delle chiavi di crittografia per Resilience Hub di nuova generazione
Quando utilizzi una chiave gestita dal cliente con le risorse del Resilience Hub di nuova generazione, puoi utilizzarla [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)per tenere traccia delle richieste a cui invia Resilience Hub di nuova generazione. AWS KMS
CreateGrant
Quando crei un servizio con una chiave gestita dal cliente, Resilience Hub di nuova generazione invia una `CreateGrant` richiesta per tuo conto per abilitare i flussi di lavoro di valutazione asincroni per l'utilizzo della tua chiave. La concessione è specifica per il servizio e vincolata dal contesto di crittografia. Resilience Hub di nuova generazione utilizza `RetireGrant` per rimuovere la concessione quando si elimina il servizio.
L’evento di esempio seguente registra l’operazione `CreateGrant`:
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAEXAMPLE:{{session-name}}",
"arn": "arn:aws:sts::{{111122223333}}:assumed-role/{{YourRole}}/{{session-name}}",
"accountId": "{{111122223333}}",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAEXAMPLE",
"arn": "arn:aws:iam::{{111122223333}}:role/{{YourRole}}",
"accountId": "{{111122223333}}",
"userName": "{{YourRole}}"
}
},
"invokedBy": "resiliencehub.amazonaws.com"
},
"eventTime": "2026-01-15T10:07:22Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "resiliencehub.amazonaws.com",
"userAgent": "resiliencehub.amazonaws.com",
"requestParameters": {
"granteePrincipal": "resiliencehub.amazonaws.com",
"keyId": "arn:aws:kms:us-west-2:{{111122223333}}:key/{{1234abcd-12ab-34cd-56ef-1234567890ab}}",
"retiringPrincipal": "resiliencehub.amazonaws.com",
"operations": [
"Decrypt",
"GenerateDataKey",
"Encrypt"
],
"constraints": {
"encryptionContextSubset": {
"aws:resiliencehub:service-arn": "arn:aws:resiliencehub:us-west-2:{{111122223333}}:service/{{my-service}}:{{abc123}}"
}
}
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
"keyId": "arn:aws:kms:us-west-2:{{111122223333}}:key/{{1234abcd-12ab-34cd-56ef-1234567890ab}}"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "56d4e434-abb6-4dd7-8558-ad38560d03b1",
"readOnly": false,
"resources": [
{
"accountId": "{{111122223333}}",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:{{111122223333}}:key/{{1234abcd-12ab-34cd-56ef-1234567890ab}}"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "{{111122223333}}",
"eventCategory": "Management"
}
```
GenerateDataKey
Quando Resilience Hub di nuova generazione crittografa i dati utilizzando la chiave gestita dal cliente, invia una `GenerateDataKey` richiesta per generare una chiave dati. Ciò si verifica sia durante le chiamate API sincrone (come la creazione di un servizio con una descrizione) sia durante i flussi di lavoro di valutazione asincroni.
L’evento di esempio seguente registra l’operazione `GenerateDataKey`:
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "AWSService",
"invokedBy": "resiliencehub.amazonaws.com"
},
"eventTime": "2026-01-15T11:18:36Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "resiliencehub.amazonaws.com",
"userAgent": "resiliencehub.amazonaws.com",
"requestParameters": {
"numberOfBytes": 32,
"keyId": "arn:aws:kms:us-west-2:{{111122223333}}:key/{{1234abcd-12ab-34cd-56ef-1234567890ab}}",
"encryptionContext": {
"aws:resiliencehub:service-arn": "arn:aws:resiliencehub:us-west-2:{{111122223333}}:service/{{my-service}}:{{abc123}}",
"aws-crypto-public-key": "AwAnnorjRE+DFQYIuDKjGEvlXwro5Rdiegk8flmq7m0N..."
}
},
"responseElements": null,
"requestID": "c5bedc9b-e6d6-45f8-b121-c9851a3d718a",
"eventID": "e839a7ed-e4a9-32a3-b92a-2c7237a40c82",
"readOnly": true,
"resources": [
{
"accountId": "{{111122223333}}",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:{{111122223333}}:key/{{1234abcd-12ab-34cd-56ef-1234567890ab}}"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "{{111122223333}}",
"eventCategory": "Management"
}
```
Decrypt
Quando si recuperano risorse tramite operazioni API o quando i flussi di lavoro di valutazione elaborano dati precedentemente archiviati, Resilience Hub di nuova generazione invia richieste per decrittografare i dati. `Decrypt`
L’evento di esempio seguente registra l’operazione `Decrypt`:
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAEXAMPLE:{{session-name}}",
"arn": "arn:aws:sts::{{111122223333}}:assumed-role/{{YourRole}}/{{session-name}}",
"accountId": "{{111122223333}}",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAEXAMPLE",
"arn": "arn:aws:iam::{{111122223333}}:role/{{YourRole}}",
"accountId": "{{111122223333}}",
"userName": "{{YourRole}}"
}
},
"invokedBy": "resiliencehub.amazonaws.com"
},
"eventTime": "2026-01-15T11:27:49Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "resiliencehub.amazonaws.com",
"userAgent": "resiliencehub.amazonaws.com",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:{{111122223333}}:key/{{1234abcd-12ab-34cd-56ef-1234567890ab}}",
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"encryptionContext": {
"aws:resiliencehub:service-arn": "arn:aws:resiliencehub:us-west-2:{{111122223333}}:service/{{my-service}}:{{abc123}}",
"aws-crypto-public-key": "A/9P3BC05WjeQONZR1fBiEqWKEse/Yk1lMxd2VIh2ED5..."
}
},
"responseElements": null,
"requestID": "30f8e9bc-4e0a-4359-8bc3-8278ef42c206",
"eventID": "195ef070-c952-4c28-9883-29bca297a08c",
"readOnly": true,
"resources": [
{
"accountId": "{{111122223333}}",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:{{111122223333}}:key/{{1234abcd-12ab-34cd-56ef-1234567890ab}}"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "{{111122223333}}",
"eventCategory": "Management"
}
```
DescribeKey
Resilience Hub di nuova generazione invia `DescribeKey` richieste per verificare che la chiave gestita dal cliente associata al servizio esista nell'account e nella regione e sia una chiave di crittografia simmetrica valida.
L’evento di esempio seguente registra l’operazione `DescribeKey`:
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAEXAMPLE:{{session-name}}",
"arn": "arn:aws:sts::{{111122223333}}:assumed-role/{{YourRole}}/{{session-name}}",
"accountId": "{{111122223333}}",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAEXAMPLE",
"arn": "arn:aws:iam::{{111122223333}}:role/{{YourRole}}",
"accountId": "{{111122223333}}",
"userName": "{{YourRole}}"
}
},
"invokedBy": "resiliencehub.amazonaws.com"
},
"eventTime": "2026-01-15T10:07:13Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DescribeKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "resiliencehub.amazonaws.com",
"userAgent": "resiliencehub.amazonaws.com",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:{{111122223333}}:key/{{1234abcd-12ab-34cd-56ef-1234567890ab}}"
},
"responseElements": null,
"requestID": "e427932c-448b-49aa-88e1-b311c27ba753",
"eventID": "48c596a5-83c7-4603-b0cf-be0ff2548623",
"readOnly": true,
"resources": [
{
"accountId": "{{111122223333}}",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:{{111122223333}}:key/{{1234abcd-12ab-34cd-56ef-1234567890ab}}"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "{{111122223333}}",
"eventCategory": "Management"
}
```
## Ulteriori informazioni
Le seguenti risorse forniscono ulteriori informazioni sulla crittografia dei dati a riposo.
+ Per ulteriori informazioni su [Concetti base di AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html), consulta la *Guida per gli sviluppatori di AWS Key Management Service *.
+ *Per ulteriori informazioni sulle [migliori pratiche di sicurezza per AWS Key Management Service, consulta la Guida per](https://docs.aws.amazon.com/kms/latest/developerguide/kms-security.html) gli AWS Key Management Service sviluppatori.*