

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Modificare la chiave di crittografia per un Gestione dei segreti AWS segreto
<a name="manage_update-encryption-key"></a>

Secrets Manager utilizza [la crittografia a busta](security-encryption.md) con AWS KMS chiavi e chiavi dati per proteggere ogni valore segreto. Per ogni segreto, puoi scegliere quale chiave KMS usare. È possibile utilizzare o utilizzare una chiave gestita dal cliente. Chiave gestita da AWS **aws/secretsmanager** Nella maggior parte dei casi, si consiglia di **aws/secretsmanager** utilizzarlo e non è previsto alcun costo per l'utilizzo. Se devi accedere al segreto da un'altra Account AWS persona o se desideri utilizzare la tua chiave KMS in modo da poterla ruotare o applicare una politica di chiave, usa una. chiave gestita dal clienteÈ necessario avere le [Autorizzazioni per la chiave KMS](security-encryption.md#security-encryption-authz). Per informazioni sui costi di utilizzo di una chiave gestita dal cliente, consulta la sezione [Prezzi](intro.md#asm_pricing).

Puoi modificare la chiave di crittografia per il segreto. Ad esempio, se desideri [accedere al segreto da un altro account](auth-and-access_examples_cross.md) e il segreto è attualmente crittografato utilizzando la chiave AWS gestita`aws/secretsmanager`, puoi passare a un. chiave gestita dal cliente

**Suggerimento**  
Se desideri ruotare il tuo chiave gestita dal cliente, ti consigliamo di utilizzare la rotazione AWS KMS automatica dei tasti. Per ulteriori informazioni, consulta [Rotazione AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html) dei tasti.

Quando si modifica la chiave di crittografia, Secrets Manager cripta nuovamente `AWSCURRENT` e `AWSPENDING` le `AWSPREVIOUS` versioni con la nuova chiave. Per evitare di nasconderti il segreto, Secrets Manager mantiene tutte le versioni esistenti crittografate con la chiave precedente. Ciò significa che è possibile decrittografare `AWSCURRENT` `AWSPENDING` le `AWSPREVIOUS` versioni con la chiave precedente o quella nuova. Se non si dispone dell'`kms:Decrypt`autorizzazione per la chiave precedente, quando si modifica la chiave di crittografia, Secrets Manager non può decrittografare le versioni segrete per crittografarle nuovamente. In questo caso, le versioni esistenti non vengono ricrittografate.

Per fare in modo che `AWSCURRENT` possa essere decifrata solo con la nuova chiave di crittografia, crea una nuova versione del segreto con la nuova chiave. Quindi, per poter decifrare la versione `AWSCURRENT` segreta, devi avere l'autorizzazione per la nuova chiave.

Se disattivi la chiave di crittografia precedente, non potrai decrittografare nessuna versione segreta ad eccezione di `AWSCURRENT`, `AWSPENDING` e `AWSPREVIOUS`. Se disponi di altre versioni segrete etichettate per le quali desideri mantenere l'accesso, devi ricreare tali versioni con la nuova chiave di crittografia utilizzando [AWS CLI](#manage_update-encryption-key_CLI).

**Per modificare la chiave di crittografia per un segreto (console)**

1. Apri la console Secrets Manager all'indirizzo [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).

1. Dall'elenco dei segreti, scegli il segreto.

1. Nella pagina dei dettagli del segreto, nella sezione **Secrets details** (Dettagli segreti), scegli **Actions** (Operazioni), quindi scegli **Edit encryption key** (Modifica chiave di crittografia). 

## AWS CLI
<a name="manage_update-encryption-key_CLI"></a>

Se modifichi la chiave di crittografia per un segreto e disattivi la chiave di crittografia precedente, non sarà possibile decrittografare nessuna versione segreta ad eccezione di `AWSCURRENT`, `AWSPENDING` e `AWSPREVIOUS`. Se disponi di altre versioni segrete etichettate per le quali desideri mantenere l'accesso, devi ricreare tali versioni con la nuova chiave di crittografia utilizzando [AWS CLI](#manage_update-encryption-key_CLI).

**Per modificare la chiave di crittografia per un segreto (AWS CLI)**

1. L’esempio di [https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/update-secret.html](https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/update-secret.html) seguente mostra come aggiornare la chiave KMS utilizzata per crittografare il valore del segreto. La chiave KMS deve trovarsi nella stessa Regione del segreto.

   ```
   aws secretsmanager update-secret \
         --secret-id MyTestSecret \
         --kms-key-id arn:aws:kms:us-west-2:123456789012:key/EXAMPLE1-90ab-cdef-fedc-ba987EXAMPLE
   ```

1. (Facoltativo) Se disponi di versioni segrete con etichette personalizzate, per poterle crittografare nuovamente utilizzando la nuova chiave è necessario ricrearle. 

   Quando immetti i comandi in una shell dei comandi, c'è il rischio che la cronologia dei comandi sia accessibile o che le utilità abbiano accesso ai parametri dei comandi. Per informazioni, consulta [Riduci i rischi derivanti dall'utilizzo di per archiviare i tuoi AWS CLI segreti Gestione dei segreti AWS](security_cli-exposure-risks.md).

   1. Ottieni il valore della versione segreta.

      ```
      aws secretsmanager get-secret-value \
            --secret-id MyTestSecret \
            --version-stage MyCustomLabel
      ```

      Annota il valore segreto.

   1. Crea una nuova versione con quel valore.

      ```
      aws secretsmanager put-secret-value \
          --secret-id testDescriptionUpdate \
          --secret-string "SecretValue" \
          --version-stages "MyCustomLabel"
      ```