Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Configurazione della crittografia degli argomenti di Amazon SNS con abbonamento crittografato alla coda Amazon SQS
Puoi abilitare la crittografia SSE (crittografia lato server) per un argomento per proteggerne i dati. Per consentire ad Amazon SNS di inviare messaggi a code crittografate Amazon SQS, la chiave gestita dal cliente associata alla coda Amazon SQS deve avere una dichiarazione di policy che conceda ad Amazon SNS l'accesso del principale del servizio alle operazioni `GenerateDataKey` e `Decrypt` dell'API AWS KMS . Per ulteriori informazioni sull'utilizzo di SSE, consulta [Protezione dei dati di Amazon SNS con crittografia lato server](sns-server-side-encryption.md).
Questo argomento spiega come abilitare SSE per un argomento Amazon SNS con un abbonamento crittografato ad Amazon SQS queue utilizzando il. Console di gestione AWS
## Fase 1: creazione di una chiave KMS personalizzata
1. Accedere alla [console AWS KMS](https://console.aws.amazon.com/kms/) con un utente che dispone di almeno di una policy `AWSKeyManagementServicePowerUser`.
1. Scegli **Create a key (Crea una chiave)**.
1. Per creare una chiave KMS di crittografia simmetrica, in **Key type** (Tipo di chiave) scegli **Symmetric** (Simmetrica).
Per informazioni su come creare una chiave KMS asimmetrica nella console AWS KMS , consultare [Creating asymmetric KMS keys (console)](https://docs.aws.amazon.com/kms/latest/developerguide/asymm-create-key.html#create-asymmetric-keys-console) (Creazione di chiavi KMS asimmetriche (console).
1. In **Utilizzo della chiave**, l'opzione **Crittografa e decrittografa** è selezionata per impostazione predefinita.
Per informazioni su come creare le chiavi KMS che generano e verificano i codici MAC, consultare [Creating HMAC KMS keys](https://docs.aws.amazon.com/kms/latest/developerguide/hmac-create-key.html) (Creazione di chiavi KMS HMAC).
Per informazioni sulle **Opzioni avanzate**, consultare [Special-purpose keys](https://docs.aws.amazon.com/kms/latest/developerguide/key-types.html) (Chiavi per uso speciale).
1. Scegli **Next (Successivo)**.
1. Digita un alias per la chiave KMS. Un nome di alias non può iniziare con **aws/**. Il **aws/** prefisso è riservato da Amazon Web Services per essere rappresentato Chiavi gestite da AWS nel tuo account.
**Nota**
L'aggiunta, l'eliminazione o l'aggiornamento di un alias può consentire o negare l'autorizzazione alla chiave KMS. Per i dettagli, consultare [ABAC for AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/abac.html) (ABAC per KMS) e [Using aliases to control access to KMS keys](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#hmac-key-concept) (Utilizzo degli alias per controllare l'accesso alle chiavi KMS).
Un alias è un nome visualizzato che può essere utilizzato per identificare la chiave KMS. È consigliabile scegliere un alias che indica il tipo di dati che desideri proteggere o l'applicazione che desideri utilizzare con la chiave KMS.
Gli alias sono obbligatori quando si crea una chiave KMS nella Console di gestione AWS. Sono opzionali quando si utilizza l'[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operazione.
1. (Facoltativo) Digita una descrizione per la chiave KMS.
Puoi aggiungere una descrizione ora o aggiornarla in qualsiasi momento, a meno che lo [stato della chiave](https://docs.aws.amazon.com/kms/latest/developerguide/key-state.html) non sia `Pending Deletion` o `Pending Replica Deletion`. Per aggiungere, modificare o eliminare la descrizione di una chiave gestita dal cliente esistente, [modifica la descrizione](https://docs.aws.amazon.com/kms/latest/developerguide/editing-keys.html) in Console di gestione AWS o utilizza l'[UpdateKeyDescription](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateKeyDescription.html)operazione.
1. (Facoltativo) Digitare una chiave di tag e un valore di tag facoltativo. Per aggiungere più di un tag alla chiave KMS scegli **Add tag (Aggiungi tag)**.
**Nota**
L'applicazione o l'eliminazione di un tag chiave KMS può consentire o negare l'autorizzazione alla chiave KMS. Per i dettagli, consultare [ABAC for AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/abac.html) (ABAC per KMS) e [Using tags to control access to KMS keys](https://docs.aws.amazon.com/kms/latest/developerguide/tag-authorization.html) (Utilizzo dei tag per controllare l'accesso alle chiavi KMS).
Quando aggiungi tag alle tue AWS risorse, AWS genera un rapporto sull'allocazione dei costi con utilizzo e costi aggregati per tag. I tag possono essere utilizzati anche per controllare l'accesso a una chiave KMS. Per informazioni sull'assegnazione di tag alle chiavi KMS, consultare [Tagging keys](https://docs.aws.amazon.com/kms/latest/developerguide/tagging-keys.html) (Assegnazione di tag alle chiavi) e [ABAC for AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/abac.html) (ABAC per KMS).
1. Scegli **Next (Successivo)**.
1. Seleziona i ruoli e gli utenti IAM che possono gestire la chiave KMS.
**Nota**
Questa politica chiave offre il Account AWS pieno controllo di questa chiave KMS. Consente agli amministratori dell'account di utilizzare policy IAM per concedere ad altri principali l'autorizzazione per la gestione della chiave KMS. Per informazioni dettagliate, consultare [Default key policy](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-default.html) (Policy della chiave predefinita).
Le best practice di IAM disincentivano l'uso di utenti IAM con credenziali a lungo termine. Quando possibile, utilizza i ruoli IAM che forniscono credenziali temporanee. Per i dettagli, consultare [Best practice per la sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella Guida per l'utente IAM.
1. (Facoltativo) Per impedire ai ruoli e agli utenti IAM selezionati di eliminare questa chiave KMS, nella sezione **Eliminazione chiave** nella parte inferiore della pagina, deseleziona la casella di controllo **Consenti agli amministratori delle chiavi di eliminare questa chiave**.
1. Scegli **Next (Successivo)**.
1. Selezionare i ruoli e gli utenti IAM che possono utilizzare la chiave nelle [operazioni di crittografia](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#cryptographic-operations). Scegli **Next (Successivo)**.
1. Nella pagina **Review and edit key policy (Verifica e modifica la policy delle chiavi)**, aggiungi la seguente istruzione alla policy delle chiavi, quindi scegli **Finish (Termina)**.
```
{
"Sid": "Allow Amazon SNS to use this key",
"Effect": "Allow",
"Principal": {
"Service": "sns.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey*"
],
"Resource": "*"
}
```
La nuova chiave personalizzata gestita dal cliente viene visualizzata nell'elenco delle chiavi.
## Fase 2: creazione di un argomento Amazon SNS crittografato
1. Accedi alla [console Amazon SNS](https://console.aws.amazon.com/sns/home).
1. Nel pannello di navigazione, scegliere **Argomenti**.
1. Scegli **Create topic** (Crea argomento).
1. Nella pagina **Create new topic (Crea nuovo argomento)**, in **Name (Nome)**, immettere il nome di un argomento (ad esempio `MyEncryptedTopic`), quindi scegliere **Create topic (Crea argomento)**.
1. Espandere la sezione **Encryption (Crittografia)** e procedere come segue:
1. Scegli **Enable server-side encryption (Abilita crittografia lato server)**.
1. Specificare la chiave gestita dal cliente. Per ulteriori informazioni, consulta [Termini chiave](sns-server-side-encryption.md#sse-key-terms).
Per ogni tipo di chiave gestita dal cliente, vengono visualizzati la **Descrizione**, l'**account** e l'**ARN** della chiave gestita dal cliente.
**Importante**
Se non si è il proprietario della chiave gestita dal cliente, oppure se si effettua l'accesso con un account che non dispone delle autorizzazioni `kms:ListAliases` e `kms:DescribeKey`, non è possibile visualizzare le informazioni sulla chiave gestita dal cliente sulla console Amazon SNS.
Richiedere al proprietario della chiave gestita dal cliente di concedere queste autorizzazioni. Per esempi e ulteriori informazioni consulta [AWS KMS Autorizzazioni API: e Documentazione su operazioni e risorse](https://docs.aws.amazon.com/kms/latest/developerguide/kms-api-permissions-reference.html) nella *AWS Key Management Service Guida per sviluppatori*.
1. Per la **chiave gestita dal cliente**, scegli quella **MyCustomKey**[che hai creato in precedenza](#create-custom-cmk), quindi scegli **Abilita la crittografia lato server.**
1. Scegli **Save changes** (Salva modifiche).
SSE è abilitato per l'argomento e viene **MyTopic**visualizzata la pagina.
Lo stato **Crittografia**, **Account AWS **, **Chiave gestita dal cliente**, **ARN** della chiave gestita dal cliente e **Descrizione** dell'argomento sono visualizzati nella scheda **Crittografia**.
Il nuovo argomento crittografato viene visualizzato nell'elenco degli argomenti.
## Fase 3: creazione e abbonamento a code Amazon SQS crittografate
1. Accedere alla [console Amazon SQS](https://console.aws.amazon.com/sqs/).
1. Scegli **Create New Queue (Crea nuova coda)**.
1. Nella pagina **Create New Queue (Crea nuova coda)**, procedi come indicato di seguito:
1. Immetti **Queue Name (Nome coda)** (ad esempio, `MyEncryptedQueue1`).
1. Scegli **Standard Queue (Coda standard)**, quindi **Configure Queue (Configura coda)**.
1. Scegli **Use SSE (Usa SSE)**.
1. Infatti **AWS KMS key**, scegli [quello **MyCustomKey**che hai creato in precedenza](#create-custom-cmk), quindi scegli **Crea coda**.
1. Ripeti la procedura per creare una seconda coda (ad esempio, denominata `MyEncryptedQueue2`).
Le nuove code crittografate vengono visualizzate nell'elenco delle code.
1. Nella console Amazon SQS, seleziona `MyEncryptedQueue1` e `MyEncryptedQueue2`, quindi scegli **Operazioni coda**, **Sottoscrivi code ad argomento SNS**.
1. Nella finestra di dialogo **Sottoscrivi a un argomento**, per **Scegli un argomento** seleziona **MyEncryptedTopic**, quindi scegli **Sottoscrivi**.
Le sottoscrizioni delle code crittografate all'argomento crittografato vengono visualizzate nella finestra di dialogo **Topic Subscription Result (Risultato sottoscrizione argomento)**.
1. Scegli **OK**.
## Fase 4: pubblicazione di un messaggio nell'argomento crittografato
1. Accedi alla [console Amazon SNS](https://console.aws.amazon.com/sns/home).
1. Nel pannello di navigazione, scegliere **Argomenti**.
1. Dall'elenco degli argomenti, scegli **MyEncryptedTopic**e quindi seleziona **Pubblica** messaggio.
1. Nella pagina **Publish a message (Pubblica un messaggio)**, procedi come indicato di seguito:
1. (Facoltativo) Nella sezione **Message details (Dettagli messaggio)**, immettere il valore per **Subject (Oggetto)** (ad esempio, `Testing message publishing`).
1. Nella sezione **Message body (Corpo messaggio)**, immettere il corpo del messaggio (ad esempio `My message body is encrypted at rest.`).
1. Seleziona **Publish message (Pubblica messaggio)**.
Il messaggio viene pubblicato nelle code crittografate sottoscritte.
## Fase 5: verifica della consegna del messaggio
1. Accedere alla [console Amazon SQS](https://console.aws.amazon.com/sqs/).
1. Dall'elenco delle code, scegli **MyEncryptedQueue1**, quindi scegli **Invia e ricevi** messaggi.
1. Nella pagina **Invia e ricevi messaggi in MyEncryptedQueue 1**, scegli **Sondaggio per i** messaggi.
Viene visualizzato il messaggio [inviato in precedenza](#publish-to-encrypted-topic).
1. Scegli **More Details (Altri dettagli)** per visualizzare il messaggio.
1. Al termine, scegli **Close (Chiudi)**.
1. Ripeti la procedura per **MyEncryptedQueue2**.