Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Protezione dei dati in AWS Entity Resolution
Il modello di [responsabilità AWS condivisa modello](https://aws.amazon.com/compliance/shared-responsibility-model/) di di si applica alla protezione dei dati in AWS Entity Resolution. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i Cloud AWS. L’utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. L’utente è inoltre responsabile della configurazione della protezione e delle attività di gestione per i Servizi AWS utilizzati. Per maggiori informazioni sulla privacy dei dati, consulta le [Domande frequenti sulla privacy dei dati](https://aws.amazon.com/compliance/data-privacy-faq/). Per informazioni sulla protezione dei dati in Europa, consulta il post del blog relativo al [AWS Modello di responsabilità condivisa e GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) nel *AWS Blog sulla sicurezza*.
Ai fini della protezione dei dati, consigliamo di proteggere Account AWS le credenziali e configurare i singoli utenti con AWS IAM Identity Center or AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Suggeriamo, inoltre, di proteggere i dati nei seguenti modi:
+ Utilizza l’autenticazione a più fattori (MFA) con ogni account.
+ SSL/TLS Da utilizzare per comunicare con AWS le risorse. È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Configura l'API e la registrazione delle attività degli utenti con AWS CloudTrail. Per informazioni sull'utilizzo dei CloudTrail percorsi per acquisire AWS le attività, consulta [Lavorare con i CloudTrail percorsi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) nella *Guida per l'AWS CloudTrail utente*.
+ Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.
+ Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.
+ Se hai bisogno di moduli crittografici convalidati FIPS 140-3 per accedere AWS tramite un'interfaccia a riga di comando o un'API, usa un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Ti consigliamo di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo **Nome**. Ciò include quando lavori AWS Entity Resolution o Servizi AWS utilizzi la console, l'API o. AWS CLI AWS SDKs I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Quando si fornisce un URL a un server esterno, suggeriamo vivamente di non includere informazioni sulle credenziali nell’URL per convalidare la richiesta al server.
## Crittografia dei dati a riposo per AWS Entity Resolution
AWS Entity Resolution fornisce la crittografia di default per proteggere i dati sensibili dei clienti archiviati utilizzando chiavi AWS di crittografia proprietarie.
**Chiavi di proprietà di AWS**: AWS Entity Resolution utilizza queste chiavi per impostazione predefinita per crittografare automaticamente i dati di identificazione personale. Non è possibile visualizzare, gestire o utilizzare chiavi di proprietà di AWS o controllarne l’utilizzo. Tuttavia, non è necessario intraprendere alcuna azione per proteggere le chiavi che crittografano i dati. Per ulteriori informazioni, consulta le [chiavi di proprietà di AWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) nella *AWS Key Management Service Developer Guide*.
La crittografia predefinita dei dati a riposo aiuta a ridurre il sovraccarico operativo e la complessità associati alla protezione dei dati sensibili. Allo stesso tempo, puoi utilizzarlo per creare applicazioni sicure che soddisfino i rigorosi requisiti normativi e di conformità alla crittografia.
In alternativa, puoi anche fornire una chiave KMS gestita dal cliente per la crittografia quando crei la risorsa di flusso di lavoro corrispondente.
**Chiavi gestite dal cliente**: AWS Entity Resolution supporta l'uso di una chiave KMS simmetrica gestita dal cliente che potete creare, possedere e gestire per consentire la crittografia dei dati sensibili. Avendo il pieno controllo di questo livello di crittografia, è possibile eseguire operazioni quali:
+ Stabilire e mantenere le policy delle chiavi
+ Stabilire e mantenere le policy e le sovvenzioni IAM
+ Abilitare e disabilitare le policy delle chiavi
+ Ruotare i materiali crittografici delle chiavi
+ Aggiungere tag
+ Creare alias delle chiavi
+ Pianificare l’eliminazione delle chiavi
*Per ulteriori informazioni, consulta la [chiave gestita dal cliente nella Guida per](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) gli AWS Key Management Service sviluppatori.*
Per ulteriori informazioni su AWS KMS, consulta [What is AWS Key Management Service?](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)
## Gestione delle chiavi
### In che modo AWS Entity Resolution utilizza le sovvenzioni in AWS KMS
AWS Entity Resolution richiede una [concessione](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) per utilizzare la chiave gestita dal cliente. Quando crei un flusso di lavoro corrispondente crittografato con una chiave gestita dal cliente, AWS Entity Resolution crea una concessione per tuo conto inviando una [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)richiesta a AWS KMS. Le sovvenzioni AWS KMS vengono utilizzate per AWS Entity Resolution consentire l'accesso a una chiave KMS in un account cliente. AWS Entity Resolution richiede la concessione per utilizzare la chiave gestita dal cliente per le seguenti operazioni interne:
+ Invia [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)richieste per AWS KMS generare chiavi dati crittografate dalla tua chiave gestita dal cliente.
+ Invia le richieste [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) a per AWS KMS decrittografare le chiavi di dati crittografate in modo che possano essere utilizzate per crittografare i dati.
Puoi revocare l'accesso alla concessione o rimuovere l'accesso del servizio alla chiave gestita dal cliente in qualsiasi momento. In tal caso, AWS Entity Resolution non sarà in grado di accedere a nessuno dei dati crittografati dalla chiave gestita dal cliente, il che influirà sulle operazioni che dipendono da tali dati. Ad esempio, se rimuovi l'accesso al servizio alla tua chiave tramite la concessione e tenti di avviare un processo per un flusso di lavoro corrispondente crittografato con una chiave cliente, l'operazione restituirà un `AccessDeniedException` errore.
### Creazione di una chiave gestita dal cliente
È possibile creare una chiave simmetrica gestita dal cliente utilizzando Console di gestione AWS, o il. AWS KMS APIs
**Per creare una chiave simmetrica gestita dal cliente**
AWS Entity Resolution supporta la crittografia utilizzando chiavi KMS di crittografia [simmetrica](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#symmetric-cmks). Segui la procedura riportata in [Creazione di una chiave simmetrica gestita dal cliente](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) nella *Guida per gli sviluppatori di AWS Key Management Service *.
**Dichiarazione politica chiave**
Le policy della chiave controllano l’accesso alla chiave gestita dal cliente. Ogni chiave gestita dal cliente deve avere esattamente una policy della chiave, che contiene istruzioni che determinano chi può usare la chiave e come la possono usare. Quando crei la chiave gestita dal cliente, è possibile specificare una policy della chiave. Per ulteriori informazioni, consulta [Gestire l'accesso alle chiavi gestite dal cliente](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html#managing-access) nella *Guida per gli AWS Key Management Service sviluppatori*.
Per utilizzare la chiave gestita dal cliente con AWS Entity Resolution le tue risorse, nella policy chiave devono essere consentite le seguenti operazioni API:
+ [https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)— Fornisce informazioni quali l'ARN della chiave, la data di creazione (e la data di eliminazione, se applicabile), lo stato della chiave e la data di origine e scadenza (se presente) del materiale chiave. Include campi che, ad esempio`KeySpec`, aiutano a distinguere diversi tipi di chiavi KMS. Visualizza anche l'utilizzo delle chiavi (crittografia, firma o generazione e verifica MACs) e gli algoritmi supportati dalla chiave KMS. AWS Entity Resolution convalida che è ed è. `KeySpec` `SYMMETRIC_DEFAULT` `KeyUsage` `ENCRYPT_DECRYPT`
+ [https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html): aggiunge una concessione a una chiave gestita dal cliente. Concede il controllo dell'accesso a una chiave KMS specificata, che consente l'accesso alle operazioni di [concessione](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html#terms-grant-operations) richieste. AWS Entity Resolution Per ulteriori informazioni sull'[utilizzo delle concessioni](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html), consulta la *Guida per gli sviluppatori di AWS Key Management Service *.
Ciò consente di AWS Entity Resolution effettuare le seguenti operazioni:
+ Chiama `GenerateDataKey` per generare una chiave dati crittografata e archiviarla, poiché la chiave dati non viene utilizzata immediatamente per crittografare.
+ Chiama `Decrypt` per utilizzare la chiave dati crittografata memorizzata per accedere ai dati crittografati.
+ Configurare un principale ritirato per consentire al servizio di `RetireGrant`.
Di seguito sono riportati alcuni esempi di dichiarazioni politiche che è possibile aggiungere per AWS Entity Resolution:
```
{
"Sid" : "Allow access to principals authorized to use AWS Entity Resolution",
"Effect" : "Allow",
"Principal" : {
"AWS" : "*"
},
"Action" : ["kms:DescribeKey","kms:CreateGrant"],
"Resource" : "*",
"Condition" : {
"StringEquals" : {
"kms:ViaService" : "entityresolution.region.amazonaws.com",
"kms:CallerAccount" : "111122223333"
}
}
}
```
**Autorizzazioni per gli utenti**
Quando configuri una chiave KMS come chiave predefinita per la crittografia, la politica di chiave KMS predefinita consente a qualsiasi utente con accesso alle azioni KMS richieste di utilizzare questa chiave KMS per crittografare o decrittografare le risorse. È necessario concedere agli utenti il permesso di eseguire le seguenti azioni per utilizzare la crittografia a chiave KMS gestita dal cliente:
+ `kms:CreateGrant`
+ `kms:Decrypt`
+ `kms:DescribeKey`
+ `kms:GenerateDataKey`
Durante una [`CreateMatchingWorkflow`richiesta](https://docs.aws.amazon.com/entityresolution/latest/apireference/API_CreateMatchingWorkflow.html), AWS Entity Resolution invierà una [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)richiesta [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)e una a per tuo AWS KMS conto. Ciò richiederà che l'entità IAM che effettua la `CreateMatchingWorkflow` richiesta con una chiave KMS gestita dal cliente disponga delle `kms:DescribeKey` autorizzazioni sulla politica della chiave KMS.
Durante una [https://docs.aws.amazon.com/entityresolution/latest/apireference/API_StartIdMappingJob.html](https://docs.aws.amazon.com/entityresolution/latest/apireference/API_StartIdMappingJob.html)richiesta [https://docs.aws.amazon.com/entityresolution/latest/apireference/API_CreateIdMappingWorkflow.html](https://docs.aws.amazon.com/entityresolution/latest/apireference/API_CreateIdMappingWorkflow.html)e, AWS Entity Resolution invierà una richiesta [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)e una a per [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)tuo AWS KMS conto. Ciò richiederà che l'entità IAM che effettua la `StartIdMappingJob` richiesta `CreateIdMappingWorkflow` e con una chiave KMS gestita dal cliente disponga `kms:DescribeKey` delle autorizzazioni relative alla politica della chiave KMS. I provider saranno in grado di accedere alla chiave gestita dal cliente per decrittografare i dati nel bucket Amazon AWS Entity Resolution S3.
Di seguito sono riportati alcuni esempi di policy che è possibile aggiungere ai provider per decrittografare i dati nel bucket Amazon AWS Entity Resolution S3:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::715724997226:root"
},
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:{{111122223333}}:key/key-id",
"Condition": {
"StringEquals": {
"kms:ViaService": "s3.us-east-1.amazonaws.com"
}
}
}]
}
```
------
Sostituisci ogni {{}} con le tue informazioni.
| | |
| --- |--- |
| {{}} | AWS KMS Nome della risorsa Amazon. |
Analogamente, l'entità IAM che richiama l'[`StartMatchingJob`API](https://docs.aws.amazon.com/entityresolution/latest/apireference/API_StartMatchingJob.html) deve disporre `kms:Decrypt` `kms:GenerateDataKey` delle autorizzazioni sulla chiave KMS gestita dal cliente fornite nel flusso di lavoro corrispondente.
*Per ulteriori informazioni sulla [specificazione delle autorizzazioni in una policy](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html#overview-policy-elements), consulta la Guida per gli sviluppatori.AWS Key Management Service *
Per ulteriori informazioni sulla [risoluzione dei problemi di accesso tramite chiave](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html#example-no-iam), consulta la Guida per gli *AWS Key Management Service sviluppatori*.
### Specificazione di una chiave gestita dal cliente per AWS Entity Resolution
È possibile specificare una chiave gestita dal cliente come crittografia di secondo livello per le seguenti risorse:
[Flusso di lavoro corrispondente](https://docs.aws.amazon.com/entityresolution/latest/apireference/API_CreateMatchingWorkflow.html): quando si crea una risorsa di flusso di lavoro corrispondente, è possibile specificare la chiave dati inserendo un **KMSArn**, che viene AWS Entity Resolution utilizzato per crittografare i dati personali identificabili archiviati dalla risorsa.
**KMSArn**— Inserire una chiave ARN, che è un [identificatore chiave per una chiave](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-id) gestita AWS KMS dal cliente.
Puoi specificare una chiave gestita dal cliente come crittografia di secondo livello per le seguenti risorse se stai creando o eseguendo un flusso di lavoro di mappatura degli ID su due: Account AWS
Flusso di lavoro di [mappatura degli ID o flusso](https://docs.aws.amazon.com/entityresolution/latest/apireference/API_CreateIdMappingWorkflow.html) [di lavoro di mappatura](https://docs.aws.amazon.com/entityresolution/latest/apireference/API_StartIdMappingJob.html) degli ID: quando si crea una risorsa del flusso di lavoro di mappatura degli ID o si avvia un processo di flusso di lavoro di mappatura degli ID, è possibile specificare la chiave dati inserendo un **KMSArn**, che viene AWS Entity Resolution utilizzato per crittografare i dati personali identificabili archiviati dalla risorsa.
**KMSArn**— Inserire una chiave ARN, che è un [identificatore chiave per una chiave](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-id) gestita AWS KMS dal cliente.
### Monitoraggio delle chiavi di crittografia per Service AWS Entity Resolution
Quando utilizzi una chiave gestita AWS KMS dal cliente con le tue risorse di AWS Entity Resolution servizio, puoi utilizzare [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) o [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) per tenere traccia delle richieste AWS Entity Resolution inviate a AWS KMS.
I seguenti esempi sono AWS CloudTrail eventi per`CreateGrant`, `GenerateDataKey``Decrypt`, e AWS KMS operazioni di monitoraggio chiamate `DescribeKey` ad accedere AWS Entity Resolution ai dati crittografati dalla chiave gestita dal cliente:
**Topics**
+ [CreateGrant](#create-grant)
+ [DescribeKey](#kms-creategrant)
+ [GenerateDataKey](#kms-generatedatakey)
+ [Decrypt](#kms-decrypt)
#### CreateGrant
Quando utilizzi una chiave gestita AWS KMS dal cliente per crittografare la risorsa del flusso di lavoro corrispondente, AWS Entity Resolution invia una `CreateGrant` richiesta per tuo conto per accedere alla chiave KMS del tuo. Account AWS La concessione che AWS Entity Resolution viene creata è specifica per la risorsa associata alla chiave gestita dal AWS KMS cliente. Inoltre, AWS Entity Resolution utilizza l'`RetireGrant`operazione per rimuovere una concessione quando si elimina una risorsa.
L’evento di esempio seguente registra l’operazione `CreateGrant`:
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-22T17:02:00Z"
}
},
"invokedBy": "entityresolution.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"retiringPrincipal": "entityresolution.region.amazonaws.com",
"operations": [
"GenerateDataKey",
"Decrypt",
],
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"granteePrincipal": "entityresolution.region.amazonaws.com"
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```
#### DescribeKey
AWS Entity Resolution utilizza l'`DescribeKey`operazione per verificare se la chiave gestita AWS KMS dal cliente associata alla risorsa corrispondente esiste nell'account e nella regione.
L’evento di esempio seguente registra l’operazione `DescribeKey`.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-22T17:02:00Z"
}
},
"invokedBy": "entityresolution.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DescribeKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"keyId": "00dd0db0-0000-0000-ac00-b0c000SAMPLE"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```
#### GenerateDataKey
Quando abiliti una chiave gestita AWS KMS dal cliente per la risorsa del flusso di lavoro corrispondente, AWS Entity Resolution invia una `GenerateDataKey` richiesta tramite Amazon Simple Storage Service (Amazon S3) AWS KMS a cui specifica AWS KMS la chiave gestita dal cliente per la risorsa.
L’evento di esempio seguente registra l’operazione `GenerateDataKey`.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "s3.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"keySpec": "AES_256",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333",
"sharedEventID": "57f5dbee-16da-413e-979f-2c4c6663475e"
}
```
#### Decrypt
Quando abiliti una chiave gestita AWS KMS dal cliente per la risorsa del flusso di lavoro corrispondente, AWS Entity Resolution invia una `Decrypt` richiesta tramite Amazon Simple Storage Service (Amazon S3) AWS KMS a cui specifica AWS KMS la chiave gestita dal cliente per la risorsa.
L’evento di esempio seguente registra l’operazione `Decrypt`.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "s3.amazonaws.com"
},
"eventTime": "2021-04-22T17:10:51Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"encryptionAlgorithm": "SYMMETRIC_DEFAULT"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333",
"sharedEventID": "dc129381-1d94-49bd-b522-f56a3482d088"
}
```
### Considerazioni
AWS Entity Resolution non supporta l'aggiornamento di un flusso di lavoro corrispondente con una nuova chiave KMS gestita dal cliente. In questi casi, puoi creare un nuovo flusso di lavoro con la chiave KMS gestita dal cliente.
### Ulteriori informazioni
Le seguenti risorse forniscono ulteriori informazioni sulla crittografia dei dati a riposo.
Per ulteriori informazioni sui [concetti di base di AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html), consulta la *AWS Key Management Service Developer Guide*.
Per ulteriori informazioni sulle [best practice di sicurezza per AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/best-practices.html), consulta la *AWS Key Management Service Developer Guide*.