Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Ruotare AWS KMS keys
Per creare nuovo materiale crittografico per le [chiavi gestite dal cliente](concepts.md#customer-mgn-key), puoi creare nuove chiavi KMS e modificare le applicazioni o gli alias per utilizzarle. In alternativa, puoi ruotare il materiale chiave associato a una chiave KMS esistente abilitando la rotazione automatica delle chiavi o eseguendo la rotazione su richiesta.
Per impostazione predefinita, quando abiliti la *rotazione automatica delle chiavi per una chiave* KMS, AWS KMS genera nuovo materiale crittografico per la chiave KMS ogni anno. Puoi anche specificare un'impostazione personalizzata [rotation-period](#rotation-period) per definire il numero di giorni dopo l'attivazione della rotazione automatica delle chiavi che AWS KMS ruoterà il materiale della chiave e il numero di giorni tra ogni rotazione automatica successiva. Se è necessario avviare immediatamente la rotazione del materiale chiave, è possibile eseguire la rotazione *su richiesta, indipendentemente dal fatto che la rotazione* automatica dei tasti sia abilitata o meno. Le rotazioni su richiesta non modificano i programmi di rotazione automatica esistenti.
Puoi [tenere traccia della rotazione](#monitor-key-rotation) del materiale chiave per le tue chiavi KMS in Amazon CloudWatch e nella AWS Key Management Service console. AWS CloudTrail Puoi anche utilizzare l'[GetKeyRotationStatus](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyRotationStatus.html)operazione per verificare se la rotazione automatica è abilitata per una chiave KMS e identificare eventuali rotazioni su richiesta in corso. È possibile utilizzare l'[ListKeyRotations](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeyRotations.html)operazione per visualizzare i dettagli delle rotazioni completate.
La rotazione delle chiavi modifica solo il *materiale chiave corrente*, che è il segreto crittografico utilizzato nelle operazioni di crittografia. Quando si utilizza la chiave KMS ruotata per decrittografare il testo cifrato, AWS KMS utilizza il materiale chiave utilizzato per crittografarlo. Non è possibile selezionare un particolare materiale chiave per le operazioni di decrittografia, sceglie automaticamente il materiale chiave corretto. AWS KMS Poiché esegue la decrittografia AWS KMS in modo trasparente con il materiale chiave appropriato, è possibile utilizzare in sicurezza una chiave KMS ruotata nelle applicazioni e senza modifiche al codice. Servizi AWS
La chiave KMS è la stessa risorsa logica, indipendentemente dal fatto o dal numero di volte che supporta le modifiche del materiale chiave. Le proprietà della chiave KMS non vengono modificate, come illustrato nella seguente immagine.
![\[Key rotation process showing key material change while Key ID remains constant.\]](http://docs.aws.amazon.com/it_it/kms/latest/developerguide/images/key-rotation-auto.png)
Potresti decidere di creare una nuova chiave KMS e di utilizzarla al posto della chiave KMS originale. Lo stesso risultato si ottiene ruotando il materiale della chiave in una chiave KMS esistente, quindi questa operazione viene spesso considerata come una [rotazione manuale della chiave](rotate-keys-manually.md). [[La rotazione manuale è un'ottima scelta quando si desidera ruotare chiavi KMS che non sono idonee alla rotazione automatica o su richiesta, incluse le chiavi KMS [asimmetriche, le chiavi KMS HMAC e le chiavi KMS negli archivi di chiavi personalizzati](symmetric-asymmetric.md).](key-store-overview.md#custom-key-store-overview)](hmac.md)
**Nota**
La rotazione delle chiavi non ha alcun effetto sui dati protetti dalla chiave KMS. Non ruota le chiavi dati generate dalla chiave KMS né cripta nuovamente i dati protetti dalla chiave KMS. La rotazione delle chiavi non mitigherà l'effetto di una chiave dati compromessa.
**Rotazione delle chiave e prezzi**
AWS KMS addebita una tariffa mensile per la prima e la seconda rotazione del materiale chiave utilizzato per la chiave KMS. Questo aumento di prezzo è limitato alla seconda rotazione e le eventuali rotazioni successive non verranno fatturate. Per informazioni dettagliate, consulta [Prezzi di AWS Key Management Service](https://aws.amazon.com/kms/pricing/).
**Nota**
Puoi utilizzare il [AWS Cost Explorer Service](https://docs.aws.amazon.com/cost-management/latest/userguide/ce-what-is.html) per visualizzare un dettaglio dei costi di archiviazione delle chiavi. Ad esempio, puoi filtrare la vista per visualizzare i costi totali per le chiavi fatturate come chiavi KMS correnti e ruotate specificando `$REGION-KMS-Keys` per **Tipo di utilizzo** e raggruppando i dati in base a **Operazione API**.
Potresti ancora visualizzare le istanze dell'operazione dell'API con legacy `Unknown` per le date nella cronologia.
**Rotazione delle chiavi e quote**
Quando si calcolano le quote di risorse chiave, ogni chiave KMS conta come una chiave indipendentemente dal numero di versioni del materiale chiave ruotato.
Per informazioni più dettagliate sul materiale chiave e sulla rotazione, consultare [Dettagli di crittografia di AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/cryptographic-details/).
**Topics**
+ [Perché ruotare le chiavi KMS?](#rotating-kms-keys)
+ [Come funziona la rotazione delle chiavi](#rotate-keys-how-it-works)
+ [Abilita la rotazione automatica dei tasti](rotating-keys-enable.md)
+ [Disabilita la rotazione automatica delle chiavi](rotating-keys-disable.md)
+ [Esegui la rotazione dei tasti su richiesta](rotating-keys-on-demand.md)
+ [Elenca le rotazioni e i materiali chiave](list-rotations.md)
+ [Ruota i tasti manualmente](rotate-keys-manually.md)
+ [Cambia la chiave primaria in un set di chiavi multiregionali](multi-region-update.md)
## Perché ruotare le chiavi KMS?
[Le migliori pratiche crittografiche scoraggiano il riutilizzo estensivo delle chiavi che crittografano direttamente i dati, come le chiavi di dati che generano.](data-keys.md) AWS KMS Quando eseguono la crittografia di milioni di messaggi, le chiavi dati a 256 bit possono esaurirsi e iniziare a produrre testo criptato con trame sottili che possono essere sfruttate da abili malintenzionati per individuare i bit delle chiavi. È meglio utilizzare le chiavi dati una volta, o solo poche volte, per mitigare questo esaurimento delle chiavi.
Tuttavia, le chiavi KMS vengono spesso utilizzate per lo più come *chiavi di wrapping*, note anche come *chiavi di crittografia delle chiavi*. Invece di crittografare i dati, le chiavi di wrapping eseguono la crittografia delle chiavi di dati che eseguono a loro volta la crittografia dei tuoi dati. Per tale motivo, vengono utilizzate molto meno spesso delle chiavi di dati e non vengono quasi mai riutilizzate abbastanza da rischiare l'esaurimento delle chiavi.
Anche se questo rischio di esaurimento è bassissimo, potrebbe essere necessario ruotare le chiavi KMS a causa di regole aziendali/contrattuali o norme governative. Quando sei obbligato a ruotare le chiavi KMS, ti consigliamo di utilizzare la rotazione automatica dei tasti laddove è supportata, di utilizzare la rotazione su richiesta se la rotazione automatica non è supportata e la rotazione manuale dei tasti quando non è supportata né la rotazione automatica né quella su richiesta.
Potresti prendere in considerazione l'esecuzione di rotazioni su richiesta per dimostrare le principali funzionalità di rotazione dei materiali o per convalidare gli script di automazione. [Si consiglia di utilizzare le rotazioni su richiesta per le rotazioni non pianificate e di utilizzare la rotazione automatica dei tasti con un periodo di rotazione personalizzato, ove possibile.](#rotation-period)
## Come funziona la rotazione delle chiavi
AWS KMS la rotazione dei tasti è progettata per essere trasparente e facile da usare. AWS KMS supporta la rotazione opzionale automatica e su richiesta solo per le [chiavi gestite dal cliente](concepts.md#customer-mgn-key).
**rotazione automatica dei tasti**
AWS KMS ruota automaticamente la chiave KMS alla data di rotazione successiva definita dal periodo di rotazione. Non devi ricordare o pianificare l'aggiornamento.
La rotazione automatica delle chiavi è supportata solo sulle chiavi KMS a crittografia simmetrica con materiale chiave generato (origine). AWS KMS `AWS_KMS`
La rotazione automatica è opzionale per le chiavi KMS gestite dal cliente. AWS KMS ruota sempre ogni anno il materiale chiave per le chiavi KMS AWS gestite. La rotazione delle chiavi KMS di AWS proprietà è gestita dal proprietario della Servizio AWS chiave.
**Rotazione su richiesta**
Avvia immediatamente la rotazione del materiale chiave associato alla tua chiave KMS, indipendentemente dal fatto che la rotazione automatica delle chiavi sia abilitata o meno.
La rotazione delle chiavi su richiesta è supportata su chiavi KMS di crittografia simmetrica con materiale chiave che AWS KMS genera (`AWS_KMS`origine) e chiavi KMS di crittografia simmetrica con materiale chiave importato (origine). `EXTERNAL`
**Rotazione manuale**
Non è supportata né la rotazione automatica né quella su richiesta per i seguenti tipi di chiavi KMS, ma è possibile [ruotare queste chiavi KMS](rotate-keys-manually.md) manualmente.
+ [Chiavi KMS asimmetriche](symmetric-asymmetric.md)
+ [Chiavi KMS HMAC](hmac.md)
+ Chiavi KMS nell'[archivio delle chiavi personalizzate](key-store-overview.md#custom-key-store-overview)
**Gestione del materiale chiave**
AWS KMS conserva tutto il materiale chiave per una chiave KMS con `AWS_KMS` origine, anche se la rotazione dei tasti è disabilitata. AWS KMS elimina il materiale chiave solo quando elimini la chiave KMS.
Gestisci i materiali chiave per le chiavi di crittografia simmetriche con origine. `EXTERNAL` È possibile eliminare qualsiasi materiale chiave utilizzando l'[DeleteImportedKeyMaterial](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteImportedKeyMaterial.html)operazione o impostare una scadenza per l'importazione del materiale. La chiave KMS diventa inutilizzabile non appena uno dei suoi materiali scade o viene eliminato.
**Utilizzo del materiale chiave**
Quando si utilizza una chiave KMS ruotata per crittografare i dati, AWS KMS utilizza il materiale chiave corrente. Quando si utilizza la chiave KMS ruotata per decrittare il testo cifrato, AWS KMS usa la stessa versione del materiale chiave utilizzata per la crittografia. Non è possibile selezionare una versione particolare del materiale chiave per le operazioni di decrittografia, sceglie AWS KMS automaticamente la versione corretta.
**Periodo di rotazione**
Il periodo di rotazione definisce il numero di giorni dopo l'attivazione della rotazione automatica dei tasti che AWS KMS farà ruotare il materiale chiave e il numero di giorni tra ogni rotazione automatica dei tasti successiva. Se non specificate un valore per `RotationPeriodInDays` quando abilitate la rotazione automatica dei tasti, il valore predefinito è 365 giorni.
Puoi usare la chiave [kms: RotationPeriodInDays](conditions-kms.md#conditions-kms-rotation-period-in-days) condition per limitare ulteriormente i valori che i principals possono specificare nel parametro. `RotationPeriodInDays`
**Data di rotazione**
La data di rotazione riflette la data in cui il materiale chiave corrente per una chiave KMS è stato aggiornato come risultato di una rotazione automatica (pianificata) o di una rotazione delle chiavi su richiesta.
**Data di rotazione**
AWS KMS ruota automaticamente la chiave KMS alla data di rotazione definita dal periodo di rotazione. Il periodo di rotazione predefinito è 365 giorni.
**Chiavi gestite dal cliente**
Siccome la rotazione automatica delle chiavi è facoltativa nelle [chiavi gestite dal cliente](concepts.md#customer-mgn-key) e può essere abilitata e disabilitata in qualunque momento, la data di rotazione dipende dalla data dell'ultima abilitazione. La data può cambiare se si modifica il periodo di rotazione di una chiave su cui in precedenza era stata abilitata la rotazione automatica della chiave. La data di rotazione può cambiare molte volte nel corso della durata della chiave.
Ad esempio, se crei una chiave gestita dal cliente il 1° gennaio 2022 e abiliti la rotazione automatica delle chiavi con il periodo di rotazione predefinito di 365 giorni il 15 marzo 2022, AWS KMS ruota il materiale chiave il 15 marzo 2023, il 15 marzo 2024 e successivamente ogni 365 giorni.
Gli esempi seguenti presuppongono che la rotazione automatica dei tasti sia stata abilitata con il periodo di rotazione predefinito di 365 giorni. Questi esempi illustrano casi speciali che potrebbero influire sul periodo di rotazione di una chiave.
+ Disabilitazione della rotazione delle chiavi: se [disabiliti la rotazione automatica delle chiavi](rotating-keys-disable.md) in un determinato momento, la chiave KMS continua a utilizzare la versione del materiale della chiave che utilizzava quando la rotazione era disabilitata. Se abilitate nuovamente la rotazione automatica dei tasti, AWS KMS ruota il materiale chiave in base alla nuova data di attivazione della rotazione.
+ Chiavi KMS disabilitate: sebbene una chiave KMS sia disabilitata, non la ruota. AWS KMS Tuttavia, lo stato della rotazione della chiave non cambia e non è possibile modificarlo quando la chiave KMS è disattivata. Quando la chiave KMS viene riattivata, se il materiale chiave ha superato l'ultima data di rotazione programmata, lo ruota immediatamente. AWS KMS Se il materiale chiave non ha perso l'ultima data di rotazione programmata, AWS KMS riprende la pianificazione di rotazione della chiave originale.
+ Chiavi KMS in attesa di cancellazione: mentre una chiave KMS è in attesa di cancellazione, non la ruota. AWS KMS Lo stato di rotazione della chiave è impostato su `false` e non è possibile modificarlo quando l'eliminazione è in sospeso. Se l'eliminazione è stata annullata, viene ripristinato il precedente stato di rotazione della chiave. Se il materiale chiave ha superato l'ultima data di rotazione programmata, lo ruota immediatamente. AWS KMS Se il materiale chiave non ha perso l'ultima data di rotazione programmata, AWS KMS riprende il programma di rotazione della chiave originale.
**Chiavi gestite da AWS**
AWS KMS ruota automaticamente Chiavi gestite da AWS ogni anno (circa 365 giorni). Non è possibile abilitare o disabilitare la rotazione delle chiavi per le [Chiavi gestite da AWS](concepts.md#aws-managed-key).
Il materiale chiave di un Chiave gestita da AWS viene ruotato per la prima volta un anno dopo la data di creazione e successivamente ogni anno (circa 365 giorni dall'ultima rotazione).
A maggio 2022, AWS KMS ha modificato il programma di rotazione Chiavi gestite da AWS da ogni tre anni (circa 1.095 giorni) a ogni anno (circa 365 giorni).
**Chiavi di proprietà di AWS**
Non è possibile abilitare o disabilitare la rotazione delle chiavi per le Chiavi di proprietà di AWS. La strategia di [rotazione delle chiavi](#rotate-keys) per an Chiave di proprietà di AWS è determinata dal AWS servizio che crea e gestisce la chiave. Per informazioni dettagliate, consulta l'argomento *Crittografia dei dati inattivi* nella guida per l'utente o nella guida per gli sviluppatori del servizio.
**Tasti multiregionali rotanti**
Il comportamento di rotazione varia a seconda che il materiale chiave sia generato da AWS KMS (`AWS_KMS`origine) o importato (`EXTERNAL`origine).
**Chiavi multiregionali con origine `AWS_KMS`**
È possibile abilitare e disabilitare la rotazione automatica ed eseguire la rotazione su richiesta del materiale chiave in chiavi [multiregionali](multi-region-keys-overview.md) con crittografia simmetrica con origine. `AWS_KMS` La rotazione delle chiavi è una [proprietà condivisa](multi-region-keys-overview.md#mrk-sync-properties) delle chiavi multiregionali.
Puoi abilitare e disabilitare la rotazione automatica delle chiavi solo sulla chiave primaria. Si avvia la rotazione su richiesta solo sulla chiave primaria.
+ Quando AWS KMS sincronizza le chiavi multiregionali, copia l'impostazione della proprietà di rotazione dei tasti dalla chiave primaria a tutte le relative chiavi di replica.
+ Quando AWS KMS ruota il materiale chiave, crea nuovo materiale chiave per la chiave primaria e quindi copia il nuovo materiale chiave oltre i confini della regione su tutte le chiavi di replica correlate. Il materiale chiave non esce AWS KMS mai non crittografato. Questo passaggio viene controllato con attenzione per garantire che il materiale chiave sia completamente sincronizzato prima che qualsiasi chiave venga utilizzata in un'operazione di crittografia.
+ AWS KMS non cripta alcun dato con il nuovo materiale chiave finché tale materiale chiave non è disponibile nella chiave primaria e in tutte le relative chiavi di replica.
+ Quando si replica una chiave primaria che è stata ruotata, la nuova chiave di replica contiene il materiale chiave corrente e tutte le versioni precedenti del materiale chiave per le relative chiavi multiregione.
Questo modello assicura che le chiavi multiregione correlate siano completamente interoperabili. Qualsiasi chiave multiregione può decrittare qualsiasi testo cifrato crittografato da una chiave multiregione correlata, anche se il testo cifrato è stato crittografato prima della creazione della chiave.
**Chiavi multiregionali con origine `EXTERNAL`**
È possibile eseguire la rotazione su richiesta del materiale chiave con crittografia simmetrica. Chiavi [multiregionali](multi-region-keys-overview.md) con origine. `EXTERNAL` La rotazione delle chiavi è una [proprietà condivisa](multi-region-keys-overview.md#mrk-sync-properties) delle chiavi multiregionali.
Si avvia la rotazione su richiesta solo sulla chiave primaria dopo aver importato il nuovo materiale chiave nella chiave primaria e in ogni chiave di replica.
+ Quando si importa un nuovo materiale chiave nella chiave primaria, AWS KMS copia l'identificatore del materiale chiave e la descrizione del materiale chiave dalla chiave primaria a tutte le chiavi di replica correlate. Non copia il materiale chiave.
+ È necessario importare lo stesso materiale chiave in ogni chiave di replica singolarmente. Dopo aver importato il materiale chiave in tutte le chiavi multiregionali correlate, è possibile avviare la rotazione su richiesta sulla chiave primaria. Ciò garantisce che i dati AWS KMS non vengano crittografati con il nuovo materiale chiave finché tale materiale chiave non sarà disponibile nella chiave primaria e in tutte le relative chiavi di replica.
+ Ogni materiale chiave contenuto nella chiave primaria o in qualsiasi altra chiave di replica può scadere o essere eliminato indipendentemente dall'altro materiale chiave contenuto nella stessa chiave o in qualsiasi altra chiave multiregionale correlata.
**AWS servizi**
È possibile abilitare la rotazione automatica delle [chiavi gestite dal cliente](concepts.md#customer-mgn-key) utilizzate per la crittografia lato server nei AWS servizi. La rotazione annuale è trasparente e compatibile con AWS i servizi.
**Monitoraggio della rotazione delle chiavi**
Quando AWS KMS ruota il materiale chiave per una chiave [Chiave gestita da AWS](concepts.md#aws-managed-key)o una [chiave gestita dal cliente](concepts.md#customer-mgn-key), scrive un `KMS CMK Rotation` evento su Amazon EventBridge e un [RotateKey evento](ct-rotatekey.md) nel tuo AWS CloudTrail registro. Puoi utilizzare questi record per verificare che la chiave KMS sia stata ruotata.
Puoi utilizzare la AWS Key Management Service console per visualizzare il numero di rotazioni rimanenti su richiesta e un elenco di tutte le rotazioni dei materiali chiave completate per una chiave KMS.
È possibile utilizzare l'[ListKeyRotations](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeyRotations.html)operazione per visualizzare i dettagli delle rotazioni completate.
**Consistenza finale**
La rotazione delle chiavi è soggetta agli stessi eventuali effetti di coerenza AWS KMS delle altre operazioni di gestione. Potrebbe esserci un leggero ritardo prima che il nuovo materiale chiave sia disponibile in AWS KMS. Tuttavia, la rotazione del materiale chiave non causa alcuna interruzione o ritardo nelle operazioni di crittografia. Il materiale chiave corrente viene utilizzato nelle operazioni di crittografia fino a quando il nuovo materiale chiave non è disponibile in AWS KMS. Quando il materiale chiave per una chiave multiregionale viene ruotato automaticamente, AWS KMS utilizza il materiale chiave corrente finché il nuovo materiale chiave non è disponibile in tutte le regioni con una chiave multiregionale correlata.
# Abilita la rotazione automatica dei tasti
Per impostazione predefinita, quando abiliti la *rotazione automatica delle chiavi* per una chiave KMS, AWS KMS genera nuovo materiale crittografico per la chiave KMS ogni anno. Puoi anche specificare un'impostazione personalizzata [rotation-period](rotate-keys.md#rotation-period) per definire il numero di giorni dopo l'attivazione della rotazione automatica delle chiavi che AWS KMS ruoterà il materiale della chiave e il numero di giorni tra ogni rotazione automatica successiva.
La rotazione automatica delle chiavi ha i seguenti vantaggi:
+ Le proprietà della , tra cui l'[ID chiave](concepts.md#key-id-key-id), l'[ARN chiave](concepts.md#key-id-key-ARN), la Regione, le policy e le autorizzazioni, non cambiano quando la chiave viene ruotata.
+ Non è necessario modificare le applicazioni o gli alias che fanno riferimento all'ID o all'ARN della chiave KMS.
+ La rotazione del materiale della chiave non influisce sull'uso della chiave KMS in nessun Servizio AWS.
+ Dopo aver abilitato la rotazione dei tasti, AWS KMS ruota automaticamente la chiave KMS alla data di rotazione successiva definita dal periodo di rotazione. Non devi ricordare o pianificare l'aggiornamento.
È possibile abilitare la rotazione automatica dei tasti nella AWS KMS console o utilizzando l'[EnableKeyRotation](https://docs.aws.amazon.com/kms/latest/APIReference/API_EnableKeyRotation.html)operazione. Per abilitare la rotazione automatica dei tasti, sono necessarie `kms:EnableKeyRotation` le autorizzazioni. Per ulteriori informazioni sulle AWS KMS autorizzazioni, vedere. [Riferimento per le autorizzazioni](kms-api-permissions-reference.md)
## Utilizzo della console AWS KMS
1. Accedi Console di gestione AWS e apri la console AWS Key Management Service (AWS KMS) in [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.
1. Nel riquadro di navigazione, scegli **Chiavi gestite dal cliente**. Non è possibile abilitare o disabilitare la rotazione delle Chiavi gestite da AWS. Queste vengono ruotate automaticamente ogni anno.
1. Scegli l'alias o l'ID chiave di una chiave KMS.
1. Scegliere la scheda **Key rotation (Rotazione chiave)**.
[La scheda **Rotazione delle chiavi** viene visualizzata solo nella pagina di dettaglio delle chiavi KMS con crittografia simmetrica con il materiale chiave AWS KMS generato (l'**origine** è **AWS\$1KMS**), incluse le chiavi KMS di crittografia simmetrica multiregione.](rotate-keys.md#multi-region-rotate)
Non è possibile ruotare automaticamente le chiavi KMS asimmetriche, le chiavi KMS HMAC, le chiavi KMS con [materiale della chiave importato](importing-keys.md) o le chiavi KMS negli [archivi delle chiavi personalizzate](key-store-overview.md#custom-key-store-overview). Tuttavia è possibile [ruotare queste chiavi manualmente](rotate-keys-manually.md).
1. **Nella sezione Rotazione **automatica delle chiavi, scegli Modifica**.**
1. Per **Rotazione dei tasti**, selezionate **Abilita**.
**Nota**
Se una chiave KMS è disabilitata o è in attesa di eliminazione, AWS KMS non ruota il materiale della chiave e non è possibile aggiornare lo stato o il periodo di rotazione automatica delle chiavi. Abilita la chiave KMS o annulla l'eliminazione per aggiornare la configurazione di rotazione automatica delle chiavi. Per informazioni dettagliate, consulta [Come funziona la rotazione delle chiavi](rotate-keys.md#rotate-keys-how-it-works) e [Stati chiave delle AWS KMS chiavi](key-state.md).
1. (Facoltativo) Digitate un periodo di rotazione compreso tra 90 e 2560 giorni. Il valore predefinito è 365 giorni. Se non si specifica un periodo di rotazione personalizzato, AWS KMS ruoterà il materiale chiave ogni anno.
È possibile utilizzare la chiave [kms: RotationPeriodInDays](conditions-kms.md#conditions-kms-rotation-period-in-days) condition per limitare i valori che i principali possono specificare per il periodo di rotazione.
1. Scegli **Save** (Salva).
## Utilizzo dell'API AWS KMS
Puoi utilizzare l'[API AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/APIReference/) per abilitare la rotazione automatica delle chiavi e visualizzare lo stato di rotazione corrente di qualsiasi chiave gestita dal cliente. Questi esempi utilizzano la [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), ma puoi usare anche qualsiasi linguaggio di programmazione supportato.
L'[EnableKeyRotation](https://docs.aws.amazon.com/kms/latest/APIReference/API_EnableKeyRotation.html)operazione consente la rotazione automatica delle chiavi per la chiave KMS specificata. Per identificare la chiave KMS in questa operazione, usa il relativo [ID chiave](concepts.md#key-id-key-id) o la [chiave ARN.](concepts.md#key-id-key-ARN) Per impostazione predefinita, la rotazione automatica è disabilitata per le chiavi gestite dal cliente.
È possibile utilizzare la chiave di [ kms:RotationPeriodInDays](conditions-kms.md#conditions-kms-rotation-period-in-days)condizione per limitare i valori che i committenti possono specificare per il `RotationPeriodInDays` parametro di una richiesta. `EnableKeyRotation`
L'esempio seguente abilita la rotazione delle chiavi con un periodo di rotazione di 180 giorni sulla chiave KMS di crittografia simmetrica specificata e utilizza l'[GetKeyRotationStatus](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyRotationStatus.html)operazione per visualizzare il risultato.
```
$ aws kms enable-key-rotation \
--key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
--rotation-period-in-days 180
$ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
"KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"KeyRotationEnabled": true,
"RotationPeriodInDays": 180,
"NextRotationDate": "2024-02-14T18:14:33.587000+00:00"
}
```
# Disabilita la rotazione automatica delle chiavi
Dopo aver abilitato la rotazione automatica delle chiavi su una chiave gestita dal cliente, puoi scegliere di disabilitarla in qualsiasi momento.
Se disabiliti la rotazione automatica dei tasti, la chiave KMS continua a utilizzare la versione del materiale chiave che utilizzava quando la rotazione era disabilitata. Se abiliti nuovamente la rotazione automatica dei tasti, AWS KMS ruota il materiale chiave in base alla nuova data di attivazione della rotazione.
La disabilitazione della rotazione automatica non influisce sulla capacità di [eseguire rotazioni su richiesta, né annulla le rotazioni](rotating-keys-on-demand.md) su richiesta in corso.
È possibile disabilitare la rotazione automatica dei tasti nella AWS KMS console o utilizzando l'operazione. [DisableKeyRotation](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKeyRotation.html) Per disabilitare la rotazione automatica dei tasti, sono necessarie `kms:DisableKeyRotation` le autorizzazioni. Per ulteriori informazioni sulle AWS KMS autorizzazioni, vedere. [Riferimento per le autorizzazioni](kms-api-permissions-reference.md)
## Utilizzo della console AWS KMS
1. Accedi Console di gestione AWS e apri la console AWS Key Management Service (AWS KMS) in [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.
1. Nel riquadro di navigazione, scegli **Chiavi gestite dal cliente**. Non è possibile abilitare o disabilitare la rotazione delle Chiavi gestite da AWS. Queste vengono ruotate automaticamente ogni anno.
1. Scegli l'alias o l'ID chiave di una chiave KMS.
1. Scegliere la scheda **Key rotation (Rotazione chiave)**.
[La scheda **Rotazione delle chiavi** viene visualizzata solo nella pagina di dettaglio delle chiavi KMS con crittografia simmetrica con il materiale chiave AWS KMS generato (l'**origine** è **AWS\$1KMS**), incluse le chiavi KMS di crittografia simmetrica multiregione.](rotate-keys.md#multi-region-rotate)
Non è possibile ruotare automaticamente le chiavi KMS asimmetriche, le chiavi KMS HMAC, le chiavi KMS con [materiale della chiave importato](importing-keys.md) o le chiavi KMS negli [archivi delle chiavi personalizzate](key-store-overview.md#custom-key-store-overview). Tuttavia è possibile [ruotare queste chiavi manualmente](rotate-keys-manually.md).
1. **Nella sezione Rotazione **automatica delle chiavi, scegli Modifica**.**
1. Per **Rotazione dei tasti**, selezionate **Disabilita**.
**Nota**
Se una chiave KMS è disabilitata o è in attesa di eliminazione, AWS KMS non ruota il materiale della chiave e non è possibile aggiornare lo stato o il periodo di rotazione automatica delle chiavi. Abilita la chiave KMS o annulla l'eliminazione per aggiornare la configurazione di rotazione automatica delle chiavi. Per informazioni dettagliate, consulta [Come funziona la rotazione delle chiavi](rotate-keys.md#rotate-keys-how-it-works) e [Stati chiave delle AWS KMS chiavi](key-state.md).
1. Scegli **Save** (Salva).
## Utilizzo dell'API AWS KMS
Puoi utilizzare l'[API AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/APIReference/) per disabilitare la rotazione automatica delle chiavi e visualizzare lo stato di rotazione corrente di qualsiasi chiave gestita dal cliente. Questo esempio utilizza [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), ma è possibile utilizzare qualsiasi linguaggio di programmazione supportato.
L'[DisableKeyRotation](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKeyRotation.html)operazione disattiva la rotazione automatica dei tasti. Per identificare la chiave KMS in questa operazione, usa il relativo [ID chiave](concepts.md#key-id-key-id) o la [chiave ARN.](concepts.md#key-id-key-ARN) Per impostazione predefinita, la rotazione automatica è disabilitata per le chiavi gestite dal cliente.
L'esempio seguente disattiva la rotazione automatica delle chiavi sulla chiave KMS di crittografia simmetrica specificata e utilizza l'operazione per visualizzare il [GetKeyRotationStatus](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyRotationStatus.html)risultato.
```
$ aws kms disable-key-rotation --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
$ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
"KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"KeyRotationEnabled": false
}
```
# Esegui la rotazione dei tasti su richiesta
È possibile eseguire la rotazione su richiesta del materiale chiave nelle chiavi KMS gestite dal cliente, indipendentemente dal fatto che la rotazione automatica delle chiavi sia abilitata o meno. La disabilitazione della rotazione automatica ([DisableKeyRotation](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKeyRotation.html)) non influisce sulla capacità di eseguire rotazioni su richiesta, né annulla le rotazioni su richiesta in corso. Le rotazioni su richiesta non modificano i programmi di rotazione automatici esistenti. Ad esempio, considera una chiave KMS con rotazione automatica abilitata con un periodo di rotazione di 730 giorni. Se la chiave è programmata per ruotare automaticamente il 14 aprile 2024 e tu esegui una rotazione su richiesta il 10 aprile 2024, la chiave ruoterà automaticamente, come previsto, il 14 aprile 2024 e successivamente ogni 730 giorni.
È possibile eseguire la rotazione dei tasti su richiesta un massimo di 25 volte per chiave KMS. Puoi utilizzare la AWS KMS console per visualizzare il numero di rotazioni su richiesta rimanenti disponibili per una chiave KMS.
La rotazione delle chiavi su richiesta è supportata solo sulle chiavi KMS con crittografia [simmetrica](symm-asymm-choose-key-spec.md#symmetric-cmks). [Non è possibile eseguire la rotazione su richiesta di chiavi KMS [asimmetriche, chiavi KMS HMAC o chiavi KMS](symmetric-asymmetric.md)[in un archivio di chiavi personalizzato](hmac.md).](key-store-overview.md#custom-key-store-overview) Per eseguire la rotazione su richiesta di un set di chiavi [multiregionali correlate, richiama la rotazione su richiesta sulla chiave primaria](rotate-keys.md#multi-region-rotate).
Gli utenti autorizzati con `kms:RotateKeyOnDemand` e `kms:GetKeyRotationStatus` autorizzazioni possono utilizzare la AWS KMS console e l' AWS KMS API per avviare la rotazione delle chiavi su richiesta e visualizzare lo stato di rotazione delle chiavi. [ListKeyRotations](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeyRotations.html)Da utilizzare per visualizzare le rotazioni completate per una chiave KMS.
**Topics**
+ [Avvio della rotazione dei tasti su richiesta (console)](#rotate-on-demand-console)
+ [Avvio della rotazione delle chiavi su richiesta (API)AWS KMS](#rotate-on-demand-api)
## Avvio della rotazione dei tasti su richiesta (console)
1. [Accedi a Console di gestione AWS e apri la console AWS Key Management Service (AWS KMS) su https://console.aws.amazon.com /kms.](https://console.aws.amazon.com/kms)
1. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.
1. Nel riquadro di navigazione, scegli **Chiavi gestite dal cliente**. (Non è possibile eseguire la rotazione su richiesta di. Chiavi gestite da AWS Vengono ruotate automaticamente ogni anno.)
1. Scegli l'alias o l'ID chiave di una chiave KMS.
1. Scegliete la **scheda Materiale chiave e rotazioni.**
La scheda **Materiale chiave e rotazioni** viene visualizzata solo nella pagina di dettaglio delle chiavi KMS con crittografia simmetrica che supportano la rotazione automatica o su richiesta. **Ciò include le chiavi KMS con materiale chiave AWS KMS generato (**AWS\$1KMS**origine) e le chiavi KMS con materiale chiave importato (origine ESTERNA)**
[Non è possibile eseguire la rotazione su richiesta di chiavi KMS asimmetriche, chiavi KMS HMAC o chiavi KMS negli archivi di chiavi personalizzati.](key-store-overview.md#custom-key-store-overview) Tuttavia è possibile [ruotare queste chiavi manualmente](rotate-keys-manually.md).
1. **Scegli** Ruota ora. **Per le chiavi di crittografia simmetriche con materiale chiave importato, l'opzione **Ruota ora** è disponibile solo se in precedenza hai [importato nuovo materiale chiave](importing-keys-import-key-material.md#import-new-key-material) e lo stato di rotazione è in sospeso.**
**Nota**
Per le chiavi multiregionali, è possibile ruotare solo la chiave Region principale.
1. Leggi e considera l'avviso e le informazioni sul numero di rotazioni rimanenti su richiesta della chiave. Verranno inoltre visualizzate informazioni come l'ID, la descrizione e l'ora di scadenza del materiale chiave che diventeranno aggiornate dopo la rotazione. Se decidi di non voler procedere con la rotazione su richiesta, scegli **Annulla**.
1. Scegli il **tasto Rotazione** per confermare la rotazione su richiesta.
**Nota**
La rotazione su richiesta è soggetta agli stessi eventuali effetti di coerenza delle altre operazioni di gestione. AWS KMS Potrebbe esserci un leggero ritardo prima che il nuovo materiale chiave sia disponibile in AWS KMS. Il banner nella parte superiore della console ti avvisa quando la rotazione su richiesta è completa.
## Avvio della rotazione delle chiavi su richiesta (API)AWS KMS
È possibile utilizzare l'[API AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/APIReference/) per avviare la rotazione delle chiavi su richiesta e visualizzare lo stato di rotazione corrente di qualsiasi chiave gestita dal cliente. Questo esempio utilizza il [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), ma è possibile utilizzare qualsiasi linguaggio di programmazione supportato.
L'[RotateKeyOnDemand](https://docs.aws.amazon.com/kms/latest/APIReference/API_RotateKeyOnDemand.html)operazione avvia immediatamente la rotazione delle chiavi su richiesta per la chiave KMS specificata. Per identificare la chiave KMS in queste operazioni, utilizza l'[ID chiave](concepts.md#key-id-key-id) o l'[ARN di chiave](concepts.md#key-id-key-ARN).
L'esempio seguente avvia la rotazione delle chiavi su richiesta sulla chiave KMS di crittografia simmetrica specificata e utilizza l'[GetKeyRotationStatus](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyRotationStatus.html)operazione per verificare che la rotazione su richiesta sia in corso. `OnDemandRotationStartDate`Nella `kms:GetKeyRotationStatus` risposta identifica la data e l'ora in cui è stata avviata una rotazione su richiesta in corso. In questo esempio, la chiave KMS ha anche la rotazione automatica abilitata con un periodo di 365 giorni.
```
$ aws kms rotate-key-on-demand --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
"KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
}
$ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
"KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"KeyRotationEnabled": true,
"NextRotationDate": "2024-03-14T18:14:33.587000+00:00",
"OnDemandRotationStartDate": "2024-02-24T18:44:48.587000+00:00"
"RotationPeriodInDays": 365
}
```
Se la chiave KMS non supporta la rotazione automatica o non ha la rotazione automatica abilitata, la `kms:GetKeyRotationStatus` risposta avrebbe meno campi, come mostrato nell'esempio seguente:
```
$ aws kms rotate-key-on-demand --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
"KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
}
$ aws kms get-key-rotation-status --key-id 1234abcd-12ab-34cd-56ef-1234567890ab
{
"KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"KeyRotationEnabled": false,
"OnDemandRotationStartDate": "2024-02-24T18:44:48.587000+00:00"
}
```
# Elenca le rotazioni e i materiali chiave
Le chiavi KMS che supportano la rotazione automatica o su richiesta possono avere più materiali chiave associati. Queste chiavi hanno un materiale chiave iniziale e un materiale chiave aggiuntivo per ogni rotazione automatica o su richiesta.
Gli utenti autorizzati con `kms:ListKeyRotations` autorizzazione possono utilizzare la AWS KMS console e l'[ListKeyRotations](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeyRotations.html)API per elencare tutti i materiali chiave associati a una chiave KMS, compresi quelli derivanti dalle rotazioni automatiche e su richiesta completate.
**Topics**
+ [Elenca le rotazioni e i materiali chiave (console)](#list-rotations-console)
+ [Rotazioni degli elenchi e materiali chiave (API)AWS KMS](#list-rotations-api)
## Elenca le rotazioni e i materiali chiave (console)
1. Accedi Console di gestione AWS e apri la console AWS Key Management Service (AWS KMS) in [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.
1. Nel riquadro di navigazione, scegli **Chiavi gestite dal cliente**.
1. Scegli l'alias o l'ID chiave di una chiave KMS.
1. Scegliete la scheda **Materiale chiave** e rotazioni.
+ La scheda **Materiale chiave e rotazioni** viene visualizzata solo nella pagina di dettaglio delle chiavi KMS con crittografia simmetrica che supportano la rotazione automatica o su richiesta. Ciò include le chiavi KMS con materiale chiave AWS KMS generato (`AWS_KMS`origine) e le chiavi KMS con materiale chiave importato (origine). `EXTERNAL`
+ La tabella **Materiali chiave** nella scheda **Materiale chiave e rotazioni** elenca tutti i materiali chiave associati alla chiave KMS. Per ogni materiale chiave, la voce corrispondente mostra l'identificatore univoco assegnato da AWS KMS, la data di rotazione e lo stato del materiale chiave. La data di rotazione indica quando il materiale chiave è diventato attuale dopo una rotazione della chiave automatica o su richiesta. Non esiste una data di rotazione associata al primo materiale o al materiale `Pending rotation` chiave. Lo stato del materiale chiave determina il modo in cui AWS KMS viene utilizzato il materiale chiave. Il materiale chiave corrente viene utilizzato sia per la crittografia che per la decrittografia. Il materiale chiave non corrente viene utilizzato solo per la decrittografia. Lo stato chiave del materiale `Pending rotation` indica che il materiale chiave è predisposto per la rotazione. Questo materiale chiave non viene utilizzato per alcuna operazione crittografica finché una rotazione della chiave su richiesta non lo rende il materiale chiave corrente. Le informazioni aggiuntive visualizzate per il materiale chiave dipendono dal tipo di chiave KMS.
+ Per le chiavi KMS a crittografia simmetrica con `AWS_KMS` origine, ogni riga mostra anche il tipo di rotazione, ovvero. `On-demand` `Automatic`
+ Le chiavi KMS di crittografia simmetrica con materiale chiave importato (`EXTERNAL`origine) supportano solo la `On-demand` rotazione, quindi non esiste una colonna di tipo di rotazione. **Invece, ogni riga mostra uno stato di importazione, una descrizione specificata dall'utente, informazioni sulla scadenza e un menu Azioni.** Lo stato di importazione è **Importato**, a indicare che il materiale chiave è disponibile all'interno, AWS KMS oppure **In attesa di importazione**, indica che il materiale chiave non è disponibile all'interno. AWS KMS Il menu **Azioni** può essere utilizzato per eliminare il materiale chiave importato o reimportare il materiale chiave. L'azione **Elimina materiale chiave** è disabilitata se lo stato di importazione del materiale chiave è **In attesa di importazione.** L'azione **Reimport key material** è sempre disponibile. Non è necessario attendere che un materiale chiave scada o venga eliminato prima di reimportarlo.
## Rotazioni degli elenchi e materiali chiave (API)AWS KMS
È possibile utilizzare l'[API AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/APIReference/) per avviare la rotazione delle chiavi su richiesta e visualizzare lo stato di rotazione corrente di qualsiasi chiave gestita dal cliente. Questo esempio utilizza [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), ma è possibile utilizzare qualsiasi linguaggio di programmazione supportato.
L'[ListKeyRotations](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeyRotations.html)operazione elenca tutte le rotazioni e i materiali chiave per la chiave KMS specificata. Per identificare la chiave KMS in queste operazioni, utilizza l'[ID chiave](concepts.md#key-id-key-id) o l'[ARN di chiave](concepts.md#key-id-key-ARN).
Questa operazione supporta un parametro opzionale`IncludeKeyMaterial`. Il valore predefinito di questo parametro è `ROTATIONS_ONLY`. Se si omette questo parametro, AWS KMS restituisce informazioni sui materiali chiave creati dalla rotazione automatica o su richiesta dei tasti. Quando specificate un valore di`ALL_KEY_MATERIAL`, AWS KMS aggiunge alla risposta il primo materiale chiave e qualsiasi materiale chiave importato in attesa di rotazione. Questo parametro può essere utilizzato solo con chiavi KMS che supportano la rotazione automatica o su richiesta.
```
$ aws kms list-key-rotations --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
--inlcude-key-material ALL_KEY_MATERIAL
{
"Rotations": [
{
"KeyId": 1234abcd-12ab-34cd-56ef-1234567890ab,
"KeyMaterialId": 123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef0,
"KeyMaterialDescription": "KeyMaterialA",
"ImportState": "PENDING_IMPORT",
"KeyMaterialState": "NON_CURRENT"
},
{
"KeyId": 1234abcd-12ab-34cd-56ef-1234567890ab,
"KeyMaterialId": 96083e4fb6dbc41d77578a213a6b6669c044dd4c143e96755396d2bf11fd6068,
"ImportState": "IMPORTED",
"KeyMaterialState": "CURRENT",
"ExpirationModel": "KEY_MATERIAL_DOES_NOT_EXPIRE",
"RotationDate": "2025-05-01T15:50:51.045000-07:00",
"RotationType": "ON_DEMAND"
}
],
"Truncated": false
}
```
# Ruota i tasti manualmente
Potresti voler creare una nuova chiave KMS e utilizzarla al posto di una chiave KMS corrente invece di utilizzare la rotazione automatica o su richiesta. Quando la nuova chiave KMS ha materiale crittografico diverso rispetto a quello dell'attuale chiave KMS, l'utilizzo della nuova chiave KMS ha lo stesso effetto che si ottiene modificando la chiave di supporto in una chiave KMS esistente. Il processo di sostituzione di una chiave KMS con un'altra è noto come *rotazione manuale delle chiavi*.
![\[Diagram showing manual key rotation process with application, old key, and new key.\]](http://docs.aws.amazon.com/it_it/kms/latest/developerguide/images/key-rotation-manual.png)
[La rotazione manuale è un'ottima scelta quando desideri ruotare chiavi KMS che non sono idonee alla rotazione automatica o su richiesta, come le chiavi KMS asimmetriche, le chiavi KMS HMAC e le chiavi KMS negli archivi di chiavi personalizzati.](key-store-overview.md#custom-key-store-overview)
**Nota**
Quando inizi a utilizzare la nuova chiave KMS, assicurati di mantenere attiva la chiave KMS originale in modo da poter decrittografare i dati crittografati dalla chiave KMS originale. AWS KMS
Quando ruoti manualmente le chiavi KMS, devi aggiornare anche i riferimenti all'ID o all'ARN della chiave KMS nelle applicazioni. Gli [alias](kms-alias.md), che consentono di associare un nome descrittivo a una chiave KMS, agevolano questo processo. Usa un alias per fare riferimento a una chiave KMS nelle tue applicazioni. Quindi, se desideri modificare la chiave KMS utilizzata dall'applicazione, invece di modificare il codice dell'applicazione, modifica la chiave KMS di destinazione dell'alias. Per informazioni dettagliate, vedi [Scopri come utilizzare gli alias nelle tue applicazioni](alias-using.md).
**Nota**
[https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_Sign.html) Gli alias non sono consentiti nelle operazioni che gestiscono le chiavi KMS, come o. [DisableKey[ScheduleKeyDeletion](https://docs.aws.amazon.com/kms/latest/APIReference/API_ScheduleKeyDeletion.html)](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html)
Quando richiami l'operazione [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) su chiavi KMS di crittografia simmetrica ruotate manualmente, ometti il parametro dal comando. `KeyId` AWS KMS utilizza automaticamente la chiave KMS che ha crittografato il testo cifrato.
Il `KeyId` parametro è obbligatorio quando si chiama `Decrypt` o si [verifica](https://docs.aws.amazon.com/kms/latest/APIReference/API_Verify.html) con una chiave KMS asimmetrica o si chiama con una chiave KMS HMAC. [VerifyMac](https://docs.aws.amazon.com/kms/latest/APIReference/API_VerifyMac.html) Queste richieste avranno esito negativo se il valore del parametro `KeyId` è un alias che non punta più alla chiave KMS che ha eseguito l'operazione di crittografia, ad esempio quando una chiave viene ruotata manualmente. Per evitare questo errore, è necessario tenere traccia e specificare la chiave KMS corretta per ciascuna operazione.
Per modificare la chiave KMS di destinazione di un alias, utilizza l'operazione nell'API. [UpdateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateAlias.html) AWS KMS Ad esempio, questo comando aggiorna l'alias `alias/TestKey` per puntare a una nuova chiave KMS. Poiché l'operazione non restituisce alcun output, l'esempio utilizza l'[ListAliases](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListAliases.html)operazione per mostrare che l'alias è ora associato a una chiave KMS diversa e il `LastUpdatedDate` campo è aggiornato. I ListAliases comandi utilizzano il [`query`parametro](https://docs.aws.amazon.com/cli/latest/userguide/cli-usage-filter.html#cli-usage-filter-client-side-specific-values) in AWS CLI per ottenere solo l'`alias/TestKey`alias.
```
$ aws kms list-aliases --query 'Aliases[?AliasName==`alias/TestKey`]'
{
"Aliases": [
{
"AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/TestKey",
"AliasName": "alias/TestKey",
"TargetKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"CreationDate": 1521097200.123,
"LastUpdatedDate": 1521097200.123
},
]
}
$ aws kms update-alias --alias-name alias/TestKey --target-key-id 0987dcba-09fe-87dc-65ba-ab0987654321
$ aws kms list-aliases --query 'Aliases[?AliasName==`alias/TestKey`]'
{
"Aliases": [
{
"AliasArn": "arn:aws:kms:us-west-2:111122223333:alias/TestKey",
"AliasName": "alias/TestKey",
"TargetKeyId": "0987dcba-09fe-87dc-65ba-ab0987654321",
"CreationDate": 1521097200.123,
"LastUpdatedDate": 1604958290.722
},
]
}
```
# Cambia la chiave primaria in un set di chiavi multiregionali
Ogni set di chiavi multiregione correlate deve avere una chiave primaria. Ma puoi cambiare la chiave primaria. Questa azione, nota come *aggiornamento della Regione principale*, converte la chiave primaria corrente in una chiave di replica e converte una delle chiavi di replica correlate nella chiave primaria. È possibile eseguire questa operazione se è necessario eliminare la chiave primaria corrente mantenendo le chiavi di replica o individuare la chiave primaria nella stessa Regione degli amministratori delle chiavi.
È possibile selezionare qualsiasi chiave di replica correlata come nuova chiave primaria. Sia la chiave primaria che la chiave di replica devono avere come [stato della chiave](key-state.md) `Enabled` all'avvio dell'operazione.
**Lo stato della `Updating` chiave**
Anche dopo il completamento dell'`UpdatePrimaryRegion`operazione, il processo di aggiornamento della regione principale potrebbe essere ancora in corso per qualche secondo. Durante questo periodo, le chiavi primarie vecchie e nuove hanno uno stato di chiave transitorio [Aggiornamento in corso](#update-primary-keystate). Quando lo stato della chiave è `Updating`, è possibile utilizzare le chiavi nelle operazioni di crittografia, ma non è possibile replicare la nuova chiave primaria o eseguire determinate operazioni di gestione, ad esempio l'attivazione o la disattivazione di queste chiavi. Operazioni come [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)potrebbero visualizzare sia la vecchia che la nuova chiave primaria come repliche. Lo stato della chiave `Enabled` viene ripristinato al termine dell'aggiornamento.
Per informazioni sull'effetto dello stato della chiave `Updating`, consulta [Stati chiave delle AWS KMS chiavi](key-state.md).
**Come funziona**
Supponi di avere una chiave primaria negli Stati Uniti orientali (Virginia settentrionale) (us-east-1) e una chiave replica in Europa (Irlanda) (eu-west-1). È possibile utilizzare la funzionalità di aggiornamento per modificare la chiave primaria negli Stati Uniti orientali (Virginia settentrionale) (us-east-1) in una chiave di replica e modificare la chiave di replica in Europa (Irlanda) (eu-west-1) nella chiave primaria.
![\[Aggiornamento della chiave principale\]](http://docs.aws.amazon.com/it_it/kms/latest/developerguide/images/multi-region-keys-update-sm.png)
Al termine del processo di aggiornamento, la chiave multiregione nella Regione Europa (Irlanda) (eu-west-1) è una chiave primaria multiregione e la chiave nella Regione Stati Uniti orientali (Virginia) (us-est-1) è la chiave di replica. Se sono presenti altre chiavi di replica correlate, queste diventano repliche della nuova chiave primaria. La prossima volta che AWS KMS sincronizzerà le proprietà condivise delle chiavi multiregionali, otterrà le [proprietà condivise](multi-region-keys-overview.md#mrk-sync-properties) dalla nuova chiave primaria e le copierà nelle relative chiavi di replica, inclusa la precedente chiave primaria.
L'operazione di aggiornamento non ha alcun effetto sull'[ARN della chiave](concepts.md#key-id-key-ARN)di qualsiasi chiave multiregione. Inoltre, non ha alcun effetto sulle proprietà condivise, come il materiale chiave, o sulle proprietà indipendenti, come la policy chiave. Tuttavia, potresti voler [aggiornare la policy chiave](key-policy-modifying.md) della nuova chiave primaria. Ad esempio, potresti voler aggiungere [kms: ReplicateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReplicateKey.html) permission for trusted principals alla nuova chiave primaria e rimuoverla dalla nuova chiave di replica.
## Aggiorna la regione principale
È possibile convertire una chiave di replica in una chiave primaria, che trasforma la precedente chiave primaria in una replica. Per aggiornare la regione principale, è necessaria l'UpdatePrimaryRegionautorizzazione [kms:](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdatePrimaryRegion.html) in entrambe le regioni.
Puoi aggiornare la regione principale nella AWS KMS console o utilizzando l'[UpdatePrimaryRegion](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdatePrimaryRegion.html)operazione.
### Utilizzo della AWS KMS console
È possibile aggiornare la chiave primaria nella AWS KMS console. Inizia nella pagina dei dettagli delle chiavi per la chiave primaria corrente.
1. Accedi a Console di gestione AWS e apri la console AWS Key Management Service (AWS KMS) in [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.
1. Nel riquadro di navigazione, scegli **Chiavi gestite dal cliente**.
1. Selezionare l'alias o l'ID chiave della [chiave primaria multiregione](multi-region-keys-overview.md#mrk-primary-key). In questo modo si apre la pagina dei dettagli delle chiavi per la chiave primaria.
Per identificare una chiave primaria multiregione, utilizza l'icona dello strumento nell'angolo in alto a destra per aggiungere la colonna **Regionalità** nella tabella.
1. Seleziona la tab **Regionalità**.
1. Nella sezione **Chiave primaria**, scegli **Modifica Regione primaria**.
1. Scegliere la Regione della nuova chiave primaria. È possibile scegliere una sola Regione dal menu.
Il menu **Modifica Regioni principali** include solo le Regioni che dispongono di una chiave multiregione correlata. Potresti non avere l'[autorizzazione per aggiornare la Regione primaria](multi-region-keys-auth.md#mrk-auth-update) in tutte le Regioni del menu.
1. Scegli **Modifica Regione primaria**.
### Utilizzando l'API AWS KMS
Per modificare la chiave primaria in un set di chiavi multiregionali correlate, utilizzare l'[UpdatePrimaryRegion](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdatePrimaryRegion.html)operazione.
Usa il parametro `KeyId` per identificare la chiave primaria corrente. Utilizzate il `PrimaryRegion` parametro per indicare Regione AWS la nuova chiave primaria. Se la chiave primaria non dispone già di una replica nella nuova Regione primaria, l'operazione ha esito negativo.
Nell'esempio seguente la chiave primaria viene modificata da chiave multiregione nella Regione `us-west-2` a sua replica nella Regione `eu-west-1`. Il parametro `KeyId` identifica la chiave primaria corrente nella Regione `us-west-2`. Il `PrimaryRegion` parametro specifica Regione AWS la nuova chiave primaria,`eu-west-1`.
```
$ aws kms update-primary-region \
--key-id arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \
--primary-region eu-west-1
```
In caso di esito positivo, questa operazione non restituisce alcun output; solo il codice di stato HTTP. Per vedere l'effetto, chiamate l'[DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)operazione su uno dei tasti multiregione. Potresti dover attendere fino a quando lo stato della chiave ritorna `Enabled`. Quando lo stato della chiave è [Aggiornamento in corso](#update-primary-keystate), i valori per la chiave potrebbero essere ancora in flusso.
Ad esempio, la seguente chiamata `DescribeKey` ottiene i dettagli sulla chiave multiregione nella Regione `eu-west-1`. L'output indica che la chiave multiregione nella Regione `eu-west-1` è ora la chiave primaria. La chiave multiregione correlata (stesso ID chiave) nella Regione `us-west-2` è ora una chiave di replica.
```
$ aws kms describe-key \
--key-id arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab \
{
"KeyMetadata": {
"AWSAccountId": "111122223333",
"KeyId": "mrk-1234abcd12ab34cd56ef1234567890ab",
"Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
"CreationDate": 1609193147.831,
"Enabled": true,
"Description": "multi-region-key",
"KeySpec": "SYMMETRIC_DEFAULT",
"KeyState": "Enabled",
"KeyUsage": "ENCRYPT_DECRYPT",
"Origin": "AWS_KMS",
"KeyManager": "CUSTOMER",
"CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
"EncryptionAlgorithms": [
"SYMMETRIC_DEFAULT"
],
"MultiRegion": true,
"MultiRegionConfiguration": {
"MultiRegionKeyType": "PRIMARY",
"PrimaryKey": {
"Arn": "arn:aws:kms:eu-west-1:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
"Region": "eu-west-1"
},
"ReplicaKeys": [
{
"Arn": "arn:aws:kms:us-west-2:111122223333:key/mrk-1234abcd12ab34cd56ef1234567890ab",
"Region": "us-west-2"
}
]
}
}
}
```