Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Utilizzo di chiavi gestite dal cliente in Amazon QLDB
Puoi utilizzare l'API Console di gestione AWS, the AWS Command Line Interface (AWS CLI) o QLDB per specificare AWS KMS key i registri nuovi e quelli esistenti in Amazon QLDB. I seguenti argomenti descrivono come gestire e monitorare l'utilizzo delle chiavi gestite dai clienti in QLDB.
**Topics**
+ [Prerequisiti](#encryption-at-rest.using-cust-keys.prereqs)
+ [Specificando il AWS KMS key per un nuovo libro contabile](#encryption-at-rest.using-cust-keys.specify)
+ [Aggiornamento AWS KMS key di un libro mastro esistente](#encryption-at-rest.using-cust-keys.update)
+ [Monitoraggio di AWS KMS keys](#encryption-at-rest.using-cust-keys.monitor)
## Prerequisiti
Prima di poter proteggere un registro QLDB con una chiave gestita dal cliente, devi prima creare la chiave in (). AWS Key Management Service AWS KMSÈ inoltre necessario specificare una politica chiave che consenta a QLDB di creare sovvenzioni in tal senso per conto AWS KMS key dell'utente.
**Creazione di una chiave gestita dal cliente**
*Per creare una chiave gestita dal cliente, segui i passaggi descritti in [Creazione di chiavi KMS con crittografia simmetrica](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) nella Guida per gli AWS Key Management Service sviluppatori.* [QLDB non supporta le chiavi asimmetriche.](https://docs.aws.amazon.com/kms/latest/developerguide/symmetric-asymmetric.html)
**Impostazione di una policy delle chiavi**
Le policy chiave sono il modo principale per controllare l'accesso alle chiavi gestite dai clienti. AWS KMS Ogni chiave gestita dal cliente deve avere esattamente una politica chiave. Le istruzioni nel documento di policy delle chiavi determina chi è autorizzato a utilizzare la chiave KMS e come. Per ulteriori informazioni, vedere [Utilizzo delle politiche chiave in AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html).
Puoi specificare una politica chiave quando crei la tua chiave gestita dai clienti. Per modificare una politica chiave per una chiave gestita dal cliente esistente, vedi [Modifica di una politica chiave](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html).
Per consentire a QLDB di utilizzare la chiave gestita dal cliente, la policy chiave deve includere le autorizzazioni per le seguenti azioni: AWS KMS
+ [kms: CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) — Aggiunge una [concessione a una chiave gestita](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) dal cliente. Concede il controllo dell'accesso a una chiave KMS specificata.
[Quando si crea o si aggiorna un registro con una chiave gestita dal cliente specificata, QLDB crea concessioni che consentono l'accesso alle operazioni di concessione richieste.](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html#terms-grant-operations) Le operazioni di concessione includono quanto segue:
+ [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)
+ [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)
+ [Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html)
+ [kms: DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) — Restituisce informazioni dettagliate su una chiave gestita dal cliente. QLDB utilizza queste informazioni per convalidare la chiave.
**Esempio di politica chiave**
Di seguito è riportato un esempio di policy chiave che è possibile utilizzare per QLDB. Questa politica consente ai responsabili autorizzati a utilizzare QLDB dall'`111122223333`account di richiamare le operazioni `CreateGrant` e `DescribeKey` sulla risorsa. `arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab`
Per utilizzare questa politica, sostituisci e *us-east-1**111122223333*, *1234abcd-12ab-34cd-56ef-1234567890ab* nell'esempio, con le tue informazioni.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid" : "Allow access to principals authorized to use Amazon QLDB",
"Effect" : "Allow",
"Principal" : {
"AWS" : "*"
},
"Action" : [
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource" : "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"Condition" : {
"StringEquals" : {
"kms:ViaService" : "qldb.us-east-1.amazonaws.com",
"kms:CallerAccount" : "111122223333"
}
}
}
]
}
```
## Specificando il AWS KMS key per un nuovo libro contabile
Segui questi passaggi per specificare una chiave KMS quando crei un nuovo libro mastro utilizzando la console QLDB o il. AWS CLI
Puoi specificare una chiave gestita dal cliente utilizzando un ID, un alias o Amazon Resource Name (ARN). *Per ulteriori informazioni, consulta [Key identifiers (KeyId)](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-id) nella Developer Guide.AWS Key Management Service *
**Nota**
Le chiavi interregionali non sono supportate. La chiave KMS specificata deve trovarsi nello Regione AWS stesso registro.
### Creazione di un libro mastro (console)
1. [Accedi a e apri Console di gestione AWS la console Amazon QLDB all'indirizzo /qldb. https://console.aws.amazon.com](https://console.aws.amazon.com/qldb)
1. **Scegli** Create Ledger.
1. Nella pagina **Crea libro contabile**, procedi come segue:
+ **Informazioni sul libro contabile**: immettere un **nome di libro contabile** univoco tra tutti i libri contabili dell'area corrente e di quella regione. Account AWS
+ **Modalità autorizzazioni: scegli una modalità** di autorizzazione da assegnare al registro:
+ **Consenti tutto**
+ **Standard** (*consigliato*)
+ **Crittografa i dati inattivi: scegli il tipo di chiave KMS da utilizzare per la crittografia a riposo**:
+ **Usa una chiave KMS di AWS proprietà**: utilizza una chiave KMS di proprietà e gestita da per AWS tuo conto. Questa è l'opzione predefinita e non richiede alcuna configurazione aggiuntiva.
+ **Scegli una AWS KMS chiave diversa**: utilizza una chiave KMS con crittografia simmetrica nel tuo account che crei, possiedi e gestisci.
Per creare una nuova chiave utilizzando la AWS KMS console, scegli **Crea una** chiave. AWS KMS Per ulteriori informazioni, consulta [Creazione di chiavi KMS di crittografia simmetrica](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) nella *Guida per gli sviluppatori di AWS Key Management Service *.
Per utilizzare una chiave KMS esistente, scegline una dall'elenco a discesa o specifica un ARN per la chiave KMS.
1. **Quando le impostazioni sono quelle che desideri, scegli Crea registro.**
**Puoi accedere al registro QLDB quando il suo stato diventa Attivo.** Questo processo può richiedere diversi minuti.
### Creazione di un registro ()AWS CLI
Utilizzare il AWS CLI per creare un registro in QLDB con la chiave Chiave di proprietà di AWS predefinita o gestita dal cliente.
**Example — Per creare un libro mastro con il valore predefinito Chiave di proprietà di AWS**
```
aws qldb create-ledger --name my-example-ledger --permissions-mode STANDARD
```
**Example — Per creare un libro mastro con una chiave gestita dal cliente**
```
aws qldb create-ledger \
--name my-example-ledger \
--permissions-mode STANDARD \
--kms-key arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
```
## Aggiornamento AWS KMS key di un libro mastro esistente
Puoi anche utilizzare la console QLDB o aggiornare AWS CLI la chiave KMS di un registro esistente con una chiave gestita dal cliente in qualsiasi momento. Chiave di proprietà di AWS
**Nota**
Amazon QLDB ha lanciato il supporto per la AWS KMS keys gestione dei clienti il 22 luglio 2021. Tutti i registri creati prima del lancio sono protetti per impostazione Chiavi di proprietà di AWS predefinita, ma al momento non sono idonei per la crittografia a riposo utilizzando chiavi gestite dal cliente.
Puoi visualizzare l'ora di creazione del tuo libro mastro sulla console QLDB.
Le modifiche principali in QLDB sono asincrone. Il registro è completamente accessibile senza alcun impatto sulle prestazioni durante l'elaborazione della modifica chiave. Il tempo necessario per aggiornare una chiave varia a seconda delle dimensioni del registro.
Puoi specificare una chiave gestita dal cliente utilizzando un ID, un alias o Amazon Resource Name (ARN). *Per ulteriori informazioni, consulta [Key identifiers (KeyId)](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-id) nella Developer Guide.AWS Key Management Service *
**Nota**
Le chiavi interregionali non sono supportate. La chiave KMS specificata deve trovarsi nello Regione AWS stesso registro.
### Aggiornamento di un registro (console)
1. [Accedi a e apri Console di gestione AWS la console Amazon QLDB all'indirizzo /qldb. https://console.aws.amazon.com](https://console.aws.amazon.com/qldb)
1. **Nel pannello di navigazione, scegli Ledgers.**
1. **Nell'elenco dei libri contabili, seleziona il libro contabile che desideri aggiornare, quindi scegli Modifica libro contabile.**
1. Nella pagina **Modifica registro**, scegli il tipo di chiave KMS da utilizzare per la crittografia a riposo:
+ **Usa una chiave KMS di AWS proprietà**: utilizza una chiave KMS di proprietà e gestita da per AWS tuo conto. Questa è l'opzione predefinita e non richiede alcuna configurazione aggiuntiva.
+ **Scegli una AWS KMS chiave diversa**: utilizza una chiave KMS con crittografia simmetrica nel tuo account che crei, possiedi e gestisci.
Per creare una nuova chiave utilizzando la AWS KMS console, scegli **Crea una** chiave. AWS KMS Per ulteriori informazioni, consulta [Creazione di chiavi KMS di crittografia simmetrica](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) nella *Guida per gli sviluppatori di AWS Key Management Service *.
Per utilizzare una chiave KMS esistente, scegline una dall'elenco a discesa o specifica un ARN per la chiave KMS.
1. Scegli **Conferma modifiche**.
### Aggiornamento di un libro mastro ()AWS CLI
Utilizzare il AWS CLI per aggiornare un registro esistente in QLDB con la chiave Chiave di proprietà di AWS predefinita o gestita dal cliente.
**Example — Per aggiornare un libro mastro con quello predefinito Chiave di proprietà di AWS**
```
aws qldb update-ledger --name my-example-ledger --kms-key AWS_OWNED_KMS_KEY
```
**Example — Aggiornare un registro con una chiave gestita dal cliente**
```
aws qldb update-ledger \
--name my-example-ledger \
--kms-key arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
```
## Monitoraggio di AWS KMS keys
Se utilizzi una chiave gestita dal cliente per proteggere i tuoi registri Amazon QLDB, puoi utilizzare [AWS CloudTrail CloudWatch ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)[Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) Logs per tenere traccia delle richieste a cui QLDB invia per tuo conto. AWS KMS [https://docs.aws.amazon.com/kms/latest/developerguide/monitoring-overview.html](https://docs.aws.amazon.com/kms/latest/developerguide/monitoring-overview.html)
Gli esempi seguenti sono le voci di CloudTrail registro relative alle operazioni `CreateGrant``GenerateDataKey`,`Decrypt`,`Encrypt`, e`DescribeKey`.
**CreateGrant**
Quando specifichi una chiave gestita dal cliente per proteggere il tuo registro, QLDB `CreateGrant` invia richieste AWS KMS a tuo nome per consentire l'accesso alla tua chiave KMS. Inoltre, QLDB utilizza `RetireGrant` l'operazione per rimuovere le concessioni quando si elimina un registro.
Le sovvenzioni create da QLDB sono specifiche di un registro. Il principale nella `CreateGrant` richiesta è l'utente che ha creato la tabella.
L'evento che registra l'operazione `CreateGrant` è simile a quello del seguente evento di esempio. I parametri includono l'Amazon Resource Name (ARN) della chiave gestita dal cliente, il titolare del beneficiario e il destinatario del ritiro (il servizio QLDB) e le operazioni coperte dalla sovvenzione.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AKIAIOSFODNN7EXAMPLE:sample-user",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/sample-user",
"accountId": "111122223333",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AKIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-06-04T21:37:11Z"
}
},
"invokedBy": "qldb.amazonaws.com"
},
"eventTime": "2021-06-04T21:40:00Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "qldb.amazonaws.com",
"userAgent": "qldb.amazonaws.com",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"granteePrincipal": "qldb.us-west-2.amazonaws.com",
"operations": [
"DescribeKey",
"GenerateDataKey",
"Decrypt",
"Encrypt"
],
"retiringPrincipal": "qldb.us-west-2.amazonaws.com"
},
"responseElements": {
"grantId": "b3c83f999187ccc0979ef2ff86a1572237b6bba309c0ebce098c34761f86038a"
},
"requestID": "e99188d7-3b82-424e-b63e-e086d848ed60",
"eventID": "88dc7ba5-4952-4d36-9ca8-9ab5d9598bab",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```
**GenerateDataKey**
Quando si specifica una chiave gestita dal cliente per proteggere il registro, QLDB crea una chiave dati unica. Invia una `GenerateDataKey` richiesta a AWS KMS cui specifica la chiave gestita dal cliente per il registro.
L'evento che registra l'operazione `GenerateDataKey` è simile a quello del seguente evento di esempio. L'utente è l'account del servizio QLDB. I parametri includono l'ARN della chiave gestita dal cliente, un identificatore di chiave dati che richiede una lunghezza di 32 byte e il contesto di crittografia che identifica il nodo della gerarchia delle chiavi interna.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "qldb.amazonaws.com"
},
"eventTime": "2021-06-04T21:40:01Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "qldb.amazonaws.com",
"userAgent": "qldb.amazonaws.com",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"numberOfBytes": 32,
"encryptionContext": {
"key-hierarchy-node-id": "LY4HWMnkeZWKYi6MlitVJC",
"key-hierarchy-node-version": "1"
}
},
"responseElements": null,
"requestID": "786977c9-e77c-467a-bff5-9ad5124a4462",
"eventID": "b3f082cb-3e75-454e-bf0a-64be13075436",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333",
"sharedEventID": "26688de5-0b1c-43d3-bc4f-a18029b08446"
}
```
**Decrypt**
Quando si accede a un registro, QLDB richiama `Decrypt` l'operazione per decrittografare la chiave dati memorizzata nel registro in modo che possa accedere ai dati crittografati nel registro.
L'evento che registra l'operazione `Decrypt` è simile a quello del seguente evento di esempio. L'utente è l'account del servizio QLDB. I parametri includono l'ARN della chiave gestita dal cliente e il contesto di crittografia che identifica il nodo della gerarchia delle chiavi interna.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "qldb.amazonaws.com"
},
"eventTime": "2021-06-04T21:40:56Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "qldb.amazonaws.com",
"userAgent": "qldb.amazonaws.com",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"encryptionContext": {
"key-hierarchy-node-id": "LY4HWMnkeZWKYi6MlitVJC",
"key-hierarchy-node-version": "1"
}
},
"responseElements": null,
"requestID": "28f2dd18-3cc1-4fe2-82f7-5154f4933ebf",
"eventID": "603ad5d4-4744-4505-9c21-bd4a6cbd4b20",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333",
"sharedEventID": "7b6ce3e3-a764-42ec-8f90-5418c97ec411"
}
```
**Crittografa**
QLDB richiama `Encrypt` l'operazione per crittografare il testo semplice in testo cifrato utilizzando la chiave gestita dal cliente.
L'evento che registra l'operazione `Encrypt` è simile a quello del seguente evento di esempio. L'utente è l'account del servizio QLDB. I parametri includono l'ARN della chiave gestita dal cliente e il contesto di crittografia che specifica l'ID univoco interno del registro.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "qldb.amazonaws.com"
},
"eventTime": "2021-06-04T21:40:01Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Encrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "qldb.amazonaws.com",
"userAgent": "qldb.amazonaws.com",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"encryptionContext": {
"LedgerId": "F6qRNziJLUXA4Vy2ZUv8YY"
},
"encryptionAlgorithm": "SYMMETRIC_DEFAULT"
},
"responseElements": null,
"requestID": "b2daca7d-4606-4302-a2d7-5b3c8d30c64d",
"eventID": "b8aace05-2e37-4fed-ae6f-a45a1c6098df",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333",
"sharedEventID": "ce420ab0-288e-4b4f-aee8-541e18a28aa5"
}
```
**DescribeKey**
QLDB richiama `DescribeKey` l'operazione per determinare se la chiave KMS specificata esiste nella regione and. Account AWS
L'evento che registra l'operazione `DescribeKey` è simile a quello del seguente evento di esempio. Il principale è l'utente del tuo account Account AWS che ha specificato la chiave KMS. I parametri includono l'ARN della chiave gestita dal cliente.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AKIAIOSFODNN7EXAMPLE:sample-user",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/sample-user",
"accountId": "111122223333",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AKIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-06-04T21:37:11Z"
}
},
"invokedBy": "qldb.amazonaws.com"
},
"eventTime": "2021-06-04T21:40:00Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DescribeKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "qldb.amazonaws.com",
"userAgent": "qldb.amazonaws.com",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"responseElements": null,
"requestID": "a30586af-c783-4d25-8fda-33152c816c36",
"eventID": "7a9caf07-2b27-44ab-afe4-b259533ebb88",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```