Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Considerazioni sulle chiavi KMS gestite dal cliente e sulle politiche chiave KMS avanzate
<a name="considerations-for-customer-managed-kms-keys-advanced"></a>

Quando implementi chiavi KMS gestite dal cliente con IAM Identity Center, considera questi fattori che influiscono sulla configurazione, sulla sicurezza e sulla manutenzione continua della configurazione di crittografia.

## Considerazioni sulla scelta delle principali dichiarazioni politiche KMS di base rispetto a quelle avanzate
<a name="kms-policy-considerations-advanced-vs-baseline"></a>

Quando decidi se rendere più specifico l'utilizzo delle autorizzazioni chiave KMS[Dichiarazioni politiche chiave di Advanced KMS](advanced-kms-policy.md), prendi in considerazione il sovraccarico di gestione e le esigenze di sicurezza della tua organizzazione. Dichiarazioni politiche più specifiche forniscono un controllo più preciso su chi può utilizzare la chiave e per quali scopi; tuttavia, richiedono una manutenzione continua man mano che la configurazione di IAM Identity Center si evolve. Ad esempio, se limiti l'uso della chiave KMS a specifiche implementazioni di applicazioni AWS gestite, dovrai aggiornare la policy chiave ogni volta che l'organizzazione desidera distribuire o annullare la distribuzione di un'applicazione. Policy meno restrittive riducono l'onere amministrativo, ma possono concedere autorizzazioni più ampie di quelle necessarie per i requisiti di sicurezza.

## Considerazioni sull'abilitazione di una nuova istanza IAM Identity Center con una chiave KMS gestita dal cliente
<a name="considerations-for-enabling-new-instance"></a>

 Le considerazioni riportate qui si applicano se si utilizza il contesto di crittografia descritto in [Dichiarazioni politiche chiave di Advanced KMS](advanced-kms-policy.md) per limitare l'uso della chiave KMS a una specifica istanza di IAM Identity Center. 

 Quando si abilita una nuova istanza IAM Identity Center con una chiave KMS gestita dal cliente, IAM Identity Center e Identity Store ARNs sono disponibili solo dopo la configurazione. Sono disponibili le seguenti opzioni: 
+  Utilizzate temporaneamente modelli ARN generici, quindi sostituiteli con completi ARNs dopo l'attivazione dell'istanza. Ricordatevi di passare da un StringLike operatore StringEquals all'altro secondo necessità.
  +  Per IAM Identity Center SPN: «arn: $ {Partition} :sso: ::instance/\*». 
  +  Per Identity Store SPN: «arn: $ {Partition} :identitystore: :$ {Account} :identitystore/\*». 
+  Usa temporaneamente «Purpose:key\_configuration» nell'ARN. Funziona solo per l'abilitazione delle istanze e deve essere sostituita con l'ARN effettivo affinché l'istanza IAM Identity Center funzioni normalmente. Il vantaggio di questo approccio è che non puoi dimenticare di sostituirlo dopo che l'istanza è stata abilitata. 
  +  Per IAM Identity Center SPN, usa: «arn: $ {Partition} :sso: :instance/purpose:key\_configuration» 
  +  Per Identity Store SPN, usa: «arn: $ {Partition} :identitystore: :$ {Account} :identitystore/purpose:key\_configuration» 
**Importante**  
 Non applicare questa configurazione a una chiave KMS già in uso in un'istanza IAM Identity Center esistente, poiché potrebbe interromperne le normali operazioni. 
+  Ometti la condizione del contesto di crittografia dalla politica della chiave KMS fino a quando l'istanza non è abilitata.