Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Generazione di chiavi dati
<a name="data-keys"></a>

Le *chiavi di dati* sono chiavi simmetriche che possono essere usate per crittografare i dati, incluse grandi quantità di dati e altre chiavi crittografiche dati. A differenza delle chiavi KMS simmetriche, che non possono essere scaricate, le chiavi dati ti vengono restituite per essere utilizzate all'esterno di. AWS KMS

Quando AWS KMS genera chiavi dati, restituisce una chiave dati in testo semplice per l'uso immediato (opzionale) e una copia crittografata della chiave dati che puoi archiviare in sicurezza con i dati. Quando sei pronto per decrittografare i dati, chiedi innanzitutto di AWS KMS decrittografare la chiave dati crittografata. 

AWS KMS genera, crittografa e decrittografa le chiavi di dati. Tuttavia, AWS KMS non archivia, gestisce o tiene traccia delle chiavi dati né esegue operazioni crittografiche con le chiavi dati. È necessario utilizzare e gestire le chiavi dati all'esterno di AWS KMS. Per informazioni sull'utilizzo sicuro delle chiavi dati, consulta [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/).

**Topics**
+ [Crea una chiave di chiavi](#data-keys-create)
+ [Come funzionano le operazioni crittografiche con chiavi dati](#use-data-keys)
+ [In che modo le chiavi KMS inutilizzabili influiscono sulle chiavi dati](unusable-kms-keys.md)

## Crea una chiave di chiavi
<a name="data-keys-create"></a>

Per creare una chiave dati, richiama l'[GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)operazione. AWS KMS genera la chiave dati. Quindi crittografa una copia della chiave di dati con una [chiave KMS di crittografia simmetrica](symm-asymm-choose-key-spec.md#symmetric-cmks) da te specificata. L'operazione restituisce una copia in testo normale e un'altra copia della chiave dati crittografata con la chiave KMS. L'immagine seguente mostra questa operazione.

![\[Generazione di una chiave di dati\]](http://docs.aws.amazon.com/it_it/kms/latest/developerguide/images/generate-data-key.png)


AWS KMS supporta anche l'[GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)operazione, che restituisce solo una chiave dati crittografata. Quando devi usare la chiave dati, chiedi di AWS KMS [decrittografarla](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html).

## Come funzionano le operazioni crittografiche con chiavi dati
<a name="use-data-keys"></a>

I seguenti argomenti spiegano come funzionano le chiavi dati generate da un'[GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)operazione [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)or.

### Crittografia dei dati con una chiave di dati
<a name="data-keys-encrypt"></a>

AWS KMS non può utilizzare una chiave dati per crittografare i dati. Ma puoi usare la chiave dati all'esterno AWS KMS, ad esempio usando OpenSSL o una libreria crittografica come la. [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/)

Dopo aver utilizzato la chiave di dati in testo normale per crittografare i dati, eliminarla dalla memoria il prima possibile. È possibile archiviare la chiave di dati crittografati con i dati crittografati in totale sicurezza, in modo che sia disponibile per decrittografare i dati.

![\[Crittografa i dati degli utenti all'esterno di AWS KMS\]](http://docs.aws.amazon.com/it_it/kms/latest/developerguide/images/encrypt-with-data-key.png)


### Decrittografare i dati con una chiave di dati
<a name="data-keys-decrypt"></a>

[Per decrittografare i dati, passa la chiave dei dati crittografati all'operazione Decrypt.](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) AWS KMS utilizza la chiave KMS per decrittografare la chiave dati e quindi restituisce la chiave dati in testo semplice. Utilizza la chiave di dati in testo normale per decrittografare i dati, quindi rimuovi la chiave di dati in testo normale dalla memoria al più presto.

Il seguente diagramma illustra come utilizzare l'operazione `Decrypt` per decrittografare una chiave di dati crittografati.

![\[Decrittografia di una chiave di dati\]](http://docs.aws.amazon.com/it_it/kms/latest/developerguide/images/decrypt.png)