Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Protezione dei dati in Amazon API Gateway
Il [modello di responsabilità condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) di AWS si applica alla protezione dei dati in Amazon API Gateway. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che esegue tutto Cloud AWS. L'utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. L'utente è inoltre responsabile della configurazione della protezione e delle attività di gestione per i Servizi AWS utilizzati. Per ulteriori informazioni sulla privacy dei dati, vedi le [Domande frequenti sulla privacy dei dati](https://aws.amazon.com/compliance/data-privacy-faq/). Per informazioni sulla protezione dei dati in Europa, consulta il post del blog relativo al [Modello di responsabilità condivisa AWSe GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) nel *Blog sulla sicurezza AWS*.
Per garantire la protezione dei dati, ti suggeriamo di proteggere le credenziali Account AWSe di configurare i singoli utenti con AWS IAM Identity Centero AWS Identity and Access Management(IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Ti suggeriamo, inoltre, di proteggere i dati nei seguenti modi:
+ Utilizza l'autenticazione a più fattori (MFA) con ogni account.
+ Utilizza SSL/TLS per comunicare con le risorse AWS. È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Configura l'API e la registrazione delle attività degli utenti con AWS CloudTrail. Per informazioni sull'utilizzo dei percorsi CloudTrail per acquisire le attività AWS, consulta [Utilizzo dei percorsi CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) nella *Guida per l'utente di AWS CloudTrail*.
+ Utilizza le soluzioni di crittografia AWS, insieme a tutti i controlli di sicurezza di default all'interno dei Servizi AWS.
+ Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.
+ Se necessiti di moduli crittografici convalidati FIPS 140-3 quando accedi ad AWS attraverso un'interfaccia a riga di comando o un'API, utilizza un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Ti consigliamo di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo **Nome**. Sono inclusi gli scenari che prevedono l'uso di API Gateway o altri Servizi AWS tramite la console, l'API, la AWS CLI o gli SDK AWS. I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Quando fornisci un URL a un server esterno, ti suggeriamo vivamente di non includere informazioni sulle credenziali nell'URL per convalidare la tua richiesta al server.
# Crittografia dei dati in Amazon API Gateway
Lo scopo della protezione dati è proteggere i dati sia in transito (durante la trasmissione verso e da API Gateway), sia quando sono inattivi (ovvero quando sono archiviati in AWS).
## Crittografia dei dati inattivi in Amazon API Gateway
Se si sceglie di abilitare la memorizzazione nella cache per un'API REST, è possibile abilitare la crittografia della cache. Per ulteriori informazioni, consulta [Impostazioni della cache per REST APIs in API Gateway](api-gateway-caching.md).
Per ulteriori informazioni sulla protezione dei dati, consulta il post del blog [AWS Modello di responsabilità condivisa e GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) su *AWS Security Blog*.
### Crittografia e decrittografia della chiave privata del certificato
Quando si crea un nome di dominio personalizzato per le API private, il certificato ACM e la chiave privata vengono crittografati utilizzando una chiave KMS gestita da AWS con l'alias **aws/acm**. È possibile visualizzare l'ID della chiave con questo alias nella console AWS KMS sotto **Chiavi gestite da AWS**.
Gateway API non accede direttamente alle risorse ACM. Utilizzare AWS TLS Connection Manager per proteggere e accedere alle chiavi private del certificato. Quando si usa il certificato ACM per creare un nome di dominio personalizzato Gateway API per API private, Gateway API associa il certificato ad AWS TLS Connection Manager. Questa operazione viene eseguita creando una concessione in AWS KMS per la chiave gestita da AWS con il prefisso **aws/acm**. La concessione è uno strumento delle policy che permette a TLS Connection Manager di usare le chiavi KMS nelle operazioni di crittografia. La concessione consente al principale assegnatario (TLS Connection Manager) di chiamare le operazioni di concessione specificate nella chiave KMS per decrittografare la chiave privata del certificato. TLS Connection Manager utilizza quindi il certificato e la chiave privata decrittografata (testo normale) per stabilire una connessione sicura (sessione SSL/TLS) con i client dei servizi Gateway API. Quando l'associazione del certificato a un nome di dominio personalizzato Gateway API per API private viene annullata, la concessione viene ritirata.
Per rimuovere l'accesso alla chiave KMS, si consiglia di sostituire o eliminare il certificato dal servizio utilizzando la Console di gestione AWS o il comando `update-service` in AWS CLI.
### Contesto di crittografia per Gateway API
Il [contesto di crittografia](https://docs.aws.amazon.com/kms/latest/developerguide/encrypt_context.html) è un set opzionale di coppie chiave-valore che contiene informazioni contestuali su come può essere utilizzata la chiave privata. AWS KMS associa il contesto di crittografia ai dati crittografati e lo utilizza come dati autenticati aggiuntivi per supportare la crittografia autenticata.
Quando le chiavi TLS vengono utilizzate con Gateway API e TLS Connection Manager, il nome del servizio Gateway API viene incluso nel contesto di crittografia utilizzato per crittografare la chiave a riposo. È possibile verificare per quale nome di dominio personalizzato Gateway API vengono utilizzati il certificato e la chiave privata esaminando il contesto di crittografia nei log di CloudTrail, come mostrato nella prossima sezione, o consultando la scheda **Risorse associate** nella console ACM.
Per decrittografare i dati, includere nella richiesta lo stesso contesto di crittografia. Gateway API utilizza lo stesso contesto di crittografia in tutte le operazioni di crittografia di AWS KMS, in cui la chiave è `aws:apigateway:arn` e il valore è il nome della risorsa Amazon (ARN) della risorsa `PrivateDomainName` di Gateway API.
L'esempio illustrato di seguito mostra il contesto di crittografia nell'output di un'operazione come `CreateGrant`.
```
"constraints": {
"encryptionContextEquals": {
"aws:acm:arn": "arn:aws:acm:us-west-2:859412291086:certificate/9177097a-f0ae-4be1-93b1-19f911ea4f88",
"aws:apigateway:arn": "arn:aws:apigateway:us-west-2:859412291086:/domainnames/denytest-part1.pdx.sahig.people.aws.dev+cbaeumzjhg"
}
},
"operations": [
"Decrypt"
],
"granteePrincipal": "tlsconnectionmanager.amazonaws.com"
```
## Crittografia dei dati in transito in Amazon API Gateway
Le API create con Amazon API Gateway espongono solo endpoint HTTPS. API Gateway non supporta gli endpoint non crittografati (HTTP).
API Gateway gestisce i certificati per gli endpoint predefiniti `execute-api`. Se si configura un nome di dominio personalizzato, [si specifica il certificato per il nome di dominio](how-to-custom-domains.md#custom-domain-names-certificates). Come best practice, non [bloccare i certificati](https://docs.aws.amazon.com/acm/latest/userguide/troubleshooting-pinning.html).
Per una maggiore sicurezza, è possibile scegliere una versione del protocollo Transport Layer Security (TLS) minima da applicare per il dominio API Gateway personalizzato. Le API WebSocket e le API HTTP supportano solo TLS 1.2. Per ulteriori informazioni, consulta [Scegli una politica di sicurezza per il tuo dominio personalizzato in API Gateway](apigateway-custom-domain-tls-version.md).
È inoltre possibile impostare una distribuzione Amazon CloudFront con un certificato SSL personalizzato nel proprio account e utilizzarla con API regionali. Puoi quindi configurare la policy di sicurezza per la distribuzione CloudFront con TLS 1.1 o versione successiva in base ai tuoi requisiti di sicurezza e conformità.
Per ulteriori informazioni sulla protezione dei dati, consulta [Proteggi il tuo REST APIs in API Gateway](rest-api-protect.md) e il post del blog relativo al [modello di responsabilità condivisa e GDPR AWS](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) nel *Blog sulla sicurezza AWS*.
# Riservatezza del traffico Internet
Utilizzando Amazon API Gateway, puoi creare API REST private cui è possibile accedere solo da Amazon Virtual Private Cloud (VPC). Il VPC utilizza un [endpoint VPC di interfaccia](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html), che è un'interfaccia di rete endpoint creata nel VPC. Utilizzando le [ policy delle risorse](apigateway-private-api-create.md#apigateway-private-api-set-up-resource-policy), è possibile consentire o negare l'accesso alle tue API da VPC ed endpoint VPC selezionati, inclusi gli account AWS. Ogni endpoint può essere utilizzato per l'accesso a più API private. È inoltre possibile utilizzare Direct Connect per stabilire una connessione da una rete on-premise ad Amazon VPC e accedere all'API privata durante tale connessione. In tutti i casi, il traffico alla tua API privata utilizza connessioni sicure e non lascia la rete Amazon; è isolato dall'Internet pubblico. Per ulteriori informazioni, consulta [REST privato APIs in API Gateway](apigateway-private-apis.md).