

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Protezione dei dati in Amazon Cognito
<a name="data-protection"></a>

Il modello di [responsabilità AWS condivisa Modello](https://aws.amazon.com/compliance/shared-responsibility-model/) si applica alla protezione dei dati in Amazon Cognito (Amazon Cognito). Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutto il AWS cloud. L’utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. Questo contenuto include le attività di configurazione e gestione della sicurezza per i AWS servizi che utilizzi. Per ulteriori informazioni sulla privacy dei dati, consulta [Domande frequenti sulla privacy dei dati](https://aws.amazon.com/compliance/data-privacy-faq).

Ai fini della protezione dei dati, ti consigliamo di proteggere le credenziali degli AWS account e di configurare account utente individuali con AWS Identity and Access Management (IAM). In questo modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere il proprio lavoro. Ti suggeriamo, inoltre, di proteggere i dati nei seguenti modi:
+ Utilizza l’autenticazione a più fattori (MFA) con ogni account.
+  SSL/TLS Da utilizzare per comunicare con AWS le risorse.
+ Configura l'API e la registrazione delle attività degli utenti con AWS CloudTrail.
+ Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno AWS dei servizi.
+ Utilizza i servizi di sicurezza gestiti avanzati, ad esempio Amazon Macie, che aiutano a individuare e proteggere i dati personali archiviati in Amazon S3.

Ti consigliamo di non inserire mai informazioni identificative sensibili, ad esempio i numeri di account dei clienti, in campi a formato libero, ad esempio un campo **Name** (Nome). Ciò include quando lavori con Amazon Cognito o altri AWS servizi utilizzando la console, l'API o. AWS CLI AWS SDKs Gli eventuali dati immessi in Amazon Cognito o altri servizi potrebbero essere prelevati per l'inserimento nei log di diagnostica. Quando fornisci un URL a un server esterno, non includere informazioni sulle credenziali nell'URL per convalidare la tua richiesta a tale server.

## Crittografia dei dati
<a name="data-encryption"></a>

La crittografia dei dati in genere rientra in due categorie: crittografia dei dati a riposo e crittografia dei dati in transito.

**Crittografia dei dati inattivi**

I dati all'interno di Amazon Cognito sono crittografati a riposo in conformità con gli standard del settore.

[Amazon Cognito supporta la riservatezza, l'integrità e la disponibilità di informazioni di identificazione personale nelle ricerche di attributi utente con crittografia ricercabile.](https://docs.aws.amazon.com/database-encryption-sdk/latest/devguide/searchable-encryption.html) Queste funzioni HMAC (Message Authentication Code) basate su hash, ottimizzate per le prestazioni per i set di dati del pool di utenti, mappano tra il testo semplice e i valori crittografati degli attributi utente. Amazon Cognito calcola i valori HMAC con la chiave KMS che crittografa il pool di utenti. Questa protezione si applica ai seguenti attributi:
+ sub
+ email
+ phone\_number
+ given\_name
+ family\_name
+ nome
+ username
+ preferred\_username
+ cognito: user\_status

**Crittografia in transito**

In quanto servizio gestito, Amazon Cognito è protetto dalla sicurezza di rete AWS globale. Per informazioni sui servizi di AWS sicurezza e su come AWS protegge l'infrastruttura, consulta [AWS Cloud Security](https://aws.amazon.com/security/). Per progettare il tuo AWS ambiente utilizzando le migliori pratiche per la sicurezza dell'infrastruttura, vedi [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected* Framework.

Utilizzi chiamate API AWS pubblicate per accedere ad Amazon Cognito attraverso la rete. I client devono supportare quanto segue:
+ Transport Layer Security (TLS). È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Suite di cifratura con Perfect Forward Secrecy (PFS), ad esempio Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La maggior parte dei sistemi moderni, come Java 7 e versioni successive, supporta tali modalità.

I pool di utenti e i pool di identità di Amazon Cognito dispongono di operazioni API autenticate tramite IAM, non autenticate e autorizzate tramite token. Le operazioni API non autenticate e autorizzate tramite token sono destinate all'uso da parte dei clienti, gli utenti finali della tua app. Le operazioni delle API non autenticate o autorizzate da token vengono crittografate a riposo o in transito. Per ulteriori informazioni, consulta [Elenco delle operazioni API raggruppate per modello di autorizzazione](authentication-flows-public-server-side.md#user-pool-apis-auth-unauth).

**Nota**  
Amazon Cognito crittografa i contenuti internamente e non supporta le chiavi fornite dal cliente.