Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Crittografia Amazon EBS
Usa la crittografia Amazon EBS come soluzione di crittografia semplice per le tue risorse Amazon EBS associate alle istanze Amazon EC2. Con Amazon EBS, non è necessario creare, mantenere e proteggere l'infrastruttura di gestione delle chiavi. La crittografia di Amazon EBS utilizza AWS KMS keys per la creazione di volumi e snapshot crittografati.
Le operazioni di crittografia avvengono sui server che ospitano le istanze EC2, garantendo la sicurezza di entrambe data-at-rest e tra un'istanza e data-in-transit lo storage EBS collegato.
A un'istanza possono essere collegati contemporaneamente sia volumi crittografati che non crittografati. Tutti i tipi di istanze Amazon EC2 supportano la crittografia Amazon EBS.
**Topics**
+ [Come funziona la crittografia Amazon EBS](how-ebs-encryption-works.md)
+ [Requisiti per la crittografia Amazon EBS](ebs-encryption-requirements.md)
+ [Abilita la crittografia Amazon EBS per impostazione predefinita](encryption-by-default.md)
+ [Crittografia delle risorse EBS](#encryption-parameters)
+ [AWS KMS Chiavi di rotazione utilizzate per la crittografia Amazon EBS](kms-key-rotation.md)
+ [Esempi di crittografia Amazon EBS](encryption-examples.md)
# Come funziona la crittografia Amazon EBS
Puoi crittografare entrambi i volumi di avvio e di dati di un'istanza EC2.
Quando crei un volume EBS crittografato e lo colleghi a un tipo di istanza supportato, vengono crittografati i seguenti tipi di dati:
+ Dati inattivi all'interno del volume.
+ Tutti i dati in movimento tra il volume e l'istanza.
+ Tutti gli snapshot creati dal volume
+ Tutti i volumi creati da quegli snapshot
Amazon EBS crittografa il volume con una [chiave dati utilizzando la crittografia dei dati](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#data-keys) AES-256 standard di settore. La chiave dati viene generata AWS KMS e quindi crittografata AWS KMS con una AWS KMS chiave prima di essere archiviata con le informazioni sul volume. Amazon EBS ne crea automaticamente una unica Chiave gestita da AWS in ogni regione in cui crei risorse Amazon EBS. L'[alias per la](https://docs.aws.amazon.com/kms/latest/developerguide/kms-alias.html) chiave KMS è. `aws/ebs` Per impostazione predefinita, Amazon EBS utilizza questa Chiave KMS per la crittografia. In alternativa, puoi utilizzare una chiave di crittografia simmetrica gestita dal cliente che crei. L'utilizzo di una propria Chiave KMS offre una maggiore flessibilità che include la possibilità di creare, ruotare e disabilitare Chiavi KMS.
Amazon EC2 consente di AWS KMS crittografare e decrittografare i volumi EBS in modi leggermente diversi a seconda che lo snapshot da cui si crea un volume crittografato sia crittografato o meno.
## Funzionamento della crittografia EBS quando lo snapshot è crittografato
Quando crei un volume crittografato da uno snapshot crittografato di tua proprietà, Amazon EC2 utilizza per crittografare e decrittografare AWS KMS i tuoi volumi EBS nel modo seguente:
1. Amazon EC2 invia una [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)richiesta a AWS KMS, specificando la chiave KMS scelta per la crittografia del volume.
1. Se il volume è crittografato utilizzando la stessa chiave KMS dell'istantanea, AWS KMS utilizza la stessa chiave dati dell'istantanea e la cripta con la stessa chiave KMS. Se il volume è crittografato utilizzando una chiave KMS diversa, AWS KMS genera una nuova chiave dati e la crittografa con la chiave KMS specificata. La chiave di dati crittografata viene inviata ad Amazon EBS per l'archiviazione con i metadati del volume.
1. Quando colleghi il volume crittografato a un'istanza, Amazon EC2 invia una [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)richiesta a AWS KMS in modo che possa decrittografare la chiave dati.
1. AWS KMS decrittografa la chiave dati crittografata e invia la chiave dati decrittografata ad Amazon EC2.
1. Amazon EC2 utilizza la chiave dati in chiaro nell'hardware Nitro per crittografare il disco sul volume. I/O La chiave dei dati sotto forma di testo in chiaro persiste in memoria fintanto che il volume è collegato all'istanza.
## Funzionamento della crittografia EBS quando lo snapshot non è crittografato
Quando si crea un volume crittografato da uno snapshot non crittografato, Amazon EC2 utilizza AWS KMS per crittografare e decrittare i volumi EBS come segue:
1. Amazon EC2 invia una [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)richiesta a AWS KMS, in modo che possa crittografare il volume creato dallo snapshot.
1. Amazon EC2 invia una [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)richiesta a AWS KMS, specificando la chiave KMS scelta per la crittografia del volume.
1. AWS KMS genera una nuova chiave dati, la crittografa con la chiave KMS scelta per la crittografia del volume e invia la chiave dati crittografata ad Amazon EBS per essere archiviata con i metadati del volume.
1. Amazon EC2 invia una richiesta [Decrypt per decrittografare](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) la chiave dati crittografata, che utilizza quindi AWS KMS per crittografare i dati del volume.
1. Quando colleghi il volume crittografato a un'istanza, Amazon EC2 invia una [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)richiesta a AWS KMS, in modo che possa decrittografare la chiave dati.
1. Quando colleghi il volume crittografato a un'istanza, Amazon EC2 invia una richiesta [Decrypt a AWS KMS, specificando la chiave dei dati crittografati](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html).
1. AWS KMS decrittografa la chiave dati crittografata e invia la chiave dati decrittografata ad Amazon EC2.
1. Amazon EC2 utilizza la chiave dati in chiaro nell'hardware Nitro per crittografare il disco sul volume. I/O La chiave dei dati sotto forma di testo in chiaro persiste in memoria fintanto che il volume è collegato all'istanza..
Per ulteriori informazioni, consulta [Come Amazon Elastic Block Store (Amazon EBS) utilizza AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/services-ebs.html) ed [Esempio due Amazon EC2](https://docs.aws.amazon.com/kms/latest/developerguide/ct-ec2two.html) nella *Guida per gli sviluppatori di AWS Key Management Service *.
## In che modo le chiavi KMS inutilizzabili influiscono sulle chiavi dati
Quando una chiave KMS diventa inutilizzabile, l'effetto è quasi immediato (in base alla coerenza finale). Lo stato della chiave KMS si modifica per riflettere la nuova condizione e tutte le richieste di utilizzo della chiave KMS nelle operazioni di crittografia hanno esito negativo.
Quando si esegue un'operazione che rende la chiave KMS inutilizzabile, non vi è alcun effetto immediato sull'istanza EC2 o sui volumi EBS collegati. Amazon EC2 utilizza la chiave dati, non la chiave KMS, per crittografare tutto il disco I/O mentre il volume è collegato all'istanza.
Tuttavia, quando il volume EBS crittografato è scollegato dall'istanza EC2, Amazon EBS rimuove la chiave dati dall'hardware Nitro. La prossima volta che il volume EBS crittografato viene collegato a un'istanza EC2, il collegamento ha esito negativo, poiché Amazon EBS non è in grado di utilizzare la chiave KMS per decrittare la chiave di dati crittografati del volume. Per utilizzare di nuovo il volume EBS, devi rendere utilizzabile la chiave KMS.
**Suggerimento**
Se non desideri più accedere ai dati archiviati in un volume EBS crittografato con una chiave dati generata da una chiave KMS che intendi rendere inutilizzabile, consigliamo di scollegare il volume EBS dall'istanza EC2 prima di rendere la chiave KMS inutilizzabile.
Per ulteriori informazioni, consulta [In che modo le chiavi KMS inutilizzabili influiscono sulle chiavi dati](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#unusable-kms-keys) nella *Guida per gli sviluppatori di AWS Key Management Service *.
# Requisiti per la crittografia Amazon EBS
Prima di iniziare, verificare che i seguenti requisiti siano soddisfatti.
**Topics**
+ [Tipi di volumi supportati](#ebs-encryption-volume-types)
+ [Tipi di istanze supportati](#ebs-encryption_supported_instances)
+ [Autorizzazioni del per gli utenti](#ebs-encryption-permissions)
+ [Autorizzazioni per le istanze](#ebs-encryption-instance-permissions)
## Tipi di volumi supportati
La crittografia è supportata da tutti i tipi di volume EBS. Sono previste le stesse prestazioni IOPS su volumi crittografati e su volumi non crittografati, con un effetto minimo sulla latenza. È possibile accedere ai volumi crittografati nello stesso modo in cui accedi a volumi non crittografati. La crittografia e la decrittografia sono gestite in modo trasparente e non richiedono alcuna operazione aggiuntiva da parte dell'utente o delle applicazioni.
## Tipi di istanze supportati
La crittografia Amazon EBS è disponibile su tutti i tipi di istanze di [generazione attuale](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html#current-gen-instances) [e precedente](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html#previous-gen-instances).
## Autorizzazioni del per gli utenti
Quando utilizzi una chiave KMS per la crittografia EBS, la policy delle chiavi KMS consente a qualsiasi utente con accesso alle AWS KMS azioni richieste di utilizzare questa chiave KMS per crittografare o decrittografare le risorse EBS. Per utilizzare la crittografia su EBS è necessario concedere agli utenti l'autorizzazione per richiamare le seguenti operazioni:
+ `kms:CreateGrant`
+ `kms:Decrypt`
+ `kms:DescribeKey`
+ `kms:GenerateDataKeyWithoutPlainText`
+ `kms:ReEncrypt`
**Suggerimento**
Per seguire il principio del privilegio minimo, non consentire l'accesso completo a `kms:CreateGrant`. Utilizza invece la chiave di `kms:GrantIsForAWSResource` condizione per consentire all'utente di creare concessioni sulla chiave KMS solo quando la concessione viene creata per conto dell'utente da un servizio, come mostrato nell'esempio seguente. AWS
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "kms:CreateGrant",
"Resource": [
"arn:aws:kms:us-east-2:123456789012:key/abcd1234-a123-456d-a12b-a123b4cd56ef"
],
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": true
}
}
}
]
}
```
------
Per ulteriori informazioni, consulta [Consente l'accesso all' AWS account e abilita le politiche IAM](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-default-allow-root-enable-iam) nella sezione **Default key policy** della *AWS Key Management Service Developer* Guide.
## Autorizzazioni per le istanze
Quando un'istanza tenta di interagire con un'AMI crittografata, un volume o uno snapshot, viene rilasciata la concessione di una chiave KMS al ruolo di sola identità dell'istanza. Il ruolo di sola identità è un ruolo IAM utilizzato dall'istanza per interagire con volumi o istantanee crittografati AMIs per tuo conto.
I ruoli di sola identità non devono essere creati o eliminati manualmente e non sono associati a criteri. Inoltre, non puoi accedere alle credenziali dei ruoli di sola identità.
**Nota**
I ruoli di sola identità non vengono utilizzati dalle applicazioni sull'istanza per accedere ad altre risorse AWS KMS crittografate, come oggetti Amazon S3 o tabelle Dynamo DB. Queste operazioni vengono eseguite utilizzando le credenziali di un ruolo di istanza Amazon EC2 o AWS altre credenziali configurate sull'istanza.
[I ruoli con sola identità sono soggetti alle politiche di [controllo del servizio (SCPs) e alle politiche](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_scps.html) chiave KMS.](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) Se una chiave SCP o KMS nega al ruolo di sola identità l'accesso a una chiave KMS, potresti non riuscire ad avviare istanze EC2 con volumi crittografati o utilizzando copie crittografate o istantanee. AMIs
Se stai creando un SCP o una politica chiave che nega l'accesso in base alla posizione della rete utilizzando le chiavi,, o `aws:SourceVpce` AWS global condition `aws:SourceIp` `aws:VpcSourceIp``aws:SourceVpc`, devi assicurarti che queste istruzioni non si applichino ai ruoli relativi alle sole istanze. Per esempi di policy, consulta [Esempi di policy del perimetro di dati](https://github.com/aws-samples/data-perimeter-policy-examples/tree/main).
I ruoli di sola identità utilizzano il seguente formato: ARNs
```
arn:aws-partition:iam::account_id:role/aws:ec2-infrastructure/instance_id
```
Quando viene rilasciata una concessione di chiave a un'istanza, la concessione della chiave viene rilasciata alla sessione del ruolo assunto specifica per quell'istanza. L'ARN principale dell'assegnatario utilizza il seguente formato:
```
arn:aws-partition:sts::account_id:assumed-role/aws:ec2-infrastructure/instance_id
```
# Abilita la crittografia Amazon EBS per impostazione predefinita
Puoi configurare il tuo AWS account per applicare la crittografia dei nuovi volumi EBS e delle copie istantanee che crei. Ad esempio, Amazon EBS esegue la crittografia dei volumi EBS creati all'avvio di un'istanza e delle snapshot copiate a partire da uno snapshot non crittografato. Per esempi di transizione da risorse EBS non crittografate a crittografate, consulta [Crittografia delle risorse non crittografate](ebs-encryption.md#encrypt-unencrypted).
La crittografia per impostazione predefinita non ha alcun effetto sui volumi EBS o sugli snapshot esistenti.
**Considerazioni**
+ La crittografia predefinita è un'impostazione specifica della regione. Se la abiliti per una regione, non puoi disabilitarla per singoli volumi o snapshot in tale regione.
+ La crittografia Amazon EBS per impostazione predefinita è supportata su tutti i tipi di istanze di [generazione attuale](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html#current-gen-instances) [e precedente](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html#previous-gen-instances).
+ Se si copia uno snapshot e lo si crittografa in una nuova chiave KMS, viene creata una copia completa (non incrementale). Ciò comporta costi di storage aggiuntivi.
------
#### [ Console ]
**Per abilitare la crittografia predefinita per una regione**
1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Dalla barra di navigazione, selezionare la regione.
1. Nel riquadro di navigazione selezionare **EC2 Dashboard (Pannello di controllo EC2)**.
1. Nell'angolo in alto a destra della pagina, scegli **Attributi dell'account**, **Zone**.
1. **Nella sezione **Crittografia EBS**, scegli Gestisci.**
1. Selezionare **Enable (Abilita)**. Mantieni Chiave gestita da AWS l'alias `aws/ebs` creato per tuo conto come chiave di crittografia predefinita oppure scegli una chiave di crittografia simmetrica gestita dal cliente.
1. Scegli **Update EBS encryption (Aggiorna la crittografia EBS)**.
------
#### [ AWS CLI ]
**Per visualizzare l'impostazione della crittografia predefinita**
[Usa il comando -defaultget-ebs-encryption-by.](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-ebs-encryption-by-default.html)
+ Per una regione specifica
```
aws ec2 get-ebs-encryption-by-default --region region
```
+ Per tutte le regioni del tuo account
```
echo -e "Region \t Encrypt \t Key"; \
echo -e "----------- \t ------- \t -------" ; \
for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text);
do
default=$(aws ec2 get-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text);
kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId');
echo -e "$region \t $default \t\t $kms_key";
done
```
**Per abilitare la crittografia predefinita**
Utilizzate il comando [enable-ebs-encryption-by-default](https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-ebs-encryption-by-default.html).
+ Per una regione specifica
```
aws ec2 enable-ebs-encryption-by-default --region region
```
+ Per tutte le regioni del tuo account
```
echo -e "Region \t Encrypt \t Key"; \
echo -e "----------- \t ------- \t -------" ; \
for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text);
do
default=$(aws ec2 enable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text);
kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId');
echo -e "$region \t $default \t\t $kms_key";
done
```
**Per disabilitare la crittografia predefinita**
Utilizzate il comando [disable-ebs-encryption-by-default](https://docs.aws.amazon.com/cli/latest/reference/ec2/disable-ebs-encryption-by-default.html).
+ Per una regione specifica
```
aws ec2 disable-ebs-encryption-by-default --region region
```
+ Per tutte le regioni del tuo account
```
echo -e "Region \t Encrypt \t Key"; \
echo -e "----------- \t ------- \t -------" ; \
for region in $(aws ec2 describe-regions --region us-east-1 --query "Regions[*].[RegionName]" --output text);
do
default=$(aws ec2 disable-ebs-encryption-by-default --region $region --query "{Encryption_By_Default:EbsEncryptionByDefault}" --output text);
kms_key=$(aws ec2 get-ebs-default-kms-key-id --region $region | jq '.KmsKeyId');
echo -e "$region \t $default \t\t $kms_key";
done
```
------
#### [ PowerShell ]
**Per visualizzare l'impostazione della crittografia predefinita**
Utilizza il cmdlet [Get-EC2EbsEncryptionByDefault](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2EbsEncryptionByDefault.html).
+ Per una regione specifica
```
Get-EC2EbsEncryptionByDefault -Region region
```
+ Per tutte le regioni del tuo account
```
(Get-EC2Region).RegionName |
ForEach-Object {
[PSCustomObject]@{
Region = $_
EC2EbsEncryptionByDefault = Get-EC2EbsEncryptionByDefault -Region $_
EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_
} } |
Format-Table -AutoSize
```
**Per abilitare la crittografia predefinita**
Utilizza il cmdlet [Enable-EC2EbsEncryptionByDefault](https://docs.aws.amazon.com/powershell/latest/reference/items/Enable-EC2EbsEncryptionByDefault.html).
+ Per una regione specifica
```
Enable-EC2EbsEncryptionByDefault -Region region
```
+ Per tutte le regioni del tuo account
```
(Get-EC2Region).RegionName |
ForEach-Object {
[PSCustomObject]@{
Region = $_
EC2EbsEncryptionByDefault = Enable-EC2EbsEncryptionByDefault -Region $_
EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_
} } |
Format-Table -AutoSize
```
**Per disabilitare la crittografia predefinita**
Utilizza il cmdlet [Disable-EC2EbsEncryptionByDefault](https://docs.aws.amazon.com/powershell/latest/reference/items/Disable-EC2EbsEncryptionByDefault.html).
+ Per una regione specifica
```
Disable-EC2EbsEncryptionByDefault -Region region
```
+ Per tutte le regioni del tuo account
```
(Get-EC2Region).RegionName |
ForEach-Object {
[PSCustomObject]@{
Region = $_
EC2EbsEncryptionByDefault = Disable-EC2EbsEncryptionByDefault -Region $_
EC2EbsDefaultKmsKeyId = Get-EC2EbsDefaultKmsKeyId -Region $_
} } |
Format-Table -AutoSize
```
------
Non è possibile modificare la chiave KMS associata a un'istantanea o a un volume crittografato esistente. Tuttavia, puoi associare una Chiave KMS diversa durante un'operazione di copia snapshot in modo che lo snapshot copiato risultante sia crittografato dalla nuova Chiave KMS.
## Crittografia delle risorse EBS
È possibile crittografare i volumi EBS abilitando la crittografia, utilizzando la [crittografia per impostazione predefinita](encryption-by-default.md) o abilitando la crittografia al momento della creazione di un volume che si desidera crittografare.
Quando esegui la crittografia di un volume, puoi specificare la chiave KMS simmetrica da usare per crittografare il volume. Se non è specificata alcuna Chiave KMS, la Chiave KMS che viene utilizzata per la crittografia dipende dallo stato di crittografia dello snapshot di origine e dalla sua proprietà. Per ulteriori informazioni, consulta la [tabella dei risultati di crittografia](encryption-examples.md#ebs-volume-encryption-outcomes).
**Nota**
Se stai utilizzando l'API o AWS CLI per specificare una chiave KMS, tieni presente che l' AWS autenticazione della chiave KMS avviene in modo asincrono. Se si specifica un ID Chiave KMS, un alias o un ARN non valido, l'azione sembra essere completata, ma alla fine ha esito negativo.
Non è possibile modificare la chiave Chiave KMS associata a un volume o a uno snapshot esistenti. Tuttavia, puoi associare una Chiave KMS diversa durante un'operazione di copia snapshot in modo che lo snapshot copiato risultante sia crittografato dalla nuova Chiave KMS.
### Crittografia di un volume vuoto in fase di creazione
Quando si crea un nuovo volume EBS vuoto, è possibile crittografarlo abilitando la crittografia per la specifica operazione di creazione del volume. Se per impostazione predefinita è stata abilitata la crittografia EBS, il volume viene crittografato automaticamente utilizzando la Chiave KMS predefinita per la crittografia EBS. In alternativa puoi specificare una chiave KMS simmetrica diversa per l'operazione di creazione del volume specifica. Il volume viene crittografato dal momento in cui è disponibile per la prima volta, in modo che i dati siano sempre protetti. Per le procedure dettagliate, consulta [Creazione di un volume Amazon EBS](ebs-creating-volume.md).
Per impostazione predefinita, la Chiave KMS selezionata durante la creazione del volume viene utilizzata per eseguire la crittografia degli snapshot creati a partire dallo stesso volume e dei volumi ripristinati da tali snapshot. Non puoi rimuovere la crittografia da un volume o snapshot crittografato. Questo significa che un volume ripristinato da uno snapshot crittografato o una copia di uno snapshot crittografato è sempre crittografato.
Gli snapshot pubblici dei volumi crittografati non sono supportati, ma è possibile condividere uno snapshot crittografato con account specifici. Per istruzioni dettagliate, consulta [Condividi uno snapshot di Amazon EBS con altri account AWS](ebs-modifying-snapshot-permissions.md).
### Crittografia delle risorse non crittografate
Non è possibile crittografare direttamente volumi o istantanee non crittografati esistenti.
Per crittografare un volume non crittografato, crea un'istantanea di quel volume, quindi utilizza l'istantanea per creare un nuovo volume crittografato. Per ulteriori informazioni, consultare [Creazione di snapshot ](ebs-create-snapshot.md) e [Creazione di un volume](ebs-creating-volume.md).
Per crittografare un'istantanea non crittografata, crea una copia crittografata di quell'istantanea. Per ulteriori informazioni, consulta [Copiare una snapshot di ](ebs-copy-snapshot.md).
Se abiliti il tuo account per la crittografia per impostazione predefinita, i volumi e le copie di istantanee creati da istantanee non crittografate vengono sempre crittografati. Altrimenti, è necessario specificare i parametri di crittografia nella richiesta. Per ulteriori informazioni, consulta [Abilita la crittografia per impostazione predefinita](encryption-by-default.md).
# AWS KMS Chiavi di rotazione utilizzate per la crittografia Amazon EBS
Le best practice di crittografia scoraggiano il riutilizzo esteso delle chiavi di crittografia.
Per creare nuovo materiale crittografico da utilizzare con la crittografia Amazon EBS, puoi creare una nuova chiave gestita dal cliente e quindi modificare le applicazioni per utilizzare quella nuova chiave KMS. In alternativa, puoi abilitare la rotazione automatica delle chiavi per una chiave esistente gestita dal cliente.
Quando abiliti la rotazione automatica delle chiavi per una chiave gestita dal cliente, AWS KMS genera nuovo materiale crittografico per la chiave KMS ogni anno. AWS KMS salva tutte le versioni precedenti del materiale crittografico in modo da poter continuare a decrittografare e utilizzare volumi e istantanee precedentemente crittografati con quel materiale chiave KMS. AWS KMS non elimina alcun materiale chiave ruotato finché non elimini la chiave KMS.
Quando si utilizza una chiave ruotata gestita dal cliente per crittografare un nuovo volume o un'istantanea, AWS KMS utilizza il (nuovo) materiale chiave corrente. Quando si utilizza una chiave ruotata gestita dal cliente per decrittografare un volume o un'istantanea, AWS KMS utilizza la versione del materiale crittografico utilizzata per crittografarlo. Se un volume o un'istantanea è crittografato con una versione precedente del materiale crittografico, AWS KMS continua a utilizzare quella versione precedente per decrittografarlo. AWS KMS non cripta nuovamente volumi o istantanee precedentemente crittografati per utilizzare il nuovo materiale crittografico dopo una rotazione della chiave. Rimangono crittografati con il materiale crittografico con cui erano originariamente crittografati. È possibile utilizzare in sicurezza una chiave ruotata gestita dal cliente in applicazioni e AWS servizi senza modifiche al codice.
**Nota**
La rotazione automatica delle chiavi è supportata solo per le chiavi simmetriche gestite dal cliente con materiale chiave che crea. AWS KMS
AWS KMS ruota automaticamente ogni anno. Chiavi gestite da AWS Non puoi abilitare o disabilitare la rotazione delle chiavi per le Chiavi gestite da AWS.
Per ulteriori informazioni, consulta [Rotazione della chiave KMS](https://docs.aws.amazon.com//kms/latest/developerguide/rotate-keys.html#rotate-keys-how-it-works) nella *Guida per gli sviluppatori di AWS Key Management Service *.
# Esempi di crittografia Amazon EBS
Quando crei una risorsa EBS crittografata, questa viene crittografata usando la Chiave KMS predefinita dell'account per la crittografia su EBS, a meno che non venga specificata una chiave gestita dal cliente diversa nei parametri di creazione del volume o nella mappatura dei dispositivi a blocchi per l'AMI o l'istanza.
I seguenti esempi illustrano come gestire lo stato di crittografia dei volumi e degli snapshot. Per un elenco completo dei casi di crittografia, consulta la [tabella dei risultati di crittografia](#ebs-volume-encryption-outcomes).
**Topics**
+ [Ripristinare un volume non crittografato (crittografia predefinita non abilitata)](#volume-account-off)
+ [Ripristinare un volume non crittografato (crittografia predefinita abilitata)](#volume-account-on)
+ [Copiare una snapshot non crittografata (crittografia predefinita non abilitata)](#snapshot-account-off)
+ [Copiare una snapshot non crittografata (crittografia predefinita abilitata)](#snapshot-account-on)
+ [Nuova crittografia di un volume crittografato](#reencrypt-volume)
+ [Nuova crittografia di uno snapshot crittografato](#reencrypt-snapshot)
+ [Migrazione dei dati tra volumi crittografati e non crittografati](#migrate-data-encrypted-unencrypted)
+ [Risultati della crittografia](#ebs-volume-encryption-outcomes)
## Ripristinare un volume non crittografato (crittografia predefinita non abilitata)
Senza la crittografia predefinita abilitata, un volume ripristinato da uno snapshot non crittografato non è crittografato per impostazione predefinita. Tuttavia, puoi crittografare il volume risultante impostando il parametro `Encrypted` e, facoltativamente, il parametro `KmsKeyId`. Il diagramma seguente illustra il processo.
![\[Quando crei un volume da un'istantanea non crittografata, specifica una chiave KMS per creare un volume crittografato.\]](http://docs.aws.amazon.com/it_it/ebs/latest/userguide/images/volume-encrypt-account-off.png)
Se si omette il parametro `KmsKeyId`, il volume risultante viene crittografato utilizzando la Chiave KMS predefinita per la crittografia di EBS. Specificare un ID Chiave KMS per crittografare il volume su un Chiave KMS differente.
Per ulteriori informazioni, consulta [Creazione di un volume Amazon EBS](ebs-creating-volume.md).
## Ripristinare un volume non crittografato (crittografia predefinita abilitata)
Quando hai abilitato la crittografia predefinita, la crittografia è obbligatoria per volumi ripristinati da snapshot non crittografati e non sono richiesti parametri di crittografia per utilizzare la Chiave KMS predefinita. Il seguente diagramma mostra questo semplice caso predefinito:
![\[Quando crei un volume da un'istantanea non crittografata ma la crittografia per impostazione predefinita è abilitata, utilizziamo la chiave KMS predefinita per creare un volume crittografato.\]](http://docs.aws.amazon.com/it_it/ebs/latest/userguide/images/volume-encrypt-account-on.png)
Se desideri crittografare il volume ripristinato in una chiave di crittografia simmetrica gestita dal cliente, devi fornire entrambi i parametri `Encrypted` e `KmsKeyId` come riportato in [Ripristinare un volume non crittografato (crittografia predefinita non abilitata)](#volume-account-off).
## Copiare una snapshot non crittografata (crittografia predefinita non abilitata)
Senza la crittografia predefinita abilitata, una copia di uno snapshot non crittografato non è crittografato per impostazione predefinita. Tuttavia, puoi crittografare lo snapshot risultante impostando il parametro `Encrypted` e, facoltativamente, il parametro `KmsKeyId`. Se si omette `KmsKeyId`, lo snapshot risultante viene crittografato dalla Chiave KMS predefinita. È necessario specificare un ID della chiave KMS per crittografare il volume su una chiave KMS simmetrica differente.
Il diagramma seguente illustra il processo.
![\[Creazione di uno snapshot crittografato da uno snapshot non crittografato.\]](http://docs.aws.amazon.com/it_it/ebs/latest/userguide/images/snapshot-encrypt-account-off.png)
È possibile crittografare un volume EBS copiando uno snapshot non previsto in uno snapshot crittografato, quindi creando un volume dallo snapshot crittografato. Per ulteriori informazioni, consulta [Copia di uno snapshot Amazon EBS](ebs-copy-snapshot.md).
## Copiare una snapshot non crittografata (crittografia predefinita abilitata)
Quando hai abilitato la crittografia predefinita, la crittografia è obbligatoria per copie di snapshot non crittografati e non sono richiesti parametri di crittografia se si utilizza la Chiave KMS predefinita. Nel seguente diagramma viene illustrato questo caso predefinito:
![\[Creazione di uno snapshot crittografato da uno snapshot non crittografato.\]](http://docs.aws.amazon.com/it_it/ebs/latest/userguide/images/snapshot-encrypt-account-on.png)
## Nuova crittografia di un volume crittografato
Quando si esegue l'operazione `CreateVolume` su uno snapshot crittografato, è possibile crittografarlo nuovamente con un'altra Chiave KMS. Il diagramma seguente illustra il processo. In questo esempio, si dispone di due Chiavi KMS, Chiave KMS A e Chiave KMS B, Lo snapshot di origine è crittografato da Chiave KMS A. Durante la creazione del volume, con l'ID Chiave KMS di Chiave KMS B fornito come parametro, i dati di origine vengono automaticamente decrittografati e quindi nuovamente crittografati usando la Chiave KMS B.
![\[Copia di uno snapshot crittografato e crittografia della copia su una nuova Chiave KMS.\]](http://docs.aws.amazon.com/it_it/ebs/latest/userguide/images/volume-reencrypt.png)
Per ulteriori informazioni, consulta [Creazione di un volume Amazon EBS](ebs-creating-volume.md).
## Nuova crittografia di uno snapshot crittografato
La possibilità di crittografare uno snapshot durante la copia ti consente di applicare una nuova chiave KMS simmetrica a uno snapshot già crittografato di cui sei proprietario. I volumi ripristinati dalla copia risultante sono accessibili solo utilizzando la nuova Chiave KMS. Il diagramma seguente illustra il processo. In questo esempio, si dispone di due Chiavi KMS, Chiave KMS A and Chiave KMS B. Lo snapshot di origine è crittografato con la Chiave KMS A. Durante la copia, con l'ID Chiave KMS di Chiave KMS B fornito come parametro, i dati di origine vengono automaticamente ri-crittografati usando la Chiave KMS B.
![\[Copia di uno snapshot crittografato e crittografia della copia su una nuova Chiave KMS.\]](http://docs.aws.amazon.com/it_it/ebs/latest/userguide/images/snap-reencrypt.png)
In uno scenario correlato, puoi scegliere di applicare nuovi parametri di crittografia a una copia di uno snapshot che è stato condiviso con te. Per impostazione predefinita, la copia è crittografata con una Chiave KMS condivisa dal proprietario dello snapshot. Tuttavia, ti consigliamo di creare una copia della snapshot condivisa utilizzando una Chiave KMS diversa che controlli. Questo protegge il tuo accesso al volume se la Chiave KMS originale è compromessa o se il proprietario revoca la Chiave KMS per qualsiasi motivo. Per ulteriori informazioni, consulta [Crittografia e copia di snapshot](ebs-copy-snapshot.md#creating-encrypted-snapshots).
## Migrazione dei dati tra volumi crittografati e non crittografati
Quando hai accesso sia a un volume crittografato sia a uno non crittografato, puoi trasferire liberamente i dati tra loro. EC2 esegue in modo trasparente le operazioni di crittografia e decrittografia.
### Istanze Linux
Ad esempio il comando **rsync** consente di copiare i dati. Nel comando seguente i dati di origine si trovano in `/mnt/source` e il volume di destinazione è montato su `/mnt/destination`.
```
[ec2-user ~]$ sudo rsync -avh --progress /mnt/source/ /mnt/destination/
```
### Istanze Windows
Ad esempio il comando **robocopy** consente di copiare i dati. Nel comando seguente i dati di origine si trovano in `D:\` e il volume di destinazione è montato su `E:\`.
```
PS C:\> robocopy D:\sourcefolder E:\destinationfolder /e /copyall /eta
```
Consigliamo di utilizzare le cartelle anziché copiare un intero volume per evitare potenziali problemi con le cartelle nascoste.
## Risultati della crittografia
La seguente tabella descrive il risultato della crittografia per ogni possibile combinazione di impostazioni.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/ebs/latest/userguide/encryption-examples.html)
\$1 Questa è la chiave gestita dal cliente predefinita utilizzata per la crittografia EBS per l'account e la AWS regione. Per impostazione predefinita, è univoca Chiave gestita da AWS per EBS, oppure puoi specificare una chiave gestita dal cliente.
\$1\$1 Si tratta di una chiave gestita dal cliente specificata per il volume al momento dell'avvio. Questa chiave gestita dal cliente viene utilizzata al posto della chiave gestita dal cliente predefinita per l' AWS account e la regione.