Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Esempi di crittografia Amazon EBS
<a name="encryption-examples"></a>

Quando crei una risorsa EBS crittografata, questa viene crittografata usando la Chiave KMS predefinita dell'account per la crittografia su EBS, a meno che non venga specificata una chiave gestita dal cliente diversa nei parametri di creazione del volume o nella mappatura dei dispositivi a blocchi per l'AMI o l'istanza.

I seguenti esempi illustrano come gestire lo stato di crittografia dei volumi e degli snapshot. Per un elenco completo dei casi di crittografia, consulta la [tabella dei risultati di crittografia](#ebs-volume-encryption-outcomes).

**Topics**
+ [Ripristinare un volume non crittografato (crittografia predefinita non abilitata)](#volume-account-off)
+ [Ripristinare un volume non crittografato (crittografia predefinita abilitata)](#volume-account-on)
+ [Copiare una snapshot non crittografata (crittografia predefinita non abilitata)](#snapshot-account-off)
+ [Copiare una snapshot non crittografata (crittografia predefinita abilitata)](#snapshot-account-on)
+ [Nuova crittografia di un volume crittografato](#reencrypt-volume)
+ [Nuova crittografia di uno snapshot crittografato](#reencrypt-snapshot)
+ [Migrazione dei dati tra volumi crittografati e non crittografati](#migrate-data-encrypted-unencrypted)
+ [Risultati della crittografia](#ebs-volume-encryption-outcomes)

## Ripristinare un volume non crittografato (crittografia predefinita non abilitata)
<a name="volume-account-off"></a>

Senza la crittografia predefinita abilitata, un volume ripristinato da uno snapshot non crittografato non è crittografato per impostazione predefinita. Tuttavia, puoi crittografare il volume risultante impostando il parametro `Encrypted` e, facoltativamente, il parametro `KmsKeyId`. Il diagramma seguente illustra il processo.

![\[Quando crei un volume da un'istantanea non crittografata, specifica una chiave KMS per creare un volume crittografato.\]](http://docs.aws.amazon.com/it_it/ebs/latest/userguide/images/volume-encrypt-account-off.png)


Se si omette il parametro `KmsKeyId`, il volume risultante viene crittografato utilizzando la Chiave KMS predefinita per la crittografia di EBS. Specificare un ID Chiave KMS per crittografare il volume su un Chiave KMS differente.

Per ulteriori informazioni, consulta [Creazione di un volume Amazon EBS](ebs-creating-volume.md).

## Ripristinare un volume non crittografato (crittografia predefinita abilitata)
<a name="volume-account-on"></a>

Quando hai abilitato la crittografia predefinita, la crittografia è obbligatoria per volumi ripristinati da snapshot non crittografati e non sono richiesti parametri di crittografia per utilizzare la Chiave KMS predefinita. Il seguente diagramma mostra questo semplice caso predefinito:

![\[Quando crei un volume da un'istantanea non crittografata ma la crittografia per impostazione predefinita è abilitata, utilizziamo la chiave KMS predefinita per creare un volume crittografato.\]](http://docs.aws.amazon.com/it_it/ebs/latest/userguide/images/volume-encrypt-account-on.png)


Se desideri crittografare il volume ripristinato in una chiave di crittografia simmetrica gestita dal cliente, devi fornire entrambi i parametri `Encrypted` e `KmsKeyId` come riportato in [Ripristinare un volume non crittografato (crittografia predefinita non abilitata)](#volume-account-off).

## Copiare una snapshot non crittografata (crittografia predefinita non abilitata)
<a name="snapshot-account-off"></a>

Senza la crittografia predefinita abilitata, una copia di uno snapshot non crittografato non è crittografato per impostazione predefinita. Tuttavia, puoi crittografare lo snapshot risultante impostando il parametro `Encrypted` e, facoltativamente, il parametro `KmsKeyId`. Se si omette `KmsKeyId`, lo snapshot risultante viene crittografato dalla Chiave KMS predefinita. È necessario specificare un ID della chiave KMS per crittografare il volume su una chiave KMS simmetrica differente.

Il diagramma seguente illustra il processo.

![\[Creazione di uno snapshot crittografato da uno snapshot non crittografato.\]](http://docs.aws.amazon.com/it_it/ebs/latest/userguide/images/snapshot-encrypt-account-off.png)


È possibile crittografare un volume EBS copiando uno snapshot non previsto in uno snapshot crittografato, quindi creando un volume dallo snapshot crittografato. Per ulteriori informazioni, consulta [Copia di uno snapshot Amazon EBS](ebs-copy-snapshot.md).

## Copiare una snapshot non crittografata (crittografia predefinita abilitata)
<a name="snapshot-account-on"></a>

Quando hai abilitato la crittografia predefinita, la crittografia è obbligatoria per copie di snapshot non crittografati e non sono richiesti parametri di crittografia se si utilizza la Chiave KMS predefinita. Nel seguente diagramma viene illustrato questo caso predefinito:

![\[Creazione di uno snapshot crittografato da uno snapshot non crittografato.\]](http://docs.aws.amazon.com/it_it/ebs/latest/userguide/images/snapshot-encrypt-account-on.png)


## Nuova crittografia di un volume crittografato
<a name="reencrypt-volume"></a>

Quando si esegue l'operazione `CreateVolume` su uno snapshot crittografato, è possibile crittografarlo nuovamente con un'altra Chiave KMS. Il diagramma seguente illustra il processo. In questo esempio, si dispone di due Chiavi KMS, Chiave KMS A e Chiave KMS B, Lo snapshot di origine è crittografato da Chiave KMS A. Durante la creazione del volume, con l'ID Chiave KMS di Chiave KMS B fornito come parametro, i dati di origine vengono automaticamente decrittografati e quindi nuovamente crittografati usando la Chiave KMS B.

![\[Copia di uno snapshot crittografato e crittografia della copia su una nuova Chiave KMS.\]](http://docs.aws.amazon.com/it_it/ebs/latest/userguide/images/volume-reencrypt.png)


Per ulteriori informazioni, consulta [Creazione di un volume Amazon EBS](ebs-creating-volume.md).

## Nuova crittografia di uno snapshot crittografato
<a name="reencrypt-snapshot"></a>

La possibilità di crittografare uno snapshot durante la copia ti consente di applicare una nuova chiave KMS simmetrica a uno snapshot già crittografato di cui sei proprietario. I volumi ripristinati dalla copia risultante sono accessibili solo utilizzando la nuova Chiave KMS. Il diagramma seguente illustra il processo. In questo esempio, si dispone di due Chiavi KMS, Chiave KMS A and Chiave KMS B. Lo snapshot di origine è crittografato con la Chiave KMS A. Durante la copia, con l'ID Chiave KMS di Chiave KMS B fornito come parametro, i dati di origine vengono automaticamente ri-crittografati usando la Chiave KMS B.

![\[Copia di uno snapshot crittografato e crittografia della copia su una nuova Chiave KMS.\]](http://docs.aws.amazon.com/it_it/ebs/latest/userguide/images/snap-reencrypt.png)


In uno scenario correlato, puoi scegliere di applicare nuovi parametri di crittografia a una copia di uno snapshot che è stato condiviso con te. Per impostazione predefinita, la copia è crittografata con una Chiave KMS condivisa dal proprietario dello snapshot. Tuttavia, ti consigliamo di creare una copia della snapshot condivisa utilizzando una Chiave KMS diversa che controlli. Questo protegge il tuo accesso al volume se la Chiave KMS originale è compromessa o se il proprietario revoca la Chiave KMS per qualsiasi motivo. Per ulteriori informazioni, consulta [Crittografia e copia di snapshot](ebs-copy-snapshot.md#creating-encrypted-snapshots).

## Migrazione dei dati tra volumi crittografati e non crittografati
<a name="migrate-data-encrypted-unencrypted"></a>

Quando hai accesso sia a un volume crittografato sia a uno non crittografato, puoi trasferire liberamente i dati tra loro. EC2 esegue in modo trasparente le operazioni di crittografia e decrittografia.

### Istanze Linux
<a name="migrate-data-encrypted-unencrypted-lin"></a>

Ad esempio il comando **rsync** consente di copiare i dati. Nel comando seguente i dati di origine si trovano in `/mnt/source` e il volume di destinazione è montato su `/mnt/destination`.

```
[ec2-user ~]$ sudo rsync -avh --progress /mnt/source/ /mnt/destination/
```

### Istanze Windows
<a name="migrate-data-encrypted-unencrypted-win"></a>

Ad esempio il comando **robocopy** consente di copiare i dati. Nel comando seguente i dati di origine si trovano in `D:\` e il volume di destinazione è montato su `E:\`.

```
PS C:\> robocopy D:\sourcefolder E:\destinationfolder /e /copyall /eta
```

Consigliamo di utilizzare le cartelle anziché copiare un intero volume per evitare potenziali problemi con le cartelle nascoste.

## Risultati della crittografia
<a name="ebs-volume-encryption-outcomes"></a>



La seguente tabella descrive il risultato della crittografia per ogni possibile combinazione di impostazioni.

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/ebs/latest/userguide/encryption-examples.html)

\$1 Questa è la chiave gestita dal cliente predefinita utilizzata per la crittografia EBS per l'account e la AWS regione. Per impostazione predefinita, è univoca Chiave gestita da AWS per EBS, oppure puoi specificare una chiave gestita dal cliente.

\$1\$1 Si tratta di una chiave gestita dal cliente specificata per il volume al momento dell'avvio. Questa chiave gestita dal cliente viene utilizzata al posto della chiave gestita dal cliente predefinita per l' AWS account e la regione.