Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Crittografia dei dati in Amazon EFS Crittografia dei dati Amazon EFS offre funzionalità di crittografia complete per proteggere i dati sia a riposo che in transito. + **Crittografia a riposo**: crittografa i dati archiviati nel file system. + **Crittografia in transito**: crittografa i dati mentre viaggiano tra i client e il file system. Se la tua organizzazione è soggetta a politiche aziendali o normative che richiedono la crittografia di dati e metadati, ti consigliamo di creare un file system crittografato quando non è attivo e di montare il file system utilizzando la crittografia dei dati in transito. **Topics** + [ # Crittografia dei dati a riposo ](encryption-at-rest.md) + [ # Crittografia dei dati in transito ](encryption-in-transit.md) + [ # Utilizzo AWS KMS delle chiavi per Amazon EFS ](EFSKMS.md) + [ # Risoluzione dei problemi di crittografia ](troubleshooting-efs-encryption.md) # Crittografia dei dati a riposo La crittografia a riposo crittografa i dati archiviati nel file system EFS. Ciò consente di soddisfare i requisiti di conformità e proteggere i dati sensibili dall'accesso non autorizzato. L'organizzazione potrebbe richiedere la crittografia di tutti i dati che soddisfano una classificazione specifica o sono associati a una particolare applicazione, carico di lavoro o ambiente. **Nota** L'infrastruttura di gestione delle AWS chiavi utilizza algoritmi crittografici approvati dal Federal Information Processing Standards (FIPS) 140-3. L'infrastruttura è compatibile con le raccomandazioni National Institute of Standards and Technology (NIST) 800-57. Quando crei un file system utilizzando la console Amazon EFS, la crittografia a riposo è abilitata per impostazione predefinita. Quando utilizzi AWS CLI l'API o SDKs per creare un file system, devi abilitare esplicitamente la crittografia. Dopo aver creato un file system EFS, non è possibile modificarne l'impostazione di crittografia. Ciò significa che non è possibile modificare un file system non crittografato per renderlo crittografato. È invece possibile [replicare il file system](efs-replication.md) per copiare i dati dal file system non crittografato a un nuovo file system crittografato. Per ulteriori informazioni, vedi [Come posso attivare la crittografia a riposo per un file system EFS esistente?](https://repost.aws/knowledge-center/efs-turn-on-encryption-at-rest) ## Come funziona la crittografia dei dati memorizzati su disco In un file system crittografato, i dati e i metadati vengono crittografati per impostazione predefinita prima di essere scritti sullo storage e vengono decrittografati automaticamente durante la lettura. Questi processi sono gestiti in modo trasparente da Amazon EFS, quindi non è necessario modificare le applicazioni. Amazon EFS utilizza AWS KMS per la gestione delle chiavi quanto segue: + **Crittografia dei dati dei file**: il contenuto dei file viene crittografato utilizzando la chiave KMS specificata. Questo può essere uno dei seguenti: + L'opzione predefinita Chiave di proprietà di AWS per Amazon EFS (`aws/elasticfilesystem`), senza costi aggiuntivi. + Una chiave gestita dal cliente che puoi creare e gestire: fornisce funzionalità di controllo e audit aggiuntive. + **Crittografia dei metadati**: i nomi dei file, i nomi delle directory e il contenuto delle directory vengono crittografati utilizzando una chiave gestita internamente da Amazon EFS. ### Processo di crittografia Quando un file system viene creato o replicato su un file system nello stesso account, Amazon EFS utilizza una [Forward Access Session (FAS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html) per effettuare chiamate KMS utilizzando le credenziali del chiamante. Nei CloudTrail log, la `kms:CreateGrant` chiamata sembra essere effettuata dalla stessa identità utente che ha creato il file system o la replica. Puoi identificare le chiamate al servizio Amazon EFS cercando il `invokedBy` campo con il valore`elasticfilesystem.amazonaws.com`. CloudTrail La politica delle risorse sulla chiave KMS deve consentire a FAS di effettuare la chiamata. `CreateGrant` **Importante** Gestisci il controllo della concessione e puoi revocarla in qualsiasi momento. La revoca della concessione impedisce ad Amazon EFS di accedere alla chiave KMS per operazioni future. *Per ulteriori informazioni, consulta [Ritiro e revoca](https://docs.aws.amazon.com/kms/latest/developerguide/grant-delete.html) delle sovvenzioni nella Guida per gli sviluppatori.AWS Key Management Service * . Quando si utilizzano chiavi KMS gestite dal cliente, la politica delle risorse deve consentire anche il servizio principale di Amazon EFS e includere la `kms:ViaService` condizione per limitare l'accesso all'endpoint di servizio specifico. Esempio: ``` "kms:ViaService": "elasticfilesystem.us-east-2.amazonaws.com" ``` Amazon EFS utilizza l'algoritmo di crittografia AES-256 standard di settore per crittografare dati e metadati inattivi. Per ulteriori informazioni sulle politiche chiave KMS per Amazon EFS, consulta[Utilizzo AWS KMS delle chiavi per Amazon EFS](EFSKMS.md). ## Applicazione della crittografia a riposo per i nuovi file system Puoi utilizzare la chiave di condizione `elasticfilesystem:Encrypted` IAM nelle policy basate sull'identità AWS Identity and Access Management (IAM) per imporre la creazione a riposo quando gli utenti creano file system EFS. Per ulteriori informazioni su come utilizzare la chiave di condizione, consulta [Esempio: applicazione della creazione di file system crittografati](security_iam_id-based-policy-examples.md#using-iam-to-enforce-encryption-at-rest). Puoi anche definire policy di controllo del servizio (SCPs) all'interno AWS Organizations per applicare la crittografia Amazon EFS per tutti i membri Account AWS della tua organizzazione. Per ulteriori informazioni sulle politiche di controllo del servizio in AWS Organizations, consulta le [politiche di controllo dei servizi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html#orgs_manage_policies_scp) nella *Guida per l'AWS Organizations utente*. # Crittografia dei dati in transito Amazon EFS supporta la crittografia dei dati in transito con Transport Layer Security (TLS). Quando la crittografia dei dati in transito viene dichiarata come opzione di montaggio per il file system EFS, Amazon EFS stabilisce una connessione TLS sicura con il file system EFS al momento del montaggio del file system. Tutto il traffico NFS viene instradato attraverso questa connessione crittografata. ## Come funziona la crittografia dei dati in transito Si consiglia di utilizzare l'helper di montaggio EFS per montare il file system perché semplifica il processo di montaggio rispetto al montaggio con NFS `mount`. L'EFS mount helper gestisce il processo utilizzando efs-proxy (per efs-utils versione 2.0.0 e successive) o stunnel (per le versioni precedenti di efs-utils) per stabilire una connessione TLS sicura con il file system EFS. Se non si utilizza l'helper di montaggio, è comunque possibile abilitare la crittografia dei dati in transito. Di seguito sono riportati i passaggi per eseguire questa operazione. **Per abilitare la crittografia dei dati in transito senza utilizzare il mount helper** 1. Scaricare e installare `stunnel` e annotare la porta che sulla quale si pone in ascolto l'applicazione. Per ulteriori informazioni, consulta [Aggiornamento di `stunnel`](upgrading-stunnel.md). 1. Esegui `stunnel` per connetterti al tuo file system EFS sulla porta 2049 utilizzando TLS. 1. Utilizzando il client NFS, montare `localhost:port`, dove `port` è la porta annotato nel primo passaggio. Poiché la crittografia dei dati in transito viene configurata su base connessione, a ogni montaggio configurato deve a corrispondere un processo `stunnel` dedicato in esecuzione sull'istanza. Per impostazione predefinita, il processo stunnel utilizzato dal mount helper ascolta su una porta locale tra 20049 e 20449 e si connette ad Amazon EFS sulla porta 2049. **Nota** Per impostazione predefinita, quando si utilizza l'helper di montaggio EFS con TLS, impone l'uso dell'Online Certificate Status Protocol (OCSP) e il controllo del nome host del certificato. L'helper di montaggio EFS utilizza il programma stunnel per la sua funzionalità TLS. Alcune versioni di Linux non includono una versione di stunnel che supporta queste funzionalità di TLS per impostazione predefinita. Quando si utilizza una di queste versioni di Linux, il montaggio di un file system EFS tramite TLS non riesce. Dopo aver installato il amazon-efs-utils pacchetto, per aggiornare la versione di stunnel del sistema, consulta. [Aggiornamento di `stunnel`](upgrading-stunnel.md) Per problemi relativi alla crittografia, consultare [Risoluzione dei problemi di crittografia](troubleshooting-efs-encryption.md). Quando si utilizza la crittografia dei dati in transito, la configurazione del client NFS viene modificata. Quando si ispezionano i tuoi file system montati, se ne vede uno montato all'indirizzo 127.0.0.1 o `localhost`, come nell'esempio seguente. ``` $ mount | column -t 127.0.0.1:/ on /home/ec2-user/efs type nfs4 (rw,relatime,vers=4.1,rsize=1048576,wsize=1048576,namlen=255,hard,proto=tcp,port=20127,timeo=600,retrans=2,sec=sys,clientaddr=127.0.0.1,local_lock=none,addr=127.0.0.1) ``` Quando si esegue il montaggio con TLS e EFS mount helper, si riconfigura il client NFS per il montaggio su una porta locale. L'helper di montaggio EFS avvia un processo client `stunnel` che rimane in ascolto su questa porta locale, e `stunnel` apre una connessione crittografata verso EFS usando TLS. L'helper di montaggio di EFS è responsabile per la configurazione e la manutenzione di questa connessione crittografata e della relativa configurazione. Per determinare quale ID del file system Amazon EFS corrisponde a quale punto di montaggio locale, è possibile utilizzare il comando seguente. Ricordati di sostituirlo *efs-mount-point* con il percorso locale in cui hai montato il file system. ``` grep -E "Successfully mounted.*efs-mount-point" /var/log/amazon/efs/mount.log | tail -1 ``` Quando si utilizza l'helper di montaggio EFS per la crittografia dei dati in transito, viene creato anche un processo chiamato`amazon-efs-mount-watchdog`. Questo processo assicura che il processo di stunnel di ogni montaggio sia in esecuzione e interrompe lo stunnel quando il file system EFS viene smontato. Se per qualsiasi motivo un processo stunnel si arresta in modo inatteso, il processo watchdog lo riavvia. # Utilizzo AWS KMS delle chiavi per Amazon EFS Utilizzo AWS KMS delle chiavi Amazon EFS si integra con AWS Key Management Service (AWS KMS) per la gestione delle chiavi. Amazon EFS utilizza chiavi gestite dal cliente per crittografare il file system nel modo seguente: + **Crittografia dei dati a riposo** - Amazon EFS utilizza Chiave gestita da AWS per Amazon EFS, `aws/elasticfilesystem`, per criptare e decriptare i metadati del file system (cioè i nomi dei file, i nomi delle directory e i contenuti delle directory). + **Crittografia dei dati a riposo** - L'utente sceglie la chiave gestita dal cliente utilizzata per crittografare e decifrare i file di dati (ovvero i contenuti dei file). È possibile attivare, disattivare o revocare le concessioni su questa chiave gestita dal cliente. Questa chiave gestita dal cliente può essere dei due tipi seguenti: + **Chiave gestita da AWS per Amazon EFS**: questa è la chiave gestita dal cliente predefinita,`aws/elasticfilesystem`. Non viene addebitato alcun costo per creare e archiviare una chiave gestita dal cliente, ma sono previsti costi di utilizzo. Per ulteriori informazioni, consulta [Prezzi di AWS Key Management Service](https://aws.amazon.com/kms/pricing/). + **Chiave gestita dal cliente** – Questa è la chiave KMS più flessibile da usare, perché è possibile configurare le policy della chiave e i permessi per più utenti o servizi. Per ulteriori informazioni sulla creazione di chiavi gestite dal cliente, consulta [Creating keys](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) nella *AWS Key Management Service Developer Guide.* Se si utilizza una chiave gestita dal cliente per la crittografia e la decrittografia dei dati dei file, è possibile attivare la rotazione delle chiavi. Quando abiliti la rotazione dei tasti, ruota AWS KMS automaticamente la chiave una volta all'anno. Inoltre, con una chiave gestita dal cliente, è possibile scegliere quando disattivare, riattivare, eliminare o revocare l'accesso alla chiave gestita dal cliente in qualsiasi momento. Per ulteriori informazioni, consulta [Utilizzo AWS KMS delle chiavi per Amazon EFS](#EFSKMS). **Importante** Amazon EFS accetta solo chiavi simmetriche gestite dal cliente. Non puoi usare chiavi asimmetriche gestite dai clienti con Amazon EFS. La crittografia e la decifratura dei dati memorizzati su disco sono gestite in modo trasparente. Tuttavia, nei AWS CloudTrail log relativi alle AWS KMS azioni vengono visualizzati AWS account IDs specifici di Amazon EFS. Per ulteriori informazioni, consulta [Voci dei file di log di Amazon encrypted-at-rest EFS per i file system](logging-using-cloudtrail.md#efs-encryption-cloudtrail). ## Politiche chiave di Amazon EFS per AWS KMS Le policy delle chiavi sono il modo principale per controllare l'accesso alle chiavi gestite dai clienti. Per ulteriori informazioni sulle policy delle chiavi, consulta [Policy delle chiavi in AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) nella *Guida per gli sviluppatori di AWS Key Management Service *.Il seguente elenco descrive tutte le autorizzazioni correlate a AWS KMS che sono richieste o comunque supportate da Amazon EFS per i file system crittografati a riposo: + **kms:Encrypt** - (Facoltativa) Crittografa testo normale in testo criptato. Questa autorizzazione è inclusa nella policy sulla chiave predefinita. + **kms:Decrypt** - (Obbligatoria) Decifra il testo criptato. Il testo cifrato è un testo normale che è stato precedentemente crittografato. Questa autorizzazione è inclusa nella policy sulla chiave predefinita. + **kms: ReEncrypt** — (Facoltativo) Crittografa i dati sul lato server con una nuova chiave gestita dal cliente, senza esporre il testo in chiaro dei dati sul lato client. I dati sono prima decifrati e quindi nuovamente crittografati. Questa autorizzazione è inclusa nella policy sulla chiave predefinita. + **kms: GenerateDataKeyWithoutPlaintext** — (Obbligatorio) Restituisce una chiave di crittografia dei dati crittografata con una chiave gestita dal cliente. Questa autorizzazione è inclusa nella politica delle chiavi predefinita in **kms: GenerateDataKey \$1**. + **kms: CreateGrant** — (Obbligatorio) Aggiunge una concessione a una chiave per specificare chi può utilizzare la chiave e in quali condizioni. I grant sono meccanismi di autorizzazioni alternative alle policy sulle chiavi. *Per ulteriori informazioni sulle sovvenzioni, consulta [Grants AWS KMS nella Developer](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) Guide.AWS Key Management Service * Questa autorizzazione è inclusa nella policy sulla chiave predefinita. + **kms: DescribeKey** — (Obbligatorio) Fornisce informazioni dettagliate sulla chiave gestita dal cliente specificata. Questa autorizzazione è inclusa nella policy sulla chiave predefinita. + **kms: ListAliases** — (Facoltativo) Elenca tutti gli alias chiave dell'account. Quando si utilizza la console per creare un file system crittografato, questa autorizzazione popola l'elenco **Seleziona chiave KMS**. Consigliamo di usare questa autorizzazione per garantire la migliore esperienza utente. Questa autorizzazione è inclusa nella policy sulla chiave predefinita. ### Chiave gestita da AWS per la politica Amazon EFS KMS La policy KMS JSON per Chiave gestita da AWS Amazon EFS `aws/elasticfilesystem` è la seguente: ``` { "Version": "2012-10-17", "Id": "auto-elasticfilesystem-1", "Statement": [ { "Sid": "Allow access to EFS for all principals in the account that are authorized to use EFS", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:CreateGrant", "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "elasticfilesystem.us-east-2.amazonaws.com", "kms:CallerAccount": "111122223333" } } }, { "Sid": "Allow direct access to key metadata to the account", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:root" }, "Action": [ "kms:Describe*", "kms:Get*", "kms:List*", "kms:RevokeGrant" ], "Resource": "*" } ] } ``` ## Stati chiave e relativi effetti Lo stato della chiave KMS influisce direttamente sull'accesso al file system crittografato: Abilitato Funzionamento normale: accesso completo in lettura e scrittura al file system Disabilitato Il file system diventa inaccessibile dopo un breve periodo. Può essere riattivato. In attesa di eliminazione Il file system diventa inaccessibile. L'eliminazione può essere annullata durante il periodo di attesa. Eliminato File system permanentemente inaccessibile. Questa azione non può essere annullata. **avvertimento** Se disabiliti o elimini la chiave KMS utilizzata per il tuo file system o revochi l'accesso Amazon EFS alla chiave, il file system diventerà inaccessibile. Ciò può causare la perdita di dati se non disponi di backup. Assicurati sempre di disporre di procedure di backup adeguate prima di apportare modifiche alle chiavi di crittografia. # Risoluzione dei problemi di crittografia **Topics** + [ ## Il montaggio con la crittografia dei dati in transito ha esito negativo ](#mounting-tls-fails) + [ ## Il montaggio con la crittografia dei dati in transito è interrotto ](#mounting-tls-interrupt) + [ ## Encrypted-at-rest il file system non può essere creato ](#unable-to-encrypt) + [ ## File system crittografato inutilizzabile ](#unusable-encrypt) ## Il montaggio con la crittografia dei dati in transito ha esito negativo Per impostazione predefinita, quando utilizzi l'helper di montaggio di Amazon EFS con Transport Layer Security (TLS), viene eseguita la verifica del nome dell'host. Alcuni sistemi non supportano questa funzionalità, ad esempio Red Hat Enterprise Linux o CentOS. In questi casi, il montaggio di un file system EFS con TLS ha esito negativo. **Operazione da eseguire** È consigliabile che esegua l'aggiornamento della versione del servizio stunnel sul tuo client per assicurarti che sia supportata verifica del nome dell'host. Per ulteriori informazioni, consulta [Aggiornamento di `stunnel`](upgrading-stunnel.md). ## Il montaggio con la crittografia dei dati in transito è interrotto È possibile, anche se improbabile, che la connessione crittografata al proprio file system Amazon EFS possono rimanere bloccata o essere interrotta da eventi lato client. **Operazione da eseguire** Se la connessione al file system Amazon EFS con crittografia dei dati in transito viene interrotta, eseguire i seguenti passaggi: 1. Verificare che il servizio stunnel sia in esecuzione sul client. 1. Confermare che l'applicazione watchdog `amazon-efs-mount-watchdog` sia in esecuzione sul client. È possibile determinare se questa applicazione è in esecuzione con il comando seguente: ``` ps aux | grep [a]mazon-efs-mount-watchdog ``` 1. Controllare i log di assistenza. Per ulteriori informazioni, consulta [Ottenimento dei log per il supporto](mount-helper-logs.md). 1. Eventualmente, è possibile abilitare i logo di stunnel e controllare anche le informazioni in essi contenute. Per abilitare i log di stunnel, è possibile modificare la configurazione dei registri in `/etc/amazon/efs/efs-utils.conf`. Affinché le modifiche abbiano effetto, tuttavia, è necessario smontare e rimontare il file system con l'helper di montaggio. **Importante** L'abilitazione dei log di stunnel potrebbe portare a un consumo di spazio di memorizzazione sul file system non indifferente. Se le interruzioni persistono, contatta l' AWS assistenza. ## Encrypted-at-rest il file system non può essere creato Hai provato a creare un nuovo encrypted-at-rest file system. Tuttavia, viene visualizzato un messaggio di errore che indica che non AWS KMS è disponibile. **Operazione da eseguire** Questo errore può verificarsi nel raro caso in cui AWS KMS diventi temporaneamente non disponibile nel tuo Regione AWS. In tal caso, attendi AWS KMS il ripristino della piena disponibilità, quindi riprova a creare il file system. ## File system crittografato inutilizzabile Un file system crittografato restituisce regolarmente errori del server NFS. Questi errori possono verificarsi quando EFS non è in grado di recuperare la chiave master da cui proviene AWS KMS per uno dei seguenti motivi: + La chiave è stata disabilitata. + La chiave è stata eliminata. + Le autorizzazioni concesse a Amazon EFS per l'utilizzo della chiave sono state revocate. + AWS KMS è temporaneamente non disponibile. **Operazione da eseguire** Innanzitutto, verifica che la AWS KMS chiave sia abilitata. È possibile farlo visualizzando le chiavi nella console. Per ulteriori informazioni, consulta [Visualizzazione delle chiavi](https://docs.aws.amazon.com/kms/latest/developerguide/viewing-keys.html) nella *Guida per gli sviluppatori di AWS Key Management Service *. Se la chiave non è abilitato, abilitarla. Per ulteriori informazioni consulta l'articolo relativo all'[abilitazione e disabilitazione delle chiavi](https://docs.aws.amazon.com/kms/latest/developerguide/enabling-keys.html) nella *Guida per gli sviluppatori di AWS Key Management Service *. Se la chiave è in attesa di eliminazione, allora questo stato disabilita la chiave. È possibile annullare l'eliminazione e abilitare di nuovo la chiave. Per ulteriori informazioni, consultare [Pianificazione e annullamento della cancellazione delle chiavi](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html#deleting-keys-scheduling-key-deletion) nella *Guida per gli sviluppato di AWS Key Management Service *. Se la chiave è abilitata e il problema persiste o se riscontri un problema durante la riattivazione della chiave, contatta l' AWS assistenza.