Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Sicurezza
<a name="aiml-security"></a>

**Suggerimento**  
 [Esplora le](https://aws-experience.com/emea/smb/events/series/get-hands-on-with-amazon-eks?trk=4a9b4147-2490-4c63-bc9f-f8a84b122c8c&sc_channel=el) best practice tramite i workshop Amazon EKS.

## Sicurezza e conformità
<a name="_security_and_compliance"></a>

### Prendi in considerazione S3 con KMS per uno storage conforme alla crittografia
<a name="_consider_s3_with_kms_for_encryption_compliant_storage"></a>

[Salvo diversa indicazione, tutti i bucket S3 utilizzano SSE-S3 per impostazione predefinita per crittografare gli oggetti inattivi.](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html) Tuttavia, puoi scegliere di configurare i bucket per utilizzare invece la crittografia lato server con le chiavi AWS Key Management Service (AWS KMS) (SSE-KMS). I controlli della sicurezza in AWS KMS possono essere d'aiuto per soddisfare i requisiti di conformità correlati alla crittografia. Puoi utilizzare queste chiavi KMS per proteggere i dati nei bucket Amazon S3. Quando utilizzi la crittografia SSE-KMS con un bucket S3, le chiavi AWS KMS devono trovarsi nella stessa regione del bucket.

Configura i tuoi [bucket generici](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingBucket.html) per utilizzare [S3 Bucket Keys per SSE-KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html#sse-kms-bucket-keys), per ridurre i costi delle richieste AWS KMS fino al 99 percento diminuendo il traffico delle richieste da Amazon S3 ad AWS KMS. Le S3 Bucket Keys [sono sempre abilitate](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-express-UsingKMSEncryption.html#s3-express-sse-kms-bucket-keys) e funzionano in un bucket di directory e non possono essere disabilitate. `GET` `PUT`

Tieni presente che [Amazon S3 Express One Zone](https://aws.amazon.com/s3/storage-classes/express-one-zone/) utilizza un tipo specifico di bucket chiamato bucket di directory *S3*. I bucket di directory sono destinati esclusivamente alla classe di storage S3 Express One Zone e consentono un accesso ad alte prestazioni e bassa latenza. Per [configurare la crittografia dei bucket predefinita su un bucket di directory S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-express-specifying-kms-encryption.html), utilizza la CLI di AWS e specifica l'ID della chiave KMS o l'ARN, non l'alias, come nell'esempio seguente:

**Example**  

```
aws s3api put-bucket-encryption --bucket my-directory-bucket --server-side-encryption-configuration \
   '{"Rules": [{"ApplyServerSideEncryptionByDefault": {"SSEAlgorithm": "aws:kms", "KMSMasterKeyID": "1234abcd-12ab-34cd-56ef-1234567890ab"}}]}'
```
Assicurati che il ruolo IAM del tuo pod EKS disponga delle autorizzazioni KMS (ad esempio) per accedere agli oggetti crittografati. `kms:Decrypt` Provalo in un ambiente di staging caricando un modello di esempio nel bucket, montandolo in un pod (ad esempio, tramite il driver CSI Mountpoint S3) e verificando che il pod sia in grado di leggere i dati crittografati senza errori. Registri di controllo tramite AWS CloudTrail per confermare la conformità ai requisiti di crittografia. Consulta la [documentazione KMS](https://docs.aws.amazon.com/kms/latest/developerguide/) per i dettagli di configurazione e la gestione delle chiavi.