Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Protezione dei dati in Amazon FSx for Lustre
Il modello di [responsabilità AWS condivisa modello](https://aws.amazon.com/compliance/shared-responsibility-model/) di si applica alla protezione dei dati in Amazon FSx for Lustre. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i Cloud AWS. L'utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. L'utente è inoltre responsabile della configurazione della protezione e delle attività di gestione per i Servizi AWS utilizzati. Per ulteriori informazioni sulla privacy dei dati, vedi le [Domande frequenti sulla privacy dei dati](https://aws.amazon.com/compliance/data-privacy-faq/). Per informazioni sulla protezione dei dati in Europa, consulta il post del blog relativo al [Modello di responsabilità condivisa AWS e GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) nel *Blog sulla sicurezza AWS *.
Ai fini della protezione dei dati, consigliamo di proteggere Account AWS le credenziali e configurare i singoli utenti con AWS IAM Identity Center or AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Ti suggeriamo, inoltre, di proteggere i dati nei seguenti modi:
+ Utilizza l'autenticazione a più fattori (MFA) con ogni account.
+ Usa SSL/TLS per comunicare con le risorse. AWS È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Configura l'API e la registrazione delle attività degli utenti con. AWS CloudTrail Per informazioni sull'utilizzo dei CloudTrail percorsi per acquisire AWS le attività, consulta [Lavorare con i CloudTrail percorsi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) nella *Guida per l'AWS CloudTrail utente*.
+ Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.
+ Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.
+ Se hai bisogno di moduli crittografici convalidati FIPS 140-3 per accedere AWS tramite un'interfaccia a riga di comando o un'API, usa un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Ti consigliamo di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo **Nome**. Ciò include quando lavori con Amazon FSx o altro Servizi AWS utilizzando la console AWS CLI, l'API o AWS SDKs. I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Quando fornisci un URL a un server esterno, ti suggeriamo vivamente di non includere informazioni sulle credenziali nell'URL per convalidare la tua richiesta al server.
**Topics**
+ [Crittografia dei dati in Amazon FSx for Lustre](encryption-fsxl.md)
+ [Riservatezza del traffico Internet](internetwork-privacy.md)
# Crittografia dei dati in Amazon FSx for Lustre
Amazon FSx for Lustre supporta due forme di crittografia per i file system, la crittografia dei dati inattivi e la crittografia in transito. La crittografia dei dati inattivi viene abilitata automaticamente durante la creazione di un FSx file system Amazon. La crittografia dei dati in transito viene abilitata automaticamente quando accedi a un FSx file system [Amazon da EC2 istanze](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit) Amazon che supportano questa funzionalità.
## Quando usare la crittografia
Se la tua organizzazione è soggetta a politiche aziendali o normative che richiedono la crittografia dei dati e dei metadati inattivi, ti consigliamo di creare un file system crittografato e di montare il file system utilizzando la crittografia dei dati in transito.
Per ulteriori informazioni sulla creazione di un file system crittografato a riposo utilizzando la console, consulta [ Create your Amazon FSx for Lustre file system](getting-started.md#getting-started-step1).
**Topics**
+ [Quando usare la crittografia](#whenencrypt)
+ [Crittografia dei dati a riposo](encryption-at-rest.md)
+ [Crittografia dei dati in transito](encryption-in-transit-fsxl.md)
# Crittografia dei dati a riposo
La crittografia dei dati inattivi viene abilitata automaticamente quando crei un Amazon FSx for Lustre file system tramite Console di gestione AWS AWS CLI, il o programmaticamente tramite l' FSx API Amazon o uno dei. AWS SDKs Un'azienda potrebbe richiedere la crittografia di tutti i dati che soddisfano una determinata classificazione o sono associati a una determinata applicazione, carico di lavoro o ambiente. Se crei un file system persistente, puoi specificare la AWS KMS chiave con cui crittografare i dati. Se crei un file system scratch, i dati vengono crittografati utilizzando chiavi gestite da Amazon FSx. Per ulteriori informazioni sulla creazione di un file system crittografato a riposo utilizzando la console, consulta [ Create your Amazon FSx for Lustre file system](getting-started.md#getting-started-step1).
**Nota**
L'infrastruttura di gestione delle AWS chiavi utilizza algoritmi crittografici approvati dal Federal Information Processing Standards (FIPS) 140-2. L'infrastruttura è compatibile con le raccomandazioni National Institute of Standards and Technology (NIST) 800-57.
Per ulteriori informazioni sulle modalità di utilizzo di Lustre, FSx vedere. AWS KMS[In che modo Amazon FSx for Lustre utilizza AWS KMS](#FSXKMS)
## Come funziona la crittografia dei dati memorizzati su disco
In un file system crittografato, i dati e i metadati vengono automaticamente crittografati prima di essere scritti sul file system. Analogamente, quando i dati e i metadati vengono letti, sono automaticamente decifrati prima di essere presentati all'applicazione. Questi processi sono gestiti in modo trasparente da Amazon FSx for Lustre, quindi non è necessario modificare le applicazioni.
Amazon FSx for Lustre utilizza l'algoritmo di crittografia AES-256 standard del settore per crittografare i dati del file system inattivi. Per ulteriori informazioni, consulta [Elementi di base di crittografia](https://docs.aws.amazon.com/kms/latest/developerguide/crypto-intro.html) nella *Guida per sviluppatori di AWS Key Management Service *.
## In che modo Amazon FSx for Lustre utilizza AWS KMS
Amazon FSx for Lustre crittografa automaticamente i dati prima che vengano scritti nel file system e decrittografa automaticamente i dati man mano che vengono letti. I dati vengono crittografati utilizzando un codice a blocchi XTS-AES-256. Tutti i file system di scratch FSx for Lustre sono crittografati quando sono inattivi con chiavi gestite da. AWS KMSAmazon FSx for Lustre si integra con AWS KMS per la gestione delle chiavi. Le chiavi utilizzate per crittografare i file system scratch inattivi sono uniche per ogni file system e vengono distrutte dopo l'eliminazione del file system. Per i file system persistenti, scegli la chiave KMS utilizzata per crittografare e decrittografare i dati. È necessario specificare la chiave da utilizzare quando si crea un file system persistente. Puoi abilitare, disabilitare o revocare le concessioni su questa chiave KMS. Questa chiave KMS può essere di uno dei due tipi seguenti:
+ **Chiave gestita da AWS per Amazon FSx**: questa è la chiave KMS predefinita. Non ti viene addebitato alcun costo per creare e archiviare una chiave KMS, ma ci sono costi di utilizzo. Per ulteriori informazioni, consulta [Prezzi di AWS Key Management Service](https://aws.amazon.com/kms/pricing/).
+ **Chiave gestita dal cliente** – Questa è la chiave KMS più flessibile da usare, perché è possibile configurare le policy della chiave e i permessi per più utenti o servizi. Per ulteriori informazioni sulla creazione di chiavi gestite dai clienti, consulta [Creazione di chiavi](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) nella *Guida per gli AWS Key Management Service sviluppatori*.
Se utilizzi una chiave gestita dal cliente come chiave KMS per la crittografia e la decrittografia dei dati dei file, puoi abilitare la rotazione delle chiavi. Quando abiliti la rotazione delle chiavi, la ruota AWS KMS automaticamente una volta all'anno. Inoltre, con una chiave gestita dal cliente, è possibile scegliere quando disattivare, riattivare, eliminare o revocare l'accesso alla chiave gestita dal cliente in qualsiasi momento.
**Importante**
Amazon FSx accetta solo chiavi KMS con crittografia simmetrica. Non puoi utilizzare chiavi KMS asimmetriche con Amazon. FSx
### Politiche FSx chiave di Amazon per AWS KMS
Le policy chiave sono lo strumento principale per controllare l'accesso alle chiavi KMS. Per ulteriori informazioni sulle politiche chiave, consulta [Using key policy AWS KMS nella AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) *Developer Guide.*L'elenco seguente descrive tutte le autorizzazioni AWS KMS correlate supportate da Amazon FSx per i file system crittografati a riposo:
+ **kms:Encrypt** - (Facoltativa) Crittografa testo normale in testo criptato. Questa autorizzazione è inclusa nella policy sulla chiave predefinita.
+ **kms:Decrypt** - (Obbligatoria) Decifra il testo criptato. Il testo cifrato è un testo normale che è stato precedentemente crittografato. Questa autorizzazione è inclusa nella policy sulla chiave predefinita.
+ **kms: ReEncrypt** — (Facoltativo) Crittografa i dati sul lato server con una nuova chiave KMS, senza esporre il testo in chiaro dei dati sul lato client. I dati sono prima decifrati e quindi nuovamente crittografati. Questa autorizzazione è inclusa nella policy sulla chiave predefinita.
+ **kms: GenerateDataKeyWithoutPlaintext** — (Obbligatorio) Restituisce una chiave di crittografia dei dati crittografata con una chiave KMS. Questa autorizzazione è inclusa nella politica delle chiavi predefinita in **kms**: \$1. GenerateDataKey
+ **kms: CreateGrant** — (Obbligatorio) Aggiunge una concessione a una chiave per specificare chi può utilizzare la chiave e in quali condizioni. I grant sono meccanismi di autorizzazioni alternative alle policy sulle chiavi. *Per ulteriori informazioni sulle sovvenzioni, consulta [Using grants](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) nella Developer Guide.AWS Key Management Service * Questa autorizzazione è inclusa nella policy sulla chiave predefinita.
+ **kms: DescribeKey** — (Obbligatorio) Fornisce informazioni dettagliate sulla chiave KMS specificata. Questa autorizzazione è inclusa nella policy sulla chiave predefinita.
+ **kms: ListAliases** — (Facoltativo) Elenca tutti gli alias chiave dell'account. Quando usi la console per creare un file system crittografato, questa autorizzazione compila l'elenco per selezionare la chiave KMS. Consigliamo di usare questa autorizzazione per garantire la migliore esperienza utente. Questa autorizzazione è inclusa nella policy sulla chiave predefinita.
# Crittografia dei dati in transito
Scratch 2 e i file system persistenti possono crittografare automaticamente i dati in transito quando si accede al file system da EC2 istanze Amazon che supportano la crittografia in transito e anche per tutte le comunicazioni tra host all'interno del file system. Per sapere quali EC2 istanze supportano la crittografia in transito, consulta [Encryption in transit](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit) nella *Amazon EC2 User Guide*.
Per un elenco dei prodotti Regioni AWS in cui è disponibile Amazon FSx for Lustre, consulta[Disponibilità del tipo di implementazione](using-fsx-lustre.md#persistent-deployment-regions).
# Riservatezza del traffico Internet
Questo argomento descrive come Amazon FSx protegge le connessioni dal servizio ad altre località.
## Traffico tra Amazon FSx e i clienti locali
Hai due opzioni di connettività tra la tua rete privata e AWS:
+ Una AWS Site-to-Site VPN connessione. Per ulteriori informazioni, vedi [Cos'è AWS Site-to-Site VPN?](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)
+ Una AWS Direct Connect connessione. Per ulteriori informazioni, vedi [Cos'è AWS Direct Connect?](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)
È possibile accedere a Lustre tramite la rete FSx per accedere alle operazioni API AWS pubblicate per eseguire attività amministrative e Lustre porte per interagire con il file system.
### Crittografia del traffico API
Per accedere alle operazioni API AWS pubblicate, i client devono supportare Transport Layer Security (TLS) 1.2 o versione successiva. È richiesto TLS 1.2 ed è consigliato TLS 1.3. I client devono inoltre supportare le suite di cifratura con PFS (Perfect Forward Secrecy), ad esempio Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Diffie-Hellman Ephemeral (ECDHE). La maggior parte dei sistemi moderni, come Java 7 e versioni successive, supporta tali modalità. Inoltre, le richieste devono essere firmate utilizzando un ID chiave di accesso e una chiave di accesso segreta associata a un principale IAM. Oppure puoi utilizzare [AWS Security Token Service (STS)](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) per generare credenziali di sicurezza temporanee per firmare le richieste.
### Crittografia del traffico dati
La crittografia dei dati in transito è abilitata dalle EC2 istanze supportate che accedono ai file system dall'interno di. Cloud AWS Per ulteriori informazioni, vedere[Crittografia dei dati in transito](encryption-in-transit-fsxl.md). FSx for Lustre non offre in modo nativo la crittografia in transito tra client locali e file system.