Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Protezione dei dati in Amazon FSx per Windows File Server
Il modello di [responsabilità AWS condivisa modello](https://aws.amazon.com/compliance/shared-responsibility-model/) si applica alla protezione dei dati in Amazon FSx per Windows File Server. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i Cloud AWS. L'utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. L'utente è inoltre responsabile della configurazione della protezione e delle attività di gestione per i Servizi AWS utilizzati. Per ulteriori informazioni sulla privacy dei dati, vedi le [Domande frequenti sulla privacy dei dati](https://aws.amazon.com/compliance/data-privacy-faq/). Per informazioni sulla protezione dei dati in Europa, consulta il post del blog relativo al [Modello di responsabilità condivisa AWS e GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) nel *Blog sulla sicurezza AWS *.
Ai fini della protezione dei dati, consigliamo di proteggere Account AWS le credenziali e configurare i singoli utenti con AWS IAM Identity Center or AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Ti suggeriamo, inoltre, di proteggere i dati nei seguenti modi:
+ Utilizza l'autenticazione a più fattori (MFA) con ogni account.
+ Usa SSL/TLS per comunicare con le risorse. AWS È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Configura l'API e la registrazione delle attività degli utenti con. AWS CloudTrail Per informazioni sull'utilizzo dei CloudTrail percorsi per acquisire AWS le attività, consulta [Lavorare con i CloudTrail percorsi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) nella *Guida per l'AWS CloudTrail utente*.
+ Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.
+ Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.
+ Se hai bisogno di moduli crittografici convalidati FIPS 140-3 per accedere AWS tramite un'interfaccia a riga di comando o un'API, usa un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Ti consigliamo di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo **Nome**. Ciò vale anche quando si lavora con FSx Windows File Server o altro Servizi AWS utilizzando la console, l'API o. AWS CLI AWS SDKs I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Quando fornisci un URL a un server esterno, ti suggeriamo vivamente di non includere informazioni sulle credenziali nell'URL per convalidare la tua richiesta al server.
## Crittografia dei dati FSx per Windows File Server
Amazon FSx per Windows File Server supporta la crittografia dei dati inattivi e la crittografia dei dati in transito. La crittografia dei dati inattivi viene abilitata automaticamente durante la creazione di un FSx file system Amazon. La crittografia dei dati in transito è supportata su condivisioni di file mappate su un'istanza di calcolo che supporta il protocollo SMB 3.0 o successivo. Amazon crittografa FSx automaticamente i dati in transito utilizzando la crittografia SMB quando accedi al tuo file system senza che tu debba modificare le tue applicazioni.
### Quando usare la crittografia
Se la propria azienda è soggetto a politiche aziendali o normative che richiedono la crittografia dei dati e dei metadati memorizzati su disco, consigliamo di creare un file system crittografato montando il file system utilizzando la crittografia dei dati in transito.
Se la tua organizzazione è soggetta a politiche aziendali o normative che richiedono la crittografia dei dati e dei metadati inattivi, i tuoi dati vengono automaticamente crittografati quando sono inattivi. Si consiglia inoltre di abilitare la crittografia dei dati in transito installando il file system utilizzando la crittografia dei dati in transito.
# Crittografia dei dati a riposo
Tutti i FSx file system Amazon sono crittografati quando sono inattivi con chiavi gestite tramite AWS Key Management Service (AWS KMS). I dati vengono crittografati automaticamente prima di essere scritti nel file system e decrittografati automaticamente durante la lettura. Questi processi sono gestiti in modo trasparente da Amazon FSx, quindi non devi modificare le tue applicazioni.
Amazon FSx utilizza un algoritmo di crittografia AES-256 standard di settore per crittografare dati e metadati Amazon FSx inattivi. Per ulteriori informazioni, consulta [Elementi di base di crittografia](https://docs.aws.amazon.com/kms/latest/developerguide/crypto-intro.html) nella *Guida per sviluppatori di AWS Key Management Service *.
**Nota**
L'infrastruttura di gestione delle AWS chiavi utilizza algoritmi crittografici approvati dal Federal Information Processing Standards (FIPS) 140-2. L'infrastruttura è compatibile con le raccomandazioni National Institute of Standards and Technology (NIST) 800-57.
## Come FSx utilizza Amazon AWS KMS
Amazon FSx si integra con AWS KMS per la gestione delle chiavi. Amazon FSx utilizza an AWS KMS key per crittografare il tuo file system. Scegli la chiave KMS utilizzata per crittografare e decrittografare i file system (dati e metadati). Puoi abilitare, disabilitare o revocare le concessioni su questa chiave KMS. Questa chiave KMS può essere di uno dei due tipi seguenti:
+ **Chiave gestita da AWS**— Questa è la chiave KMS predefinita ed è gratuita.
+ **Chiave gestita dal cliente** – Questa è la chiave KMS più flessibile da usare, perché è possibile configurare le policy della chiave e i permessi per più utenti o servizi. Per ulteriori informazioni sulla creazione di chiavi gestite dai clienti, consulta [Creating keys](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) nella * AWS Key Management Service Developer Guide*.
Se utilizzi una chiave gestita dal cliente come chiave KMS per la crittografia e la decrittografia dei dati dei file, puoi abilitare la rotazione delle chiavi. Quando si abilita la rotazione delle chiavi, AWS KMS fa ruotare automaticamente la chiave una volta all'anno. Inoltre, con una chiave gestita dal cliente, puoi scegliere quando disabilitare, riattivare, eliminare o revocare l'accesso alla tua chiave KMS in qualsiasi momento. *Per ulteriori informazioni, consulta [Rotating AWS KMS keys](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html) nella Developer Guide. AWS Key Management Service *
## Politiche Amazon FSx Key per AWS KMS
Le policy chiave sono lo strumento principale per controllare l'accesso alle chiavi KMS. Per ulteriori informazioni sulle politiche chiave, consulta la sezione [Utilizzo delle politiche chiave AWS KMS nella](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) *Guida per gli AWS Key Management Service sviluppatori.*L'elenco seguente descrive tutte le autorizzazioni AWS KMS relative supportate da Amazon FSx per i file system crittografati a riposo:
+ **kms:Encrypt** - (Facoltativa) Crittografa testo normale in testo criptato. Questa autorizzazione è inclusa nella policy sulla chiave predefinita.
+ **kms:Decrypt** - (Obbligatoria) Decifra il testo criptato. Il testo cifrato è un testo normale che è stato precedentemente crittografato. Questa autorizzazione è inclusa nella policy sulla chiave predefinita.
+ **kms: ReEncrypt** — (Facoltativo) Crittografa i dati sul lato server con una nuova chiave KMS, senza esporre il testo in chiaro dei dati sul lato client. I dati sono prima decifrati e quindi nuovamente crittografati. Questa autorizzazione è inclusa nella policy sulla chiave predefinita.
+ **kms: GenerateDataKeyWithoutPlaintext** — (Obbligatorio) Restituisce una chiave di crittografia dei dati crittografata con una chiave KMS. Questa autorizzazione è inclusa nella politica delle chiavi predefinita in **kms**: \$1. GenerateDataKey
+ **kms: CreateGrant** — (Obbligatorio) Aggiunge una concessione a una chiave per specificare chi può utilizzare la chiave e in quali condizioni. I grant sono meccanismi di autorizzazioni alternative alle policy sulle chiavi. Per ulteriori informazioni sulle sovvenzioni, consulta [Using grants](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) nella Developer Guide. AWS Key Management Service Questa autorizzazione è inclusa nella policy sulla chiave predefinita.
+ **kms: DescribeKey** — (Obbligatorio) Fornisce informazioni dettagliate sulla chiave KMS specificata. Questa autorizzazione è inclusa nella policy sulla chiave predefinita.
+ **kms: ListAliases** — (Facoltativo) Elenca tutti gli alias chiave dell'account. Quando usi la console per creare un file system crittografato, questa autorizzazione compila l'elenco delle chiavi KMS. Consigliamo di usare questa autorizzazione per garantire la migliore esperienza utente. Questa autorizzazione è inclusa nella policy sulla chiave predefinita.
# Crittografia dei dati in transito
La crittografia dei dati in transito è supportata nelle condivisioni di file mappate su un'istanza di calcolo che supporta il protocollo SMB 3.0 o versione successiva. Ciò include tutte le versioni di Windows a partire da Windows Server 2012 e Windows 8 e tutti i client Linux con client Samba versione 4.2 o successiva. Amazon FSx for Windows File Server crittografa automaticamente i dati in transito utilizzando la crittografia SMB quando accedi al file system senza la necessità di modificare le applicazioni.
La crittografia SMB utilizza AES-128-GCM o AES-128-CCM (con la variante GCM scelta se il client supporta SMB 3.1.1) come algoritmo di crittografia e garantisce inoltre l'integrità dei dati con la firma tramite chiavi di sessione Kerberos SMB. L'uso di AES-128-GCM porta a prestazioni migliori, ad esempio, fino a 2 volte superiori quando si copiano file di grandi dimensioni su connessioni SMB crittografate.
Per soddisfare i requisiti di conformità per la crittografia continua data-in-transit, è possibile limitare l'accesso al file system in modo da consentire l'accesso solo ai client che supportano la crittografia SMB. È inoltre possibile abilitare o disabilitare la crittografia in transito per ogni condivisione di file o per l'intero file system. Ciò consente di disporre di una combinazione di condivisioni di file crittografate e non crittografate sullo stesso file system.
## Gestione della crittografia in transito
È possibile utilizzare un set di PowerShell comandi personalizzati per controllare la crittografia dei dati in transito tra il file system FSx per Windows File Server e i client. È possibile limitare l'accesso al file system solo ai client che supportano la crittografia SMB in modo che data-in-transit sia sempre crittografata. Quando è attivata la crittografia di data-in-transit, gli utenti che accedono al file system da client che non supportano la crittografia SMB 3.0 non saranno in grado di accedere alle condivisioni di file per le quali è attivata la crittografia.
È inoltre possibile controllare la crittografia a livello di data-in-transit condivisione di file anziché a livello di file server. È possibile utilizzare i controlli di crittografia a livello di condivisione di file per disporre di una combinazione di condivisioni di file crittografate e non crittografate sullo stesso file system se si desidera applicare la crittografia in transito per alcune condivisioni di file che contengono dati sensibili e consentire a tutti gli utenti di accedere ad altre condivisioni di file. La crittografia a livello di server ha la precedenza sulla crittografia a livello di condivisione. Se la crittografia globale è abilitata, non è possibile disabilitare selettivamente la crittografia per determinate condivisioni.
Puoi gestire la crittografia in transito sul tuo file system utilizzando l'Amazon FSx CLI per la gestione remota su. PowerShell Per informazioni su come utilizzare questa CLI, consulta. [Utilizzo dell'Amazon FSx CLI per PowerShell](administering-file-systems.md#remote-pwrshell)
Di seguito sono riportati i comandi che è possibile utilizzare per gestire la crittografia in transito degli utenti sul file system.
| Encryption in Transit Command | Descrizione |
| --- | --- |
| **Get-FSxSmbServerConfiguration** | Recupera la configurazione del server Server Message Block (SMB). Nella risposta del sistema è possibile determinare la crittografia nelle impostazioni di transito per il file system in base ai valori delle proprietà and. `EncryptData` `RejectUnencryptedAccess` |
| **Set-FSxSmbServerConfiguration** | Questo comando ha due opzioni per configurare la crittografia in transito a livello globale sul file system: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/fsx/latest/WindowsGuide/encryption-in-transit.html) |
| **Set-FSxSmbShare -name *name* -EncryptData \$1True** | Imposta questo parametro su `True` per attivare la crittografia dei dati in transito per la condivisione. Imposta questo parametro su `False` per disattivare la crittografia dei dati in transito per la condivisione. |
La guida in linea di ogni comando fornisce un riferimento a tutte le opzioni di comando. Per accedere a questa guida, esegui il comando con**-?**, ad esempio**Get-FSxSmbServerConfiguration -?**.