Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Protezione dei dati in Amazon Inspector
<a name="data-protection"></a>

Il modello di [responsabilità AWS condivisa Modello](https://aws.amazon.com/compliance/shared-responsibility-model/) si applica alla protezione dei dati in Amazon Inspector. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i Cloud AWS. L’utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. L’utente è inoltre responsabile della configurazione della protezione e delle attività di gestione per i Servizi AWS utilizzati. Per maggiori informazioni sulla privacy dei dati, consulta le [Domande frequenti sulla privacy dei dati](https://aws.amazon.com/compliance/data-privacy-faq/). Per informazioni sulla protezione dei dati in Europa, consulta il post del blog relativo al [AWS Modello di responsabilità condivisa e GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) nel *AWS Blog sulla sicurezza*.

Ai fini della protezione dei dati, consigliamo di proteggere Account AWS le credenziali e configurare i singoli utenti con AWS IAM Identity Center or AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Suggeriamo, inoltre, di proteggere i dati nei seguenti modi:
+ Utilizza l’autenticazione a più fattori (MFA) con ogni account.
+  SSL/TLS Da utilizzare per comunicare con AWS le risorse. È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Configura l'API e la registrazione delle attività degli utenti con AWS CloudTrail. Per informazioni sull'utilizzo dei CloudTrail percorsi per acquisire AWS le attività, consulta [Lavorare con i CloudTrail percorsi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) nella *Guida per l'AWS CloudTrail utente*.
+ Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.
+ Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.
+ Se hai bisogno di moduli crittografici convalidati FIPS 140-3 per accedere AWS tramite un'interfaccia a riga di comando o un'API, usa un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).

Ti consigliamo di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo **Nome**. Ciò include quando lavori con Amazon Inspector o altro Servizi AWS utilizzando la console, l'API o. AWS CLI AWS SDKs I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Quando si fornisce un URL a un server esterno, suggeriamo vivamente di non includere informazioni sulle credenziali nell’URL per convalidare la richiesta al server.

**Topics**
+ [Crittografia dei dati a riposo](encryption-rest.md)
+ [Crittografia dei dati in transito](encryption-transit.md)

# Crittografia dei dati a riposo
<a name="encryption-rest"></a>

 Per impostazione predefinita, Amazon Inspector archivia i dati inattivi utilizzando soluzioni di AWS crittografia. Amazon Inspector crittografa i dati, come i seguenti: 
+  Inventario delle risorse raccolto con. AWS Systems Manager
+  Inventario delle risorse analizzato dalle immagini di Amazon Elastic Container Registry 
+  Risultati di sicurezza generati utilizzando chiavi AWS di crittografia di proprietà di AWS Key Management Service 

 Non è possibile gestire, utilizzare o visualizzare le chiavi AWS di proprietà. Tuttavia, non è necessario agire o modificare i programmi per proteggere le chiavi che crittografano i dati. Per ulteriori informazioni, consulta [Chiavi di proprietà di AWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#kms_keys). 

 Se disabiliti Amazon Inspector, elimina definitivamente tutte le risorse che archivia o gestisce per te, come l'inventario raccolto e i risultati di sicurezza. 

## Crittografia inattiva per il codice contenuto nei risultati
<a name="encryption-code-snippets"></a>

 Per la scansione del codice Amazon Inspector Lambda, Amazon Inspector collabora con Amazon Q per scansionare il codice alla ricerca di vulnerabilità. Quando viene rilevata una vulnerabilità, Amazon Q estrae un frammento di codice contenente la vulnerabilità e lo archivia fino a quando Amazon Inspector non richiede l'accesso. Per impostazione predefinita, Amazon Q utilizza una chiave AWS proprietaria per crittografare il codice estratto. Tuttavia, puoi configurare Amazon Inspector per utilizzare la tua chiave gestita dal cliente AWS KMS per la crittografia. 

 Il seguente flusso di lavoro spiega come Amazon Inspector utilizza la chiave configurata per crittografare il codice: 

1.  Fornisci una AWS KMS chiave ad Amazon Inspector utilizzando l'API Amazon [UpdateEncryptionKey](https://docs.aws.amazon.com/inspector/v2/APIReference/API_UpdateEncryptionKey.html)Inspector. 

1.  Amazon Inspector inoltra le informazioni sulla tua chiave AWS KMS ad Amazon Q e Amazon Q le memorizza per utilizzi futuri. 

1.  Amazon Q utilizza la chiave KMS configurata in Amazon Inspector tramite la policy chiave. 

1.  Amazon Q crea una chiave dati crittografata a partire dalla tua AWS KMS chiave e la archivia. Questa chiave dati viene utilizzata per crittografare i dati del codice archiviati da Amazon Q. 

1.  Quando Amazon Inspector richiede dati da scansioni di codice, Amazon Q utilizza la chiave KMS per decrittografare la chiave dati. Quando disabiliti la scansione del codice Lambda, Amazon Q elimina la chiave dati associata. 

## Autorizzazioni per la crittografia del codice con una chiave gestita dal cliente
<a name="cmk-permissions"></a>

 Per la crittografia, è necessario creare una chiave KMS con [una politica](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-overview.html) che includa un'istruzione che consenta ad Amazon Inspector e Amazon Q di eseguire le seguenti azioni. 
+  `kms:Decrypt` 
+  `kms:DescribeKey` 
+  `kms:Encrypt` 
+  `kms:GenerateDataKey` 
+  `kms:GenerateDataKeyWithoutPlainText` 

**Dichiarazione delle policy**  
 È possibile utilizzare la seguente dichiarazione di politica durante la creazione della chiave KMS. 

**Nota**  
 `account-id`Sostituiscila con il tuo ID a 12 cifre Account AWS . `Region`Sostituiscilo con quello Regione AWS in cui hai abilitato Amazon Inspector e la scansione del codice Lambda. Sostituiscilo `role-ARN` con Amazon Resource Name per il tuo ruolo IAM. 

```
{
  "Effect": "Allow",
  "Principal": {
    "Service": "q.amazonaws.com"
  },
  "Action": [
    "kms:Encrypt",
    "kms:Decrypt",
    "kms:GenerateDataKeyWithoutPlaintext",
    "kms:GenerateDataKey"
  ],
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "kms:EncryptionContext:aws:qdeveloper:lambda-codescan-scope": "account-id"
    },
    "StringEquals": {
      "aws:SourceAccount": "account-id"
    },
    "ArnLike": {
      "aws:SourceArn": "arn:aws:qdeveloper:Region:account-id:scans/*"
    }
  }
},
{
  "Effect": "Allow",
  "Principal": {
    "Service": "q.amazonaws.com"
  },
  "Action": "kms:DescribeKey",
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "aws:SourceAccount": "account-id"
    },
    "ArnLike": {
      "aws:SourceArn": "arn:aws:qdeveloper:Region:account-id:scans/*"
    }
  }
},
{
  "Effect": "Allow",
  "Action": [
    "kms:Encrypt",
    "kms:Decrypt",
    "kms:GenerateDataKeyWithoutPlaintext",
    "kms:GenerateDataKey"
  ],
  "Principal": {
    "AWS": "role-ARN"
  },
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:ViaService": "inspector2.Region.amazonaws.com"
    },
    "StringLike": {
      "kms:EncryptionContext:aws:qdeveloper:lambda-codescan-scope": "account-id"
    }
  }
},
{
  "Effect": "Allow",
  "Action": [
    "kms:DescribeKey"
  ],
  "Principal": {
    "AWS": "role-ARN"
  },
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "kms:ViaService": "inspector2.Region.amazonaws.com"
    }
  }
}
```

 La dichiarazione politica è formattata in JSON. Dopo aver incluso l'istruzione, rivedi la politica per assicurarti che la sintassi sia valida. Se l'istruzione è l'ultima dichiarazione della politica, inserisci una virgola dopo la parentesi di chiusura dell'istruzione precedente. Se l'istruzione è la prima dichiarazione o tra due istruzioni esistenti nella politica, inserisci una virgola dopo la parentesi che chiude la dichiarazione. 

**Nota**  
 Amazon Inspector non supporta più le [sovvenzioni](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) per crittografare frammenti di codice estratti dai pacchetti. Se utilizzi una politica basata sulle sovvenzioni, puoi comunque accedere ai risultati. Tuttavia, se aggiorni o reimposti la tua chiave KMS o disabiliti la scansione del codice Lambda, dovrai utilizzare la politica delle chiavi KMS descritta in questa sezione. 

 Se imposti, aggiorni o reimposti la chiave di crittografia per il tuo account, devi utilizzare una politica di amministratore di Amazon Inspector, ad esempio la politica AWS gestita. `AmazonInspector2FullAccess` 

## Configurazione della crittografia con una chiave gestita dal cliente
<a name="configure-cmk-encryption"></a>

Per configurare la crittografia per il tuo account utilizzando una chiave gestita dal cliente, devi essere un amministratore di Amazon Inspector con le autorizzazioni descritte in. [Autorizzazioni per la crittografia del codice con una chiave gestita dal cliente](#cmk-permissions) [Inoltre, avrai bisogno di una AWS KMS chiave nella stessa AWS regione dei risultati o di una chiave multiregionale.](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) Puoi utilizzare una chiave simmetrica esistente nel tuo account o creare una chiave simmetrica gestita dal cliente utilizzando la Console di AWS gestione o il. AWS KMS APIs Per ulteriori informazioni, vedere [Creazione di chiavi di crittografia AWS KMS simmetriche](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) nella guida per l'utente. AWS KMS 

**Nota**  
 A partire dal 13 giugno 2025, il principale servizio nelle AWS KMS richieste registrate CloudTrail durante lo snippet encryption/decryption di codice passerà da «codeguru-reviewer» a «q». 

### Utilizzo dell'API Amazon Inspector per configurare la crittografia
<a name="w2aac60c14c13c17b7"></a>

Per impostare una chiave per la crittografia, il [UpdateEncryptionKey](https://docs.aws.amazon.com/inspector/v2/APIReference/API_UpdateEncryptionKey.html)funzionamento dell'API Amazon Inspector dopo aver effettuato l'accesso come amministratore di Amazon Inspector. Nella richiesta API, utilizza il `kmsKeyId` campo per specificare l'ARN della AWS KMS chiave che desideri utilizzare. Per `scanType` entrare `CODE` e per `resourceType` entrare`AWS_LAMBDA_FUNCTION`.

Puoi utilizzare l'[UpdateEncryptionKey](https://docs.aws.amazon.com/inspector/v2/APIReference/API_GetEncryptionKey.html)API per verificare la visualizzazione della AWS KMS chiave utilizzata da Amazon Inspector per la crittografia.

**Nota**  
 Se tenti di utilizzare `GetEncryptionKey` quando non hai impostato una chiave gestita dal cliente, l'operazione restituisce un `ResourceNotFoundException` errore, il che significa che per la crittografia viene utilizzata una chiave di AWS proprietà.

Se elimini la chiave o ne modifichi la politica per negare l'accesso ad Amazon Inspector o Amazon Q, non sarai in grado di accedere ai risultati delle vulnerabilità del codice e la scansione del codice Lambda non riuscirà per il tuo account.

Puoi utilizzare `ResetEncryptionKey` per riprendere a utilizzare una chiave AWS proprietaria per crittografare il codice estratto come parte dei risultati di Amazon Inspector. 

# Crittografia dei dati in transito
<a name="encryption-transit"></a>

 AWS crittografa tutti i dati in transito tra sistemi AWS interni e altri AWS servizi. AWS Systems Manager raccoglie i dati di telemetria dalle istanze EC2 di proprietà del cliente a cui vengono inviati AWS tramite un canale protetto da Transport Layer Security (TLS) per la valutazione. I risultati delle scansioni delle funzioni Amazon ECR e AWS Lambda inviati a Security Hub CSPM vengono crittografati utilizzando un canale protetto da TLS. Per ulteriori informazioni, vedere [Protezione dei dati in Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/data-protection.html) per capire come SSM crittografa i dati in transito.