Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Protezione dei dati in Amazon Rekognition
<a name="data-protection"></a>

Il modello di [responsabilità AWS condivisa Modello](https://aws.amazon.com/compliance/shared-responsibility-model/) si applica alla protezione dei dati in Amazon Rekognition. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i. Cloud AWS L'utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. L'utente è inoltre responsabile della configurazione della protezione e delle attività di gestione per i Servizi AWS utilizzati. Per ulteriori informazioni sulla privacy dei dati, vedi le [Domande frequenti sulla privacy dei dati](https://aws.amazon.com/compliance/data-privacy-faq/). Per informazioni sulla protezione dei dati in Europa, consulta il post del blog relativo al [Modello di responsabilità condivisa AWS e GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) nel *Blog sulla sicurezza AWS *.

Ai fini della protezione dei dati, consigliamo di proteggere Account AWS le credenziali e configurare i singoli utenti con AWS IAM Identity Center or AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Ti suggeriamo, inoltre, di proteggere i dati nei seguenti modi:
+ Utilizza l'autenticazione a più fattori (MFA) con ogni account.
+ Usa SSL/TLS per comunicare con le risorse. AWS È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Configura l'API e la registrazione delle attività degli utenti con. AWS CloudTrail Per informazioni sull'utilizzo dei CloudTrail percorsi per acquisire AWS le attività, consulta [Lavorare con i CloudTrail percorsi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) nella *Guida per l'AWS CloudTrail utente*.
+ Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.
+ Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.
+ Se hai bisogno di moduli crittografici convalidati FIPS 140-3 per accedere AWS tramite un'interfaccia a riga di comando o un'API, usa un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).

Ti consigliamo di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo **Nome**. Ciò include quando lavori con Rekognition o Servizi AWS altri utenti utilizzando la console, l'API o. AWS CLI AWS SDKs I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Quando fornisci un URL a un server esterno, ti suggeriamo vivamente di non includere informazioni sulle credenziali nell'URL per convalidare la tua richiesta al server.

# Crittografia dei dati
<a name="security-data-encryption"></a>

Le seguenti informazioni spiegano dove Amazon Rekognition utilizza la crittografia dei dati per proteggere i dati.

## Crittografia a riposo
<a name="security-data-encryption-at-rest"></a>

### Immagini Amazon Rekognition
<a name="security-ear-rekognition-image"></a>

#### Immagini
<a name="security-image-ear-images"></a>

Le immagini trasferite alle operazioni dell'API Amazon Rekognition possono essere archiviate e utilizzate per migliorare il servizio, a meno che tu non abbia effettuato l'opt-out visitando la [pagina della policy di rifiuto dei servizi IA](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_ai-opt-out.html) e seguendo la procedura ivi spiegata. Le immagini archiviate vengono crittografate a riposo (Amazon S3) utilizzando AWS Key Management Service (SSE-KMS). 

#### Raccolte
<a name="security-ear-face-comparison-collections"></a>

Per le operazioni di confronto di volti che memorizzano le informazioni in una raccolta, l'algoritmo di rilevamento sottostante rileva prima i volti nell'immagine di input, estrae un vettore per ogni volto e quindi archivia i vettori di volti nella raccolta. Amazon Rekognition utilizza questi vettori di volti quando esegue i confronti tra volti. I vettori di volti sono archiviati come una matrice di float e crittografati a riposo.

### Video Amazon Rekognition
<a name="security-ear-rekognition-video"></a>

#### Video
<a name="security-video-ear-videos"></a>

 Per analizzare un video, Amazon Rekognition copia i tuoi video nel servizio per l'elaborazione. Il video può essere archiviato e utilizzato per migliorare il servizio, a meno che tu non abbia effettuato l'opt-out visitando la [pagina della policy di rifiuto dei servizi IA](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_ai-opt-out.html) e seguendo la procedura ivi spiegata. I video vengono crittografati a riposo (Amazon S3) utilizzando AWS Key Management Service (SSE-KMS). 

### Etichette personalizzate Amazon Rekognition
<a name="security-ear-custom-labels"></a>

Etichette personalizzate Amazon Rekognition esegue la crittografia dei dati a riposo. 

#### Immagini
<a name="security-ear-cl-images"></a>

 Per addestrare il tuo modello, Etichette personalizzate Amazon Rekognition crea una copia delle immagini di addestramento e di test di origine. Le immagini copiate vengono crittografate a riposo in Amazon Simple Storage Service (S3) utilizzando la crittografia lato server con una chiave KMS fornita dall'utente o una chiave KMS di AWS KMS key proprietà. AWS Etichette personalizzate Amazon Rekognition supporta solo chiavi KMS simmetriche. Le tue immagini di origine non vengono modificate. Per ulteriori informazioni, consulta [Addestramento di un modello Etichette personalizzate Amazon Rekognition](https://docs.aws.amazon.com/rekognition/latest/customlabels-dg/tm-train-model.html). 

#### Modelli
<a name="security-ear-cl-models"></a>

Per impostazione predefinita, Etichette personalizzate Amazon Rekognition esegue la crittografia dei modelli addestrati e dei file manifesto archiviati nei bucket Amazon S3 utilizzando la crittografia lato server con una Chiave di proprietà di AWS. Per ulteriori informazioni, consulta [Protezione dei dati con la crittografia lato server](https://docs.aws.amazon.com/AmazonS3/latest/dev/serv-side-encryption.html). I risultati dell'allenamento vengono scritti nel bucket specificato nel parametro di input to. `OutputConfig` [CreateProjectVersion](https://docs.aws.amazon.com/rekognition/latest/APIReference/API_CreateProjectVersion.html) I risultati dell'addestramento vengono crittografati utilizzando le impostazioni di crittografia configurate per il bucket (`OutputConfig`). 

#### Bucket della console
<a name="security-ear-cl-console"></a>

La console Etichette personalizzate Amazon Rekognition crea un bucket Amazon S3 (bucket della console) che puoi utilizzare per gestire i tuoi progetti. Il bucket della console è crittografato utilizzando la crittografia Amazon S3 predefinita. Per ulteriori informazioni, consulta [Crittografia predefinita di Amazon Simple Storage Service per i bucket S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/bucket-encryption.html). Se utilizzi la tua chiave KMS, configura il bucket della console dopo averlo creato. Per ulteriori informazioni, consulta [Protezione dei dati con la crittografia lato server](https://docs.aws.amazon.com/AmazonS3/latest/dev/serv-side-encryption.html). Etichette personalizzate Amazon Rekognition blocca l'accesso pubblico al bucket della console.

### Rekognition Face Liveness
<a name="security-ear-rekognition-liveness"></a>

Tutti i dati relativi alla sessione archiviati nell'account del servizio Rekognition Face Liveness sono completamente crittografati quando sono a riposo. Per impostazione predefinita, le immagini di riferimento e di controllo sono crittografate utilizzando una chiave di proprietà di AWS nell'account del servizio. Tuttavia, puoi scegliere di fornire AWS KMS le tue chiavi per crittografare queste immagini.

## Crittografia in transito
<a name="security-data-encryption-in-transit"></a>

Gli endpoint API di Amazon Rekognition supportano solo connessioni protette tramite HTTPS. Tutte le comunicazioni sono crittografate con Transport Layer Security (TLS). 

## Gestione delle chiavi
<a name="security-data-encryption-key-management"></a>

È possibile utilizzare AWS Key Management Service (KMS) per gestire le chiavi per le immagini e i video di input archiviati nei bucket Amazon S3. Per ulteriori informazioni, consulta [Concetti di AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#master_keys).

### Crittografia a chiave gestita dal cliente per Face Liveness
<a name="security-data-encryption-key-management-liveness"></a>

L'[CreateFaceLivenessSession](https://docs.aws.amazon.com/rekognition/latest/APIReference/API_CreateFaceLivenessSession.html)API accetta un `KmsKeyId` parametro opzionale. Puoi fornire l'`id` della chiave KMS creata nel tuo account. Questa chiave verrà utilizzata per crittografare le immagini di riferimento e di controllo ottenute durante l'[StartFaceLivenessSession](https://docs.aws.amazon.com/rekognition/latest/APIReference/API_StartFaceLivenessSession.html)API e durante l'[GetFaceLivenessSessionResults](https://docs.aws.amazon.com/rekognition/latest/APIReference/API_GetFaceLivenessSessionResults.html)API le immagini verranno decrittografate utilizzando questa chiave prima di restituire i risultati. Se la CreateFaceLivenessSession richiesta include un OutputConfig, le immagini di riferimento e di controllo verranno caricate nei percorsi Amazon S3 specificati. Ti consigliamo di abilitare la crittografia lato server ([SSE-S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html)) nei bucket Amazon S3 in modo che i dati continuino a rimanere crittografati anche quando sono a riposo. 

Quando fornisci il tuo ID AWS KMS chiave, il servizio Rekognition Face Liveness ottiene l'autorizzazione a utilizzare la chiave gestita dal cliente per conto del principale che richiama il. APIs I principali (utenti o ruoli) utilizzati per richiamare il backend del cliente (APIs`CreateFaceLivenessSession`e`GetFaceLivenessSessionResults`) APIs devono avere accesso per eseguire le seguenti operazioni: 
+ kms:DescribeKey
+ kms:GenerateDataKey
+ kms:Decrypt

# Riservatezza del traffico Internet
<a name="security-inter-network-privacy"></a>

Un endpoint Amazon Virtual Private Cloud (Amazon VPC) per Amazon Rekognition è un'entità logica all'interno di un VPC che consente la connettività solo ad Amazon Rekognition. Amazon VPC instrada le richieste ad Amazon Rekognition e reindirizza le risposte al VPC. Per ulteriori informazioni, consulta [Endpoint VPC ](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html) nella *Guida per l'utente di Amazon VPC*. Per informazioni sull'utilizzo degli endpoint VPC Amazon con Amazon Rekognition, consulta [Utilizzo di Amazon Rekognition con endpoint VPC Amazon](vpc.md).