• La AWS Systems Manager CloudWatch dashboard non sarà più disponibile dopo il 30 aprile 2026. I clienti possono continuare a utilizzare la CloudWatch console Amazon per visualizzare, creare e gestire le proprie CloudWatch dashboard Amazon, proprio come fanno oggi. Per ulteriori informazioni, consulta la [documentazione di Amazon CloudWatch Dashboard](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html).
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Protezione dei dati in AWS Systems Manager
La protezione dei dati ha come scopo di proteggere i dati sia *in transito* (durante la trasmissione verso e da Systems Manager), sia quando sono *inattivi* (ovvero quando sono archiviati nei data center AWS).
Il [modello di responsabilità condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) di AWSsi applica alla protezione dei dati in AWS Systems Manager. Come descritto in questo modello, AWSè responsabile della protezione dell'infrastruttura globale che esegue tutto l'Cloud AWS. L'utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. L'utente è inoltre responsabile della configurazione della protezione e delle attività di gestione per i Servizi AWS utilizzati. Per ulteriori informazioni sulla privacy dei dati, vedi le [Domande frequenti sulla privacy dei dati](https://aws.amazon.com/compliance/data-privacy-faq/). Per informazioni sulla protezione dei dati in Europa, consulta il post del blog relativo al [Modello di responsabilità condivisa AWSe GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) nel *Blog sulla sicurezza AWS*.
Per garantire la protezione dei dati, ti suggeriamo di proteggere le credenziali Account AWSe di configurare i singoli utenti con AWS IAM Identity Centero AWS Identity and Access Management(IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Ti suggeriamo, inoltre, di proteggere i dati nei seguenti modi:
+ Utilizza l'autenticazione a più fattori (MFA) con ogni account.
+ Utilizza SSL/TLS per comunicare con le risorse AWS. È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Configura l'API e la registrazione delle attività degli utenti con AWS CloudTrail. Per informazioni sull'utilizzo dei percorsi CloudTrail per acquisire le attività AWS, consulta [Utilizzo dei percorsi CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) nella *Guida per l'utente di AWS CloudTrail*.
+ Utilizza le soluzioni di crittografia AWS, insieme a tutti i controlli di sicurezza di default all'interno dei Servizi AWS.
+ Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.
+ Se necessiti di moduli crittografici convalidati FIPS 140-3 quando accedi ad AWS attraverso un'interfaccia a riga di comando o un'API, utilizza un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Ti consigliamo di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo **Nome**. Questo vale quando si lavora con l'Systems Manager e altri Servizi AWS utilizzando la console, l'API, la AWS CLI o gli SDK di AWS. I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Quando fornisci un URL a un server esterno, ti suggeriamo vivamente di non includere informazioni sulle credenziali nell'URL per convalidare la tua richiesta al server.
## Crittografia dei dati
### Crittografia a riposo
**Parametri Parameter Store**
I tipi di parametri che è possibile creare in Parameter Store, uno strumento di AWS Systems Manager, includono `String`, `StringList` e `SecureString`.
Tutti i parametri, indipendentemente dal tipo, sono crittografati sia in transito che a riposo. In transito, i parametri vengono crittografati utilizzando Transport Layer Security (TLS), per creare una connessione HTTPS sicura per le richieste API. A riposo, vengono crittografati con un Chiave di proprietà di AWS in AWS Key Management Service (AWS KMS). Per ulteriori informazioni sulla crittografia Chiave di proprietà di AWS, consulta [Chiavi di proprietà di AWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) nella *Guida per gli sviluppatori di AWS Key Management Service*.
Il `SecureString` tipo offre opzioni di crittografia aggiuntive ed è consigliato per tutti i dati sensibili. È possibile scegliere tra i seguenti tipi di chiavi AWS KMS per crittografare e decrittografare il valore di un parametro `SecureString`:
+ La Chiave gestita da AWS per il tuo account
+ Una chiave gestita dal cliente (CMK) che hai creato nel tuo account
+ Un CMK in un altro Account AWS che è stato condiviso con te
Per ulteriori informazioni sulla crittografia AWS KMS, consulta la [Guida per gli sviluppatori di AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/).
**Contenuto nei bucket S3**
Come parte del tuoSystems ManagerPuoi scegliere di caricare o archiviare i dati in uno o più bucket Amazon Simple Storage Service (Amazon S3).
Per informazioni sulla crittografia bucket S3, consulta [Protezione dei dati tramite crittografia](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingEncryption.html) e [Protezione dei dati in Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/DataDurability.html) nella *Guida per gli sviluppatori Amazon Simple Storage Service*.
Di seguito sono riportati i tipi di dati che puoi caricare o che sono stati archiviati nei bucket S3 come parte delle attività Systems Manager:
+ L'output dei comandi in Run Command, uno strumento di AWS Systems Manager
+ Pacchetti in Distributor, uno strumento di AWS Systems Manager
+ Log per l'operazione di applicazione delle patch in Patch Manager, uno strumento di AWS Systems Manager
+ Patch ManagerElenchi di override delle patch
+ Script o playbook Ansible da eseguire in un flusso di lavoro del runbook in Automazione, uno strumento di AWS Systems Manager
+ Profili Chef InSpec da utilizzare con scansioni in Conformità, uno strumento di AWS Systems Manager
+ Log di AWS CloudTrail
+ Log della cronologia delle sessioni in Session Manager, uno strumento di AWS Systems Manager
+ Rapporti da Explorer, uno strumento di AWS Systems Manager
+ OpsData da OpsCenter, uno strumento di AWS Systems Manager
+ AWS CloudFormation Modelli da utilizzare con i flussi di lavoro di automazione
+ Dati di conformità da una scansione di sincronizzazione dei dati di una risorsa
+ Output delle richieste per creare o modificare l'associazione in State Manager, uno strumento di AWS Systems Manager nei nodi gestiti.
+ Documenti di Systems Manager personalizzati (documenti SSM) che è possibile eseguire utilizzando il AWS Documento SSM gestito `AWS-RunDocument`
**Gruppo di log di CloudWatch Logs**
Nell'ambito delle operazioni di Systems Manager, è possibile scegliere di trasmettere i dati a uno o più gruppi di log di Amazon CloudWatch Logs.
Per informazioni sulla crittografia in CloudWatch Logs, si veda [Encrypt Log Data in CloudWatch Logs (Crittografia dei dati di log in CloudWatch Logs)AWS Key Management Service](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/encrypt-log-data-kms.html) nella *Guida per l'utente di Amazon CloudWatch Logs*.
Di seguito sono riportati i tipi di dati che potrebbero essere stati trasmessi in streaming a un gruppo di log di CloudWatch Logs come parte delle attività di Systems Manager:
+ L'output dei comandi di Run Command
+ L'output degli script eseguiti utilizzando l'operazione `aws:executeScript` in un runbook Automation
+ Log della cronologia delle sessioni di Session Manager
+ I log da SSM Agent sui tuoi nodi gestiti
### Crittografia in transito
Consigliamo di utilizzare un protocollo di crittografia quale Transport Layer Security (TLS) per eseguire la crittografia dei dati sensibili in transito tra i client e i nodi.
Systems Manager fornisce il seguente supporto per la crittografia dei dati in transito.
**Connessioni agli endpoint dell'API Systems Manager**
Gli endpoint API di Systems Manager supportano solo connessioni protette tramite HTTPS. Quando si gestiscono le risorse di Systems Manager attraverso la Console di gestione AWS, l'SDK AWS o l'API Systems Manager, tutte le comunicazioni sono crittografate con Transport Layer Security (TLS). Per un elenco completo degli endpoint API, consulta [Endpoint del Servizio AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html) nella *Riferimenti generali di Amazon Web Services*.
**Istanze gestite**
AWS Fornisce connettività sicura e privata tra istanze di Amazon Elastic Compute Cloud (Amazon EC2). Inoltre, crittografiamo automaticamente il traffico in transito tra istanze supportate nello stesso VPC o in VPC in peering, utilizzando algoritmi AEAD con crittografia a 256 bit. Tale funzione di crittografia utilizza le funzionalità di offload dell'hardware sottostante e non ha alcun impatto sulle prestazioni della rete. Le istanze supportate sono: C5n, G4, I3en, M5dn, M5n, P3dn, R5dn e R5n.
**Sessioni di Session Manager**
Per impostazione predefinita, Session Manager utilizza TLS 1.3 per crittografare i dati delle sessioni trasmessi tra i computer locali di utenti nell'account e le istanze EC2. È inoltre possibile scegliere di crittografare ulteriormente i dati in transito utilizzando una AWS KMS key creata in AWS KMS. La crittografia AWS KMS è disponibile per i tipi di sessione `Standard_Stream`, `InteractiveCommands` e `NonInteractiveCommands`.
**Accesso Run Command**
Per impostazione predefinita, l'accesso remoto ai nodi mediante Run Command è crittografato utilizzando TLS 1.3 e le richieste per creare una connessione sono firmate utilizzando SigV4.
## Riservatezza del traffico Internet
Puoi utilizzare Amazon Virtual Private Cloud (Amazon VPC) per creare delimitatori tra le risorse nei nodi gestiti e nel traffico di controllo fra di esse, la rete locale e Internet. Per i dettagli, consulta la sezione [Migliora la sicurezza delle istanze EC2 utilizzando gli endpoint VPC per Systems Manager](setup-create-vpc.md).
Per ulteriori informazioni sulla sicurezza di Amazon Virtual Private Cloud, consulta [Riservatezza del traffico Internet in Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html) nella *guida per l'utente di Amazon VPC*.