Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# NitroTPM per istanze Amazon EC2
Nitro Trusted Platform Module (NitroTPM) è un dispositivo virtuale fornito da [AWS Nitro System](https://aws.amazon.com//ec2/nitro/) e conforme alle [specifiche TPM 2.0](https://trustedcomputinggroup.org/resource/trusted-platform-module-2-0-a-brief-introduction/). Archivia in modo sicuro gli artefatti (come password, certificati o chiavi di crittografia) utilizzati per autenticare l'istanza. NitroTPM può generare chiavi e utilizzarle per funzioni crittografiche (come hashing, firma, crittografia e decrittografia).
NitroTPM fornisce un *avvio misurato*, un processo in cui il bootloader e il sistema operativo creano hash crittografici di ogni binario di avvio e li combinano con i valori precedenti nei registri di configurazione della piattaforma interni di NitroTPM (). PCRs Con l'avvio misurato, è possibile ottenere valori PCR firmati da NitroTPM e utilizzarli per dimostrare alle entità remote l'integrità del software di avvio dell'istanza. Questo è noto come *attestazione* remota.
Con NitroTPM, è possibile taggare chiavi e segreti con un valore PCR specifico in modo da renderli sempre inaccessibili se il valore del PCR, e quindi l'integrità dell'istanza, cambia. Questa speciale forma di accesso condizionale è indicata come *sealing e annullamento del sealing*. Le tecnologie del sistema operativo, ad esempio [BitLocker](https://learn.microsoft.com/en-us/windows/security/operating-system-security/data-protection/bitlocker/), possono utilizzare NitroTPM per sigillare una chiave di decrittografia dell'unità in modo che l'unità possa essere decrittografata solo quando il sistema operativo è stato avviato correttamente e si trova in un buono stato noto.
Per utilizzare NitroTPM, è necessario selezionare una [Amazon Machine Image](AMIs.md) (AMI) configurata per supportare NitroTPM e quindi utilizzare l'AMI per avviare delle [istanze basate su Nitro](instance-types.md#instance-hypervisor-type). Puoi selezionarne uno tra quelli predefiniti di Amazon o crearne uno tu stesso. AMIs
**Prezzi**
L'utilizzo di NitroTPM non prevede costi aggiuntivi. È previsto un pagamento solo per le risorse sottostanti utilizzate.
**Topics**
+ [Requisiti](enable-nitrotpm-prerequisites.md)
+ [Abilitazione di un'AMI Linux per NitroTPM](enable-nitrotpm-support-on-ami.md)
+ [Verifica che un'AMI sia abilitata per NitroTPM](verify-nitrotpm-support-on-ami.md)
+ [Abilitazione o interruzione dell'utilizzo di NitroTPM](nitrotpm-instance.md)
+ [Verifica che un'istanza sia abilitata per NitroTPM](verify-nitrotpm-support-on-instance.md)
+ [Recupero della chiave di approvazione pubblica](retrieve-ekpub.md)
# Requisiti per l'utilizzo di NitroTPM con istanze Amazon EC2
Per avviare un'istanza con NitroTPM abilitato, devi soddisfare i seguenti requisiti.
**Topics**
+ [AMIs](#nitrotpm-ami)
+ [Tipi di istanza](#nitrotpm-instancetypes)
+ [Considerazioni](#nitrotpm-considerations)
## AMIs
L'AMI deve avere NitroTPM abilitato.
**Linux AMIs**
Non sono preconfigurati AMIs. Devi configurare la tua AMI. Per ulteriori informazioni, consulta [Abilitazione di un'AMI Linux per NitroTPM](enable-nitrotpm-support-on-ami.md).
**Windows AMIs**
*Per trovare un'AMI AWS Windows preconfigurata per NitroTPM e UEFI Secure Boot con chiavi Microsoft, vedi [Trova Windows Server AMIs configurato con NitroTPM e UEFI](https://docs.aws.amazon.com/ec2/latest/windows-ami-reference/ami-windows-tpm.html#ami-windows-tpm-find) Secure Boot nel Windows Reference.AWS AMIs *
**Nota**
**Sistema operativo**: l'AMI deve includere un sistema operativo con driver Command Response Buffer (CRB) TPM 2.0. La maggior parte dei sistemi operativi attuali include un driver CRB TPM 2.0.
**Modalità di avvio UEFI**: l'AMI deve essere configurata per la modalità di avvio UEFI. Per ulteriori informazioni, consulta [UEFI Secure Boot per istanze Amazon EC2](uefi-secure-boot.md).
## Tipi di istanza
Devi utilizzare uno dei seguenti tipi di istanza virtualizzate:
+ **Uso generale**: M5, M5a, M5ad, M5d, M5dn, M5n, M5Zn, M6a, M6g, M6gd, M6i, M6iD, M6idn, M6in, M7a, M7g, M7gd, M7i, M7i-Flex, M8a, M8aZn, M8aZ, M8Azn, M8a, M8aZ, M8aZ, M8aZ, M8aZ, M8aZ, M8aZ, M8a, M8aZ, M8aZ, M8aZ, M8aZ, M8aZ, M8aZ, M8aZ, M8aZ, M8aZ, M8a G, 8 GB, M8GD, M8gN, M8i, M8iD, M8i-Flex, T3, T3a, T4G
+ **Elaborazione ottimizzata**: C5, C5a, C5ad, C5d, C5n, C6a, C6g, C6gd, C6gn, C6i, C6id, C6in, C7a, C7g, C7gd, C7gn, C7i, C7i-flex, C8a, C8g, C8gb, C8Gb, C88g, C8Gb, C88g GD, C8gN, C8i, C8iD, C8i-flex
+ **Memoria ottimizzata**: R5, R5a, R5ad, R5b, R5d, R5dn, R5n, R6a, R6g, R6gd, R6i, R6id, R6idn, R6in, R7a, R7g, R7gd, R7i, R7iZ, R8a, R8g, R8Gb, R8Gb, R8Gb, R8Gb, R8Gb, R8g GD, R8GN, R8i, R8iD, R8i-Flex, U7i-6 TB, U7i-8 TB, U7i-12 TB, U7 in 16 TB, U7 in 24 TB, U7 in 32 TB, X2IDN, X2iEZN, X8G, X8AEDZ, X8i, z1d
+ **Ottimizzate per l’archiviazione**: D3, D3en, I3en, I4i, I7i, I7ie, I8g, I8ge, Im4gn
+ **Elaborazione accelerata**: F2, G4dn, G5, G6, G6e, G6f, Gr6, Gr6f, G7e, Inf1, Inf2, P5, P5e, P5en, P6-B200, P6-B300, Trn2, TRN2u
+ **Elaborazione ad alte prestazioni**: HPC6a, HPC6iD, HPC8a
## Considerazioni
Le seguenti considerazioni si applicano quando si utilizza NitroTPM:
+ Dopo aver avviato un'istanza utilizzando un'AMI con NitroTPM abilitato, se desideri modificare il tipo di istanza, anche il nuovo tipo di istanza che scegli deve supportare NitroTPM.
+ BitLocker i volumi crittografati con chiavi basate su NitroTPM possono essere utilizzati solo sull'istanza originale.
+ Lo stato di NitroTPM non viene visualizzato nella console Amazon EC2.
+ Lo stato di NitroTPM non è incluso negli [snapshot Amazon EBS](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-snapshots.html).
+ Lo stato di NitroTPM non è incluso nelle immagini [VM Import/Export](https://docs.aws.amazon.com/vm-import/latest/userguide/).
+ NitroTPM non è supportato su AWS Outposts., Local Zones o Wavelength Zones.
# Abilitazione di un'AMI Linux per NitroTPM
Per abilitare NitroTPM per un'istanza, è necessario avviare l'istanza utilizzando un'AMI con NitroTPM abilitato. Devi configurare l'AMI Linux per il supporto di NitroTPM quando la registri. Non è possibile configurare il supporto di NitroTPM in un secondo momento.
Per l'elenco di Windows preconfigurati per il AMIs supporto di NitroTPM, vedi. [Requisiti per l'utilizzo di NitroTPM con istanze Amazon EC2](enable-nitrotpm-prerequisites.md)
È necessario creare un'AMI con NitroTPM configurato utilizzando l'[RegisterImage](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_RegisterImage.html)API. Non puoi utilizzare la console Amazon EC2 o Import/Export VM.
**Per abilitare un'AMI Linux per NitroTPM**
1. Avvia un'istanza temporanea con l'AMI Linux richiesta. Annota l'ID del relativo volume principale, che puoi trovare nella console nella scheda **Archiviazione** dell'istanza.
1. Dopo che l'istanza ha raggiunto lo stato `running`, crea uno snapshot del volume root dell'istanza. Per ulteriori informazioni, consulta [Create a snapshot of an EBS volume](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-create-snapshot.html).
1. Registra lo snapshot che hai creato come AMI. Nella mappatura dei dispositivi a blocchi, specifica lo snapshot che hai creato per il volume principale.
Di seguito è riportato un esempio di comando [register-image](https://docs.aws.amazon.com/cli/latest/reference/ec2/register-image.html). Per `--tpm-support`, specificare `v2.0`. Per `--boot-mode`, specificare `uefi`.
```
aws ec2 register-image \
--name my-image \
--boot-mode uefi \
--architecture x86_64 \
--root-device-name /dev/xvda \
--block-device-mappings DeviceName=/dev/xvda,Ebs={SnapshotId=snap-0abcdef1234567890} \
--tpm-support v2.0
```
Di seguito è riportato un esempio del [Register-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Register-EC2Image.html)cmdlet.
```
$block = @{SnapshotId=snap-0abcdef1234567890}
Register-EC2Image `
-Name my-image `
-Architecture "x86_64" `
-RootDeviceName /dev/xvda `
-BlockDeviceMapping @{DeviceName="/dev/xvda";Ebs=$block} `
-BootMode Uefi `
-TpmSupport V20
```
1. Interruzione dell'istanza temporanea avviata nel passaggio 1.
# Verifica che un'AMI sia abilitata per NitroTPM
Per abilitare NitroTPM per un'istanza, è necessario avviare l'istanza utilizzando un'AMI con NitroTPM abilitato. Puoi descrivere un’immagine per verificare che sia abilitata per NitroTPM. Se sei il proprietario dell’AMI, puoi descrivere l’attributo dell’immagine `tpmSupport`.
La console Amazon EC2 non visualizza `TpmSupport`.
------
#### [ AWS CLI ]
**Per verificare che NitroTPM sia abilitato**
Utilizzare il comando [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html) .
```
aws ec2 describe-images \
--image-ids ami-0abcdef1234567890 \
--query Images[*].TpmSupport
```
Se NitroTPM è abilitato per l'AMI, viene visualizzato il seguente output. Se TPM non è abilitato, l'output è vuoto.
```
[
"v2.0"
]
```
In alternativa, se sei il proprietario dell'AMI, puoi usare il [describe-image-attribute](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-image-attribute.html)comando con l'`tpmSupport`attributo.
```
aws ec2 describe-image-attribute \
--image-id ami-0abcdef1234567890 \
--attribute tpmSupport
```
Di seguito è riportato un output di esempio.
```
{
"ImageId": "ami-0abcdef1234567890",
"TpmSupport": {
"Value": "v2.0"
}
}
```
**Da trovare AMIs con NitroTPM abilitato**
L'esempio seguente elenca quelli AMIs che possiedi con NitroTPM abilitato. IDs
```
aws ec2 describe-images \
--owners self \
--filters Name=tpm-support,Values=v2.0 \
--query Images[].ImageId
```
------
#### [ PowerShell ]
**Per verificare che NitroTPM sia abilitato**
Utilizza il cmdlet [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html).
```
Get-EC2Image `
-ImageId ami-0abcdef1234567890 | Select TpmSupport
```
Se NitroTPM è abilitato per l'AMI, viene visualizzato il seguente output. Se TPM non è abilitato, l'output è vuoto.
```
TpmSupport
----------
v2.0
```
In alternativa, se sei il proprietario dell'AMI, puoi utilizzare il [Get-EC2ImageAttribute](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2ImageAttribute.html)cmdlet con l'`tpmSupport`attributo.
```
Get-EC2ImageAttribute `
-ImageId ami-0abcdef1234567890 `
-Attribute tpmSupport
```
**Da trovare con NitroTPM AMIs abilitato**
L'esempio seguente elenca quelli AMIs che possiedi con NitroTPM abilitato. IDs
```
Get-EC2Image `
-Owner self `
-Filter @{Name="tpm-support; Values="v2.0"} | Select ImageId
```
------
# Abilitazione o interruzione dell'utilizzo di NitroTPM su un'istanza Amazon EC2
Puoi abilitare un'istanza Amazon EC2 per NitroTPM solo all'avvio. Una volta abilitata un'istanza per NitroTPM, non è più possibile disabilitarla. Se non si devono più utilizzare NitroTPM, è necessario configurare il sistema operativo per interrompere l'utilizzo di NitroTPM.
**Topics**
+ [Avvio di un'istanza con NitroTPM abilitato](#launch-instance-with-nitrotpm)
+ [Interruzione dell'utilizzo di NitroTPM su un'istanza](#disable-nitrotpm-support-on-instance)
## Avvio di un'istanza con NitroTPM abilitato
Quando viene avviata un'istanza con i [prerequisiti](enable-nitrotpm-prerequisites.md), NitroTPM viene abilitato automaticamente sull'istanza. È possibile abilitare NitroTPM su un'istanza all'avvio. Per ulteriori informazioni sull'avvio di un'istanza MySQL, consulta [Avviare un'istanza Amazon EC2](LaunchingAndUsingInstances.md).
## Interruzione dell'utilizzo di NitroTPM su un'istanza
Dopo aver avviato un'istanza con NitroTPM abilitato, non è possibile disabilitare NitroTPM per l'istanza. Tuttavia, puoi configurare il sistema operativo affinché interrompa l'utilizzo di NitroTPM disabilitando il driver del dispositivo TPM 2.0 sull'istanza utilizzando i seguenti strumenti:
+ Per le **istanze Linux**, utilizza tpm-tools.
+ Per le **istanze Windows**, utilizza la console di gestione TPM (tpm.msc).
Per ulteriori informazioni sulla disabilitazione del driver del dispositivo, consulta la documentazione per il sistema operativo in uso.
# Verifica che un'istanza Amazon EC2 sia abilitata per NitroTPM
Puoi verificare se un'istanza Amazon EC2 è abilitata per NitroTPM. Se il supporto NitroTPM è abilitato sull’istanza, il comando restituisce `"v2.0"`. Altrimenti, il campo `TpmSupport` non è presente nell’output.
La console Amazon EC2 non visualizza il campo `TpmSupport`.
------
#### [ AWS CLI ]
**Per verificare se un'istanza è abilitata per NitroTPM**
Utilizzare il comando [describe-instances](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instances.html).
```
aws ec2 describe-instances \
--instance-ids i-1234567890abcdef0 \
--query Reservations[].Instances[].TpmSupport
```
------
#### [ PowerShell ]
**Per verificare se un'istanza è abilitata per NitroTPM**
Utilizza il cmdlet [Get-EC2Instance](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Instance.html).
```
(Get-EC2Instance `
-InstanceId i-1234567890abcdef0).Instances.TpmSupport
```
------
## Verifica l’accesso a NitroTPM sulla tua istanza di Windows
**(Solo istanze Windows) Per verificare se NitroTPM è accessibile a Windows**
1. [Connettiti all'istanza EC2 Windows.](connecting_to_windows_instance.md)
1. Nell'istanza, esegui il programma tpm.msc.
Viene visualizzata la finestra **TPM Management on Local Computer** (Gestione TPM sul computer locale).
1. Seleziona il campo **TPM Manufacturer Information** (Informazioni sul produttore TPM). Contiene il nome del produttore e la versione di NitroTPM sull'istanza.
![\[La finestra TPM Management on Local Computer (Gestione TPM sul computer locale) e il campo TPM Manufacturer Information (Informazioni sul produttore TPM) che mostra la versione di NitroTPM sull'istanza.\]](http://docs.aws.amazon.com/it_it/AWSEC2/latest/UserGuide/images/tpm-1.png)
# Recuperare la chiave di approvazione pubblica per un’istanza EC2
Puoi recuperare in modo sicuro la chiave di approvazione pubblica per un’istanza in qualsiasi momento.
------
#### [ AWS CLI ]
**Come recuperare la chiave di approvazione pubblica per un'istanza**
Usate il comando [get-instance-tpm-ek-pub](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-instance-tpm-ek-pub.html).
**Esempio 1**
L’esempio seguente ottiene la chiave di approvazione pubblica `rsa-2048`nel formato `tpmt` per l’istanza specificata.
```
aws ec2 get-instance-tpm-ek-pub \
--instance-id i-1234567890abcdef0 \
--key-format tpmt \
--key-type rsa-2048
```
Di seguito è riportato l'output di esempio.
```
{
"InstanceId": "i-01234567890abcdef",
"KeyFormat": "tpmt",
"KeyType": "rsa-2048",
"KeyValue": "AAEACwADALIAIINxl2dEhLEXAMPLEUal1yT9UtduBlILZPKh2hszFGmqAAYAgABDA
EXAMPLEAAABAOiRd7WmgtdGNoV1h/AxmW+CXExblG8pEUfNm0LOLiYnEXAMPLERqApiFa/UhvEYqN4
Z7jKMD/usbhsQaAB1gKA5RmzuhSazHQkax7EXAMPLEzDthlS7HNGuYn5eG7qnJndRcakS+iNxT8Hvf
0S1ZtNuItMs+Yp4SO6aU28MT/JZkOKsXIdMerY3GdWbNQz9AvYbMEXAMPLEPyHfzgVO0QTTJVGdDxh
vxtXCOu9GYf0crbjEXAMPLEd4YTbWdDdgOKWF9fjzDytJSDhrLAOUctNzHPCd/92l5zEXAMPLEOIFA
Ss50C0/802c17W2pMSVHvCCa9lYCiAfxH/vYKovAAE="
}
```
**Esempio 2**
L’esempio seguente ottiene la chiave di approvazione pubblica `rsa-2048`nel formato `der` per l’istanza specificata.
```
aws ec2 get-instance-tpm-ek-pub \
--instance-id i-1234567890abcdef0 \
--key-format der \
--key-type rsa-2048
```
Di seguito è riportato l'output di esempio.
```
{
"InstanceId": "i-1234567890abcdef0",
"KeyFormat": "der",
"KeyType": "rsa-2048",
"KeyValue": "MIIBIjANBgEXAMPLEw0BAQEFAAOCAQ8AMIIBCgKCAQEA6JF3taEXAMPLEXWH8DGZb4
JcTFuUbykRR82bQs4uJifaKSOv5NGoEXAMPLEG8Rio3hnuMowP+6xuGxBoAHWAoDlGbO6FJrMdEXAMP
LEnYUHvMO2GVLsc0a5ifl4buqcmd1FxqRL6I3FPwe9/REXAMPLE0yz5inhI7ppTbwxP8lmQ4qxch0x6
tjcZ1Zs1DP0EXAMPLERUYLQ/Id/OBU7RBNMlUZ0PGG/G1cI670Zh/RytuOdx9iEXAMPLEtZ0N2A4pYX
1+PMPK0lIOGssA5Ry03Mc8J3/3aXnOD2/ASRQ4gUBKznQLT/zTZEXAMPLEJUe8IJr2VgKIB/Ef+9gqi
8AAQIDAQAB"
}
```
------
#### [ PowerShell ]
**Come recuperare la chiave di approvazione pubblica per un'istanza**
Utilizza il cmdlet [Get-EC2InstanceTpmEkPub](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2InstanceTpmEkPub.html).
**Esempio 1**
L’esempio seguente ottiene la chiave di approvazione pubblica `rsa-2048`nel formato `tpmt` per l’istanza specificata.
```
Get-EC2InstanceTpmEkPub `
-InstanceId i-1234567890abcdef0 `
-KeyFormat tpmt `
-KeyType rsa-2048
```
**Esempio 2**
L’esempio seguente ottiene la chiave di approvazione pubblica `rsa-2048`nel formato `der` per l’istanza specificata.
```
Get-EC2InstanceTpmEkPub `
-InstanceId i-1234567890abcdef0 `
-KeyFormat der `
-KeyType rsa-2048
```
------