Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Crittografia delle credenziali dell'hypervisor delle macchine virtuali
<a name="bgw-hypervisor-encryption-page"></a>

Le macchine virtuali [gestite da un hypervisor](https://docs.aws.amazon.com//aws-backup/latest/devguide/working-with-hypervisors.html) utilizzano [AWS Backup Gateway](https://docs.aws.amazon.com/aws-backup/latest/devguide/working-with-gateways.html) per connettere i sistemi on-premise a AWS Backup. È importante che gli hypervisor dispongano di un sistema di sicurezza altrettanto solido e affidabile. Questa sicurezza può essere ottenuta crittografando l'hypervisor, tramite chiavi di AWS proprietà o tramite chiavi gestite dal cliente.

## AWS chiavi possedute e gestite dal cliente
<a name="bgw-encryption-keys"></a>

AWS Backup fornisce la crittografia delle credenziali dell'hypervisor per proteggere le informazioni sensibili di accesso dei clienti utilizzando chiavi di crittografia **AWS proprietarie**. In alternativa è possibile utilizzare chiavi **gestite dal cliente**.

**Per impostazione predefinita, le chiavi utilizzate per crittografare le credenziali nell'hypervisor sono chiavi di proprietà.AWS ** AWS Backup utilizza queste chiavi per crittografare automaticamente le credenziali dell'hypervisor. Non è possibile visualizzare, gestire o utilizzare chiavi AWS di proprietà, né controllarne l'utilizzo. Tuttavia, non è necessario effettuare alcuna operazione o modificare programmi per proteggere le chiavi che eseguono la crittografia dei dati. Per ulteriori informazioni, consulta le chiavi AWS possedute nella [https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-mgmt](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-mgmt).

In alternativa, le credenziali possono essere crittografate utilizzando *chiavi gestite dal cliente*. AWS Backup supporta l'uso di chiavi simmetriche gestite dal cliente create, possedute e gestite dall'utente per eseguire la crittografia. Poiché hai il pieno controllo di questo tipo di crittografia, puoi eseguire attività come:
+ Stabilire e mantenere le policy relative alle chiavi
+ Stabilire e mantenere le policy e le sovvenzioni IAM
+ Abilitare e disabilitare le policy delle chiavi
+ Ruotare i materiali crittografici delle chiavi
+ Aggiungere tag
+ Creare alias delle chiavi
+ Pianificare l’eliminazione delle chiavi

Quando utilizzi una chiave gestita dal cliente, AWS Backup verifica se il tuo ruolo è autorizzato a decrittografare utilizzando questa chiave (prima dell'esecuzione di un processo di backup o ripristino). Per avviare un processo di backup o ripristino è necessario aggiungere l'azione `kms:Decrypt` al ruolo utilizzato.

Poiché l'azione `kms:Decrypt` non può essere aggiunta al ruolo di backup predefinito, per utilizzare le chiavi gestite dal cliente è necessario utilizzare un ruolo diverso dal ruolo di backup predefinito.

Per ulteriori informazioni, consulta [Chiavi gestite dal cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) nella *Guida per gli sviluppatori di AWS Key Management Service *.

## Autorizzazione richiesta quando si utilizzano le chiavi gestite dal cliente
<a name="encryption-grant"></a>

AWS KMS richiede una [concessione](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) per utilizzare la chiave gestita dal cliente. Quando importi una [configurazione dell'hypervisor](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_BGW_ImportHypervisorConfiguration.html) crittografata con una chiave gestita dal cliente, AWS Backup crea una concessione per tuo conto inviando una [https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)richiesta a. AWS KMS AWS Backup utilizza le concessioni per accedere a una chiave KMS in un account cliente. 

Puoi revocare l'accesso alla concessione o rimuovere AWS Backup l'accesso alla chiave gestita dal cliente in qualsiasi momento. In tal caso, tutti i gateway associati all'hypervisor non potranno più accedere al nome utente e alla password dell'hypervisor crittografati dalla chiave gestita dal cliente, il che influirà sui processi di backup e ripristino. In particolare, i processi di backup e ripristino eseguiti sulle macchine virtuali in questo hypervisor avranno esito negativo.

Backup Gateway utilizza l'operazione `RetireGrant` per rimuovere un'autorizzazione quando si elimina un hypervisor.

## Monitoraggio delle chiavi crittografiche
<a name="monitoring-encryption-keys"></a>

Quando utilizzi una chiave gestita AWS KMS dal cliente con AWS Backup le tue risorse, puoi utilizzare [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)[Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) per tenere traccia delle richieste AWS Backup inviate a AWS KMS.

Cerca AWS CloudTrail gli eventi con i seguenti `"eventName"` campi per monitorare AWS KMS le operazioni chiamate AWS Backup ad accedere ai dati crittografati dalla chiave gestita dal cliente:
+ `"eventName": "CreateGrant"`
+ `"eventName": "Decrypt"`
+ `"eventName": "Encrypt"`
+ `"eventName": "DescribeKey"`