Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Protezione dei dati in AWS Backup
AWS Backup è conforme al [modello di responsabilità AWS condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/), che include regolamenti e linee guida per la protezione dei dati. AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i AWS servizi. AWS mantiene il controllo sui dati ospitati su questa infrastruttura, compresi i controlli di configurazione di sicurezza per la gestione dei contenuti e dei dati personali dei clienti. AWS i clienti e i AWS partner del Partner Network (APN), che agiscono in qualità di titolari o incaricati del trattamento dei dati, sono responsabili dei dati personali che inseriscono nel. Cloud AWS
Ai fini della protezione dei dati, ti consigliamo di proteggere Account AWS le credenziali e configurare account utente individuali con AWS Identity and Access Management (IAM). In questo modo a ogni utente vengono assegnate solo le autorizzazioni necessarie per svolgere il proprio lavoro. Suggeriamo, inoltre, di proteggere i dati nei seguenti modi:
+ Utilizza l’autenticazione a più fattori (MFA) con ogni account.
+ Utilizza il protocollo Secure Sockets Layer (SSL)/Transport Layer Security (TLS) per comunicare con le risorse AWS .
+ Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno AWS dei servizi.
Consigliamo di non inserire mai informazioni identificative sensibili, ad esempio i numeri di account dei clienti, in campi a formato libero come un campo **Nome**. Ciò include quando lavori con AWS Backup o con altri AWS servizi che utilizzano la console, l'API o AWS SDKs. AWS CLI Gli eventuali dati immessi in AWS Backup o altri servizi potrebbero essere prelevati per l'inserimento nei log di diagnostica. Quando fornisci un URL a un server esterno, non includere informazioni sulle credenziali nell'URL per convalidare la tua richiesta a tale server.
Per ulteriori informazioni sulla protezione dei dati, consulta il post del blog [AWS Modello di responsabilità condivisa e GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) su *AWS Security Blog*.
# Crittografia per i backup in AWS Backup
## Crittografia indipendente di
AWS Backup offre una crittografia indipendente per i [tipi di risorse che supportano la gestione completa AWS Backup](backup-feature-availability.md#features-by-resource). La crittografia indipendente significa che i punti di ripristino (backup) tramite cui vengono creati AWS Backup possono avere un metodo di crittografia diverso da quello determinato dalla crittografia della risorsa di origine. Ad esempio, il backup di un bucket Amazon S3 può avere un metodo di crittografia diverso rispetto al bucket di origine che hai crittografato con la crittografia Amazon S3. Questa crittografia è controllata tramite la configurazione delle AWS KMS chiavi nell'archivio di backup in cui è archiviato il backup.
I backup di tipi di risorse non completamente gestiti AWS Backup in genere ereditano le impostazioni di crittografia dalla risorsa di origine. Puoi configurare queste impostazioni di crittografia in base alle istruzioni del servizio, come la [crittografia Amazon EBS](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption.html) nella *Amazon EBS User* Guide.
Il tuo ruolo IAM deve avere accesso alla chiave KMS utilizzata per il backup e il ripristino dell'oggetto. Altrimenti il lavoro ha esito positivo ma gli oggetti non vengono sottoposti a backup o ripristinati. Le autorizzazioni nella politica IAM e nella politica chiave KMS devono essere coerenti. *Per ulteriori informazioni, consulta [Specificare le chiavi KMS nelle dichiarazioni delle politiche IAM nella Developer Guide](https://docs.aws.amazon.com/kms/latest/developerguide/cmks-in-iam-policies.html).AWS Key Management Service *
Nella tabella seguente sono elencati i vari tipi di risorsa supportati e viene indicato il modo in cui la crittografia viene configurata per i backup e se è supportata la crittografia indipendente per i backup. Quando AWS Backup esegue la crittografia di un backup in modo indipendente, utilizza l'algoritmo di crittografia AES-256 standard del settore. [Per ulteriori informazioni sulla crittografia in AWS Backup, consulta Backup [tra regioni](cross-region-backup.md) e tra account.](create-cross-account-backup.md)
| Tipo di risorsa | Come configurare la crittografia | Crittografia indipendente AWS Backup |
| --- | --- | --- |
| Amazon Simple Storage Service (Amazon S3) | I backup di Amazon S3 sono crittografati utilizzando una chiave AWS KMS (AWS Key Management Service) associata al backup vault. La chiave AWS KMS può essere una chiave gestita dal cliente o una AWS chiave gestita associata al servizio. AWS Backup AWS Backup crittografa tutti i backup anche se i bucket Amazon S3 di origine non sono crittografati. | Supportata |
| VMware macchine virtuali | I backup delle macchine virtuali sono sempre crittografati. La chiave di AWS KMS crittografia per i backup delle macchine virtuali è configurata nell' AWS Backup archivio in cui sono archiviati i backup delle macchine virtuali. | Supportata |
| Amazon DynamoDB dopo l'attivazione [Backup di DynamoDB avanzato](advanced-ddb-backup.md) | I backup di DynamoDB sono sempre crittografati. La chiave di AWS KMS crittografia per i backup DynamoDB è configurata nel AWS Backup vault in cui sono archiviati i backup DynamoDB. | Supportata |
| Amazon DynamoDB senza abilitazione [Backup di DynamoDB avanzato](advanced-ddb-backup.md) | I backup di DynamoDB sono crittografati automaticamente con la stessa chiave crittografica utilizzata per crittografare la tabella DynamoDB di origine. Gli snapshot delle tabelle DynamoDB non crittografati non sono a loro volta crittografati. AWS Backup Per creare un backup di una tabella DynamoDB crittografata, è necessario aggiungere le `kms:Decrypt` autorizzazioni `kms:GenerateDataKey` e il ruolo IAM utilizzato per il backup. In alternativa, è possibile utilizzare il ruolo di servizio predefinito. AWS Backup | Non supportata |
| Amazon Elastic File System (Amazon EFS) | I backup di Amazon EFS sono sempre crittografati. La chiave di AWS KMS crittografia per i backup di Amazon EFS è configurata nel AWS Backup vault in cui sono archiviati i backup di Amazon EFS. | Supportata |
| Amazon Elastic Block Store (Amazon EBS) | Per impostazione predefinita, i backup di Amazon EBS sono crittografati utilizzando la chiave utilizzata per crittografare il volume di origine oppure non sono crittografati. Durante il ripristino, puoi scegliere di sostituire il metodo di crittografia predefinito specificando una chiave KMS. | Non supportata |
| Amazon Elastic Compute Cloud (Amazon EC2) Elastic Compute Cloud AMIs | AMIs non sono crittografati. Le istantanee EBS sono crittografate secondo le regole di crittografia predefinite per i backup EBS (vedere la voce relativa a EBS). Le istantanee EBS di dati e volumi root possono essere crittografate e collegate a un'AMI. | Non supportata |
| Amazon Relational Database Service (Amazon RDS) | Gli snapshot di Amazon RDS vengono crittografati automaticamente con la stessa chiave di crittografia utilizzata per crittografare il database Amazon RDS di origine. Gli snapshot dei database di Amazon RDS non crittografati non sono a loro volta crittografati. | Non supportata |
| Amazon Aurora | Gli snapshot dei cluster Aurora vengono crittografati automaticamente con la stessa chiave di crittografia utilizzata per crittografare il cluster Amazon Aurora di origine. Gli snapshot dei cluster Aurora non crittografati non sono a loro volta crittografati. | Non supportata |
| Gateway di archiviazione AWS | Gli snapshot di Storage Gateway svengono crittografati automaticamente con la stessa chiave di crittografia utilizzata per crittografare il volume Storage Gateway di origine. Gli snapshot dei volumi di Storage Gateway non crittografati non sono a loro volta crittografati. Per abilitare Storage Gateway non è necessario utilizzare una chiave gestita dal cliente in tutti i servizi. È sufficiente copiare il backup di Storage Gateway in un vault per il quale è stata configurata una chiave KMS. Questo perché Storage Gateway non dispone di una chiave AWS KMS gestita specifica per il servizio. | Non supportata |
| Amazon FSx | Le funzionalità di crittografia per i FSx file system Amazon differiscono in base al file system sottostante. Per ulteriori informazioni sul tuo particolare FSx file system Amazon, consulta la [Guida per FSx l'utente](https://docs.aws.amazon.com/fsx/) appropriata. | Non supportata |
| Amazon DocumentDB | Gli snapshot dei cluster Amazon DocumentDB vengono crittografati automaticamente con la stessa chiave di crittografia utilizzata per crittografare il cluster Amazon DocumentDB di origine. Gli snapshot dei cluster Amazon DocumentDB non crittografati non sono a loro volta crittografati. | Non supportata |
| Amazon Neptune | Gli snapshot dei cluster Neptune vengono crittografati automaticamente con la stessa chiave di crittografia utilizzata per crittografare il cluster Neptune di origine. Gli snapshot dei cluster Neptune non crittografati non sono a loro volta crittografati. | Non supportata |
| Amazon Timestream | I backup degli snapshot delle tabelle Timestream sono sempre crittografati. La chiave di AWS KMS crittografia per i backup Timestream è configurata nell'archivio di backup in cui sono archiviati i backup Timestream. | Supportata |
| Amazon Redshift | Gli snapshot dei cluster Amazon Redshift vengono crittografati automaticamente con la stessa chiave di crittografia utilizzata per crittografare il cluster Amazon Redshift di origine. Gli snapshot dei cluster Amazon Redshift non crittografati non sono a loro volta crittografati. | Non supportata |
| Amazon Redshift Serverless | Le istantanee Serverless di Redshift vengono crittografate automaticamente con la stessa chiave di crittografia utilizzata per crittografare l'origine. | Non supportata |
| CloudFormation | CloudFormation i backup sono sempre crittografati. La chiave di CloudFormation crittografia per i CloudFormation backup è configurata nell' CloudFormation archivio in cui sono archiviati i CloudFormation backup. | Supportata |
| Database SAP HANA su istanze Amazon EC2 | I backup dei database SAP HANA sono sempre crittografati. La chiave di AWS KMS crittografia per i backup del database SAP HANA è configurata nell' AWS Backup archivio in cui sono archiviati i backup del database. | Supportata |
**Suggerimento**
[AWS Backup Audit Manager](https://docs.aws.amazon.com/aws-backup/latest/devguide/aws-backup-audit-manager.html) consente di rilevare automaticamente i backup non crittografati.
## Crittografia per le copie di un backup su un altro account o Regione AWS
Quando copi i backup tra account o regioni, crittografa AWS Backup automaticamente tali copie per la maggior parte dei tipi di risorse, anche se il backup originale non è crittografato. AWS Backup crittografa la copia utilizzando la chiave KMS del vault di destinazione.
Prima di copiare un backup da un account a un altro (processo di copia tra account) o copiare un backup da una regione all'altra (processo di copia tra aree geografiche), tieni presente le seguenti condizioni, molte delle quali dipendono dal fatto che il tipo di risorsa nel backup (punto di ripristino) sia [completamente gestito o meno da AWS Backup](backup-feature-availability.md#features-by-resource).
+ Una copia di un backup su un altro Regione AWS viene crittografata utilizzando la chiave dell'archivio di destinazione.
+ Per una copia di un punto di ripristino (backup) di una risorsa **completamente gestita da AWS Backup**, puoi scegliere di crittografarla con una [chiave gestita dal cliente (CMK) o una chiave](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) AWS Backup gestita (). `aws/backup`
Per una copia di un punto di ripristino di una risorsa **non completamente gestita** da AWS Backup, la chiave associata all'archivio di destinazione deve essere una CMK o la chiave gestita del servizio che possiede la risorsa sottostante. Ad esempio, se si copia un'istanza EC2, non è possibile utilizzare una chiave gestita da Backup. È invece necessario utilizzare una chiave CMK o Amazon EBS KMS (`aws/ebs`) per evitare errori nel processo di copia.
+ La copia su più account con chiavi AWS gestite non è supportata per le risorse che non sono completamente gestite da. AWS Backup La [politica chiave](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) di una chiave AWS gestita è immutabile, il che impedisce la copia della chiave tra account. Se le tue risorse sono crittografate con chiavi AWS gestite e desideri eseguire una copia su più account, puoi [modificare le chiavi di crittografia in una chiave gestita dal](https://repost.aws/knowledge-center/update-encryption-key-rds) cliente, che può essere utilizzata per la copia su più account. In alternativa, puoi seguire le istruzioni in [Proteggere le istanze crittografate di Amazon RDS con backup tra account e più regioni](https://aws.amazon.com/blogs/storage/protecting-encrypted-amazon-rds-instances-with-cross-account-and-cross-region-backups/) per continuare a utilizzare le chiavi gestite. AWS
+ Anche le copie dei cluster Amazon Aurora, Amazon DocumentDB e Amazon Neptune non crittografati non sono crittografate.
## AWS Backup autorizzazioni, concessioni e dichiarazioni di rifiuto
Per evitare il fallimento dei lavori, è possibile esaminare la politica AWS KMS chiave per assicurarsi che disponga delle autorizzazioni necessarie e che non contenga dichiarazioni di negazione che impediscano il successo delle operazioni.
I lavori non riusciti possono verificarsi a causa di una o più dichiarazioni di rifiuto applicate alla chiave KMS o a causa della revoca di una [concessione](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) per la chiave.
In una politica di accesso AWS gestito [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupFullAccess.html), ad esempio, esistono azioni Allow che consentono di AWS Backup AWS KMS interfacciarsi con o creare una concessione su una chiave KMS per conto di un cliente nell'ambito delle operazioni di backup, copia e archiviazione.
Come minimo, la policy chiave richiede le seguenti autorizzazioni:
+ `kms:createGrant`
+ `kms:generateDataKey`
+ `kms:decrypt`
Se le politiche Deny sono necessarie, sarà necessario consentire l'elenco dei ruoli richiesti per le operazioni di backup e ripristino.
Questi elementi possono avere il seguente aspetto:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "KmsPermissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:root"
},
"Action": [
"kms:ListKeys",
"kms:DescribeKey",
"kms:GenerateDataKey",
"kms:ListAliases"
],
"Resource": "*"
},
{
"Sid": "KmsCreateGrantPermissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:root"
},
"Action": [
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"kms:EncryptionContextKeys": "aws:backup:backup-vault"
},
"Bool": {
"kms:GrantIsForAWSResource": true
},
"StringLike": {
"kms:ViaService": "backup.*.amazonaws.com"
}
}
}
]
}
```
------
Queste autorizzazioni devono far parte della chiave, indipendentemente dal fatto che sia AWS gestita o gestita dal cliente.
1. Assicurati che le autorizzazioni richieste facciano parte della politica chiave di KMS
1. Esegui KMS `get-key-policy` CLI [https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html)() per visualizzare la politica chiave allegata alla chiave KMS specificata.
1. Controlla le autorizzazioni restituite.
1. Assicurati che non vi siano istruzioni Deny che influiscano sulle operazioni
1. Esegui (o riesegui) `get-key-policy` CLI [https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html)() per visualizzare la politica chiave allegata alla chiave KMS specificata.
1. Rivedi la politica.
1. Rimuovi le dichiarazioni di rifiuto pertinenti dalla politica chiave di KMS.
1. Se necessario, esegui [https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html)per sostituire o aggiornare la politica chiave con le autorizzazioni riviste e le dichiarazioni Deny rimosse.
Inoltre, la chiave associata al ruolo che avvia un processo di copia tra aree geografiche deve essere inclusa nell'autorizzazione. `"kms:ResourcesAliases": "alias/aws/backup"` `DescribeKey`
# Crittografia delle credenziali dell'hypervisor delle macchine virtuali
Le macchine virtuali [gestite da un hypervisor](https://docs.aws.amazon.com//aws-backup/latest/devguide/working-with-hypervisors.html) utilizzano [AWS Backup Gateway](https://docs.aws.amazon.com/aws-backup/latest/devguide/working-with-gateways.html) per connettere i sistemi on-premise a AWS Backup. È importante che gli hypervisor dispongano di un sistema di sicurezza altrettanto solido e affidabile. Questa sicurezza può essere ottenuta crittografando l'hypervisor, tramite chiavi di AWS proprietà o tramite chiavi gestite dal cliente.
## AWS chiavi possedute e gestite dal cliente
AWS Backup fornisce la crittografia delle credenziali dell'hypervisor per proteggere le informazioni sensibili di accesso dei clienti utilizzando chiavi di crittografia **AWS proprietarie**. In alternativa è possibile utilizzare chiavi **gestite dal cliente**.
**Per impostazione predefinita, le chiavi utilizzate per crittografare le credenziali nell'hypervisor sono chiavi di proprietà.AWS ** AWS Backup utilizza queste chiavi per crittografare automaticamente le credenziali dell'hypervisor. Non è possibile visualizzare, gestire o utilizzare chiavi AWS di proprietà, né controllarne l'utilizzo. Tuttavia, non è necessario effettuare alcuna operazione o modificare programmi per proteggere le chiavi che eseguono la crittografia dei dati. Per ulteriori informazioni, consulta le chiavi AWS possedute nella [https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-mgmt](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-mgmt).
In alternativa, le credenziali possono essere crittografate utilizzando *chiavi gestite dal cliente*. AWS Backup supporta l'uso di chiavi simmetriche gestite dal cliente create, possedute e gestite dall'utente per eseguire la crittografia. Poiché hai il pieno controllo di questo tipo di crittografia, puoi eseguire attività come:
+ Stabilire e mantenere le policy relative alle chiavi
+ Stabilire e mantenere le policy e le sovvenzioni IAM
+ Abilitare e disabilitare le policy delle chiavi
+ Ruotare i materiali crittografici delle chiavi
+ Aggiungere tag
+ Creare alias delle chiavi
+ Pianificare l’eliminazione delle chiavi
Quando utilizzi una chiave gestita dal cliente, AWS Backup verifica se il tuo ruolo è autorizzato a decrittografare utilizzando questa chiave (prima dell'esecuzione di un processo di backup o ripristino). Per avviare un processo di backup o ripristino è necessario aggiungere l'azione `kms:Decrypt` al ruolo utilizzato.
Poiché l'azione `kms:Decrypt` non può essere aggiunta al ruolo di backup predefinito, per utilizzare le chiavi gestite dal cliente è necessario utilizzare un ruolo diverso dal ruolo di backup predefinito.
Per ulteriori informazioni, consulta [Chiavi gestite dal cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) nella *Guida per gli sviluppatori di AWS Key Management Service *.
## Autorizzazione richiesta quando si utilizzano le chiavi gestite dal cliente
AWS KMS richiede una [concessione](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) per utilizzare la chiave gestita dal cliente. Quando importi una [configurazione dell'hypervisor](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_BGW_ImportHypervisorConfiguration.html) crittografata con una chiave gestita dal cliente, AWS Backup crea una concessione per tuo conto inviando una [https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)richiesta a. AWS KMS AWS Backup utilizza le concessioni per accedere a una chiave KMS in un account cliente.
Puoi revocare l'accesso alla concessione o rimuovere AWS Backup l'accesso alla chiave gestita dal cliente in qualsiasi momento. In tal caso, tutti i gateway associati all'hypervisor non potranno più accedere al nome utente e alla password dell'hypervisor crittografati dalla chiave gestita dal cliente, il che influirà sui processi di backup e ripristino. In particolare, i processi di backup e ripristino eseguiti sulle macchine virtuali in questo hypervisor avranno esito negativo.
Backup Gateway utilizza l'operazione `RetireGrant` per rimuovere un'autorizzazione quando si elimina un hypervisor.
## Monitoraggio delle chiavi crittografiche
Quando utilizzi una chiave gestita AWS KMS dal cliente con AWS Backup le tue risorse, puoi utilizzare [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)[Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) per tenere traccia delle richieste AWS Backup inviate a AWS KMS.
Cerca AWS CloudTrail gli eventi con i seguenti `"eventName"` campi per monitorare AWS KMS le operazioni chiamate AWS Backup ad accedere ai dati crittografati dalla chiave gestita dal cliente:
+ `"eventName": "CreateGrant"`
+ `"eventName": "Decrypt"`
+ `"eventName": "Encrypt"`
+ `"eventName": "DescribeKey"`