Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Protezione dei dati in Amazon DocumentDB
Il modello di [responsabilità AWS condivisa Modello](https://aws.amazon.com/compliance/shared-responsibility-model/) si applica alla protezione dei dati in Amazon DocumentDB (con compatibilità con MongoDB). Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i. Cloud AWS L'utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. L'utente è inoltre responsabile della configurazione della protezione e delle attività di gestione per i Servizi AWS utilizzati. Per ulteriori informazioni sulla privacy dei dati, vedi le [Domande frequenti sulla privacy dei dati](https://aws.amazon.com/compliance/data-privacy-faq/). Per informazioni sulla protezione dei dati in Europa, consulta il post del blog relativo al [Modello di responsabilità condivisa AWS e GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) nel *Blog sulla sicurezza AWS *.
Ai fini della protezione dei dati, consigliamo di proteggere Account AWS le credenziali e configurare i singoli utenti con AWS IAM Identity Center or AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Ti suggeriamo, inoltre, di proteggere i dati nei seguenti modi:
+ Utilizza l'autenticazione a più fattori (MFA) con ogni account.
+ Usa SSL/TLS per comunicare con le risorse. AWS È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Configura l'API e la registrazione delle attività degli utenti con. AWS CloudTrail Per informazioni sull'utilizzo dei CloudTrail percorsi per acquisire AWS le attività, consulta [Lavorare con i CloudTrail percorsi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) nella *Guida per l'AWS CloudTrail utente*.
+ Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.
+ Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.
+ Se hai bisogno di moduli crittografici convalidati FIPS 140-3 per accedere AWS tramite un'interfaccia a riga di comando o un'API, usa un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Ti consigliamo di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo **Nome**. Ciò include quando lavori con Amazon DocumentDB o altro Servizi AWS utilizzando la console, l'API o. AWS CLI AWS SDKs I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Quando fornisci un URL a un server esterno, ti suggeriamo vivamente di non includere informazioni sulle credenziali nell'URL per convalidare la tua richiesta al server.
**Topics**
+ [Crittografia a livello di campo lato client](field-level-encryption.md)
+ [Crittografia dei dati a riposo](encryption-at-rest.md)
+ [Crittografia dei dati in transito](security.encryption.ssl.md)
+ [Gestione delle chiavi](security.encryption.ssl.public-key.md)
# Crittografia a livello di campo lato client
La crittografia a livello di campo (FLE) lato client di Amazon DocumentDB consente di crittografare i dati sensibili nelle applicazioni client prima che vengano trasferiti in un cluster Amazon DocumentDB. I dati sensibili rimangono crittografati quando vengono archiviati ed elaborati in un cluster e vengono decrittografati nell'applicazione client quando vengono recuperati.
**Topics**
+ [Nozioni di base](#fle-getting-started)
+ [Interrogazione in un file FLE sul lato client](#fle-querying)
+ [Limitazioni](#fle-limitationa)
## Nozioni di base
La configurazione iniziale di FLE lato client in Amazon DocumentDB è un processo in quattro fasi che include la creazione di una chiave di crittografia, l'associazione di un ruolo all'applicazione, la configurazione dell'applicazione e la definizione del funzionamento CRUD con opzioni di crittografia.
**Topics**
+ [Fase 1: Creare le chiavi di crittografia](#fle-step-create-key)
+ [Fase 2: Associare un ruolo all'applicazione](#fle-step-associate-role)
+ [Fase 3: Configurare l'applicazione](#fle-step-config-app)
+ [Fase 4: Definire un'operazione CRUD](#fle-step-crud-ops)
+ [Esempio: file di configurazione della crittografia a livello di campo lato client](#fle-config-example)
### Fase 1: Creare le chiavi di crittografia
Utilizzando AWS Key Management Service, crea una chiave simmetrica da utilizzare per crittografare e decrittografare il campo di dati sensibili e fornirgli le autorizzazioni di utilizzo IAM necessarie. AWS KMS memorizza la chiave del cliente (CK) utilizzata per crittografare le chiavi dati (). DKs Ti consigliamo di archiviare la chiave del cliente in KMS per rafforzare il tuo livello di sicurezza. La chiave dati è la chiave secondaria archiviata in una raccolta Amazon DocumentDB ed è necessaria per crittografare i campi sensibili prima di archiviare il documento in Amazon DocumentDB. La chiave del cliente crittografa la chiave dati che a sua volta crittografa e decrittografa i dati. Se si utilizza un cluster globale, è possibile creare una chiave multiregionale che può essere utilizzata da diversi ruoli di servizio in diverse regioni.
Per ulteriori informazioni AWS Key Management Service, incluso come creare una chiave, consulta la [AWS Key Management Service Developer Guide](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html).
### Fase 2: Associare un ruolo all'applicazione
Crea una policy IAM con le AWS KMS autorizzazioni appropriate. Questa policy consente alle identità IAM a cui è collegata di crittografare e decrittografare la chiave KMS specificata nel campo delle risorse. L'applicazione assume questo ruolo IAM con cui effettuare l'autenticazione. AWS KMS
La politica dovrebbe essere simile alla seguente:
```
{ "Effect": "Allow",
"Action": ["kms:Decrypt", "kms:Encrypt"],
"Resource": "Customer Key ARN"
}
```
### Fase 3: Configurare l'applicazione
A questo punto hai definito una chiave cliente AWS KMS e creato un ruolo IAM e gli hai fornito le autorizzazioni IAM corrette per accedere alla chiave del cliente. Importa i pacchetti richiesti.
```
import boto3
import json
import base64
from pymongo import MongoClient
from pymongo.encryption import (Algorithm,
ClientEncryption)
```
```
# create a session object:
my_session = boto3.session.Session()
# get access_key and secret_key programmatically using get_frozen_credentials() method:
current_credentials = my_session.get_credentials().get_frozen_credentials()
```
1. Specificate «aws» come tipo di provider KMS e inserite le credenziali del vostro account recuperate nel passaggio precedente.
```
provider = "aws"
kms_providers = {
provider: {
"accessKeyId": current_credentials.access_key,
"secretAccessKey": current_credentials.secret_key
}
}
```
1. Specificare la chiave cliente utilizzata per crittografare la chiave dati:
```
customer_key = {
“region”: “AWS region of the customer_key”,
“key”: “customer_key ARN”
}
key_vault_namespace = "encryption.dataKeys"
key_alt_name = 'TEST_DATA_KEY'
```
1. Configura l' MongoClient oggetto:
```
client = MongoClient(connection_string)
coll = client.test.coll
coll.drop()
client_encryption = ClientEncryption(
kms_providers, # pass in the kms_providers variable from the previous step
key_vault_namespace = key_vault_namespace,
client,
coll.codec_options
)
```
1. Genera la tua chiave dati:
```
data_key_id = client_encryption.create_data_key(provider,
customer_key,
key_alt_name = [key_alt_name])
```
1. Recupera la tua chiave dati esistente:
```
data_key = DataKey("aws",
master_key = customer_key)
key_id = data_key["_id"]
data_key_id = client[key_vault_namespace].find_one({"_id": key_id})
```
### Fase 4: Definire un'operazione CRUD
Definire l'operazione CRUD con le opzioni di crittografia.
1. Definisci la raccolta in write/read/delete un singolo documento:
```
coll = client.gameinfo.users
```
1. Crittografia esplicita: crittografa i campi e inserisci:
**Nota**
Deve essere fornito esattamente uno tra «key\$1id» o «key\$1alt\$1name».
```
encrypted_first_name = client_encryption.encrypt(
"Jane",
Algorithm.AEAD_AES_256_CBC_HMAC_SHA_512_Deterministic,
key_alt_name=data_key_id
)
encrypted_last_name = client_encryption.encrypt(
"Doe",
Algorithm.AEAD_AES_256_CBC_HMAC_SHA_512_Deterministic,
key_alt_name=data_key_id
)
encrypted_dob = client_encryption.encrypt(
"1990-01-01",
Algorithm.AEAD_AES_256_CBC_HMAC_SHA_512_Random,
key_alt_name=data_key_id
)
coll.insert_one(
{"gamerTag": "jane_doe90",
"firstName": encrypted_first_name,
"lastName": encrypted_last_name,
"dateOfBirth":encrypted_dob,
"Favorite_games":["Halo","Age of Empires 2","Medal of Honor"]
})
```
### Esempio: file di configurazione della crittografia a livello di campo lato client
Nell'esempio seguente, sostituisci ciascuno di essi *user input placeholder* con le tue informazioni.
```
# import python packages:
import boto3
import json
import base64
from pymongo import MongoClient
from pymongo.encryption import (Algorithm,
ClientEncryption)
def main():
# create a session object:
my_session = boto3.session.Session()
# get aws_region from session object:
aws_region = my_session.region_name
# get access_key and secret_key programmatically using get_frozen_credentials() method:
current_credentials = my_session.get_credentials().get_frozen_credentials()
provider = "aws"
# define the kms_providers which is later used to create the Data Key:
kms_providers = {
provider: {
"accessKeyId": current_credentials.access_key,
"secretAccessKey": current_credentials.secret_key
}
}
# enter the kms key ARN. Replace the example ARN value.
kms_arn = "arn:aws:kms:us-east-1:123456789:key/abcd-efgh-ijkl-mnop"
customer_key = {
"region": aws_region,
"key":kms_arn
}
# secrets manager is used to strore and retrieve user credentials for connecting to an Amazon DocumentDB cluster.
# retrieve the secret using the secret name. Replace the example secret key.
secret_name = "/dev/secretKey"
docdb_credentials = json.loads(my_session.client(service_name = 'secretsmanager', region_name = "us-east-1").get_secret_value(SecretId = secret_name)['SecretString'])
connection_params = '/?tls=true&tlsCAFile=global-bundle.pem&replicaSet=rs0&readPreference=secondaryPreferred&retryWrites=false'
conn_str = 'mongodb://' + docdb_credentials["username"] + ':' + docdb_credentials["password"] + '@' + docdb_credentials["host"] + ':' + str(docdb_credentials["port"]) + connection_params
client = MongoClient(conn_str)
coll = client.test.coll
coll.drop()
# store the encryption data keys in a key vault collection (having naming convention as db.collection):
key_vault_namespace = "encryption.dataKeys"
key_vault_db_name, key_vault_coll_name = key_vault_namespace.split(".", 1)
# set up the key vault (key_vault_namespace) for this example:
key_vault = client[key_vault_db_name][key_vault_coll_name]
key_vault.drop()
key_vault.create_index("keyAltNames", unique=True)
client_encryption = ClientEncryption(
kms_providers,
key_vault_namespace,
client,
coll.codec_options)
# create a new data key for the encrypted field:
data_key_id = client_encryption.create_data_key(provider, master_key=customer_key, key_alt_names=["some_key_alt_name"], key_material = None)
# explicitly encrypt a field:
encrypted_first_name = client_encryption.encrypt(
"Jane",
Algorithm.AEAD_AES_256_CBC_HMAC_SHA_512_Deterministic,
key_id=data_key_id
)
coll.insert_one(
{"gamerTag": "jane_doe90",
"firstName": encrypted_first_name
})
doc = coll.find_one()
print('Encrypted document: %s' % (doc,))
# explicitly decrypt the field:
doc["encryptedField"] = client_encryption.decrypt(doc["encryptedField"])
print('Decrypted document: %s' % (doc,))
# cleanup resources:
client_encryption.close()
client.close()
if __name__ == "__main__":
main()
```
## Interrogazione in un file FLE sul lato client
Amazon DocumentDB supporta le query di uguaglianza dei punti con FLE lato client. Le query di disuguaglianza e confronto possono restituire risultati imprecisi. Le operazioni di lettura e scrittura possono avere un comportamento imprevisto o errato rispetto all'esecuzione della stessa operazione rispetto al valore decrittografato.
Ad esempio, per interrogare i filtri per i documenti in cui gamerscore è maggiore di 500:
```
db.users.find( {
"gamerscore" : { $gt : 500 }
})
```
Il client utilizza un metodo di crittografia esplicito per crittografare il valore della query:
```
encrypted_gamerscore_filter = client_encryption.encrypt(
500,
Algorithm.AEAD_AES_256_CBC_HMAC_SHA_512_Deterministic,
key_alt_name=data_key_id
)
db.users.find( {
"gamerscore" : { $gt : encrypted_gamerscore_filter }
} )
```
Nell'operazione di ricerca, Amazon DocumentDB confronta il valore crittografato di 500 con i valori dei campi crittografati memorizzati in ogni documento utilizzando il controllo maggiore di disuguaglianza. Il controllo della disuguaglianza nell'operazione di ricerca può restituire un risultato diverso se eseguito utilizzando dati e valori decrittografati, anche se l'operazione riesce a generare risultati.
## Limitazioni
Le seguenti limitazioni si applicano alla crittografia a livello di campo lato client di Amazon DocumentDB:
+ Amazon DocumentDB supporta solo query di uguaglianza dei punti. Le query di disuguaglianza e confronto possono restituire risultati imprecisi. Le operazioni di lettura e scrittura possono avere un comportamento imprevisto o errato rispetto all'esecuzione della stessa operazione rispetto al valore decrittografato. Per interrogare i filtri per i documenti in cui gamerscore è maggiore di 500.
```
db.users.find( {
"gamerscore" : { $gt : 500 }
})
```
Il client utilizza un metodo di crittografia esplicito per crittografare il valore della query.
```
encrypted_gamerscore_filter = client_encryption.encrypt(
500,
Algorithm.AEAD_AES_256_CBC_HMAC_SHA_512_Deterministic,
key_alt_name=data_key_id
)
db.users.find({
"gamerscore" : { $gt : encrypted_gamerscore_filter }
})
```
Nell'operazione di ricerca, Amazon DocumentDB confronta il valore crittografato di 500 con i valori dei campi crittografati memorizzati in ogni documento utilizzando il controllo maggiore di disuguaglianza. Il controllo della disuguaglianza nell'operazione di ricerca può restituire un risultato diverso se eseguito utilizzando dati e valori decrittografati, anche se l'operazione riesce a generare risultati.
+ Amazon DocumentDB non supporta FLE espliciti lato client da Mongo Shell. Tuttavia, la funzionalità funziona con tutti i nostri driver supportati.
# Crittografia dei dati di Amazon DocumentDB a riposo
**Nota**
AWS KMS sta sostituendo il termine *chiave master del cliente (CMK)* con chiave *AWS KMS key**KMS*. Il concetto non è cambiato. Per evitare modifiche irreversibili, AWS KMS sta mantenendo alcune varianti di questo termine.
È possibile crittografare i dati inattivi nel cluster Amazon DocumentDB specificando l'opzione di crittografia dello storage al momento della creazione del cluster. La crittografia dello storage è abilitata a livello del cluster e viene applicata a tutte le istanze, incluse l'istanza primaria e le repliche. Viene inoltre applicata al volume di archiviazione, ai dati, agli indici, ai registri, ai backup automatici e agli snapshot.
Amazon DocumentDB utilizza l'Advanced Encryption Standard (AES-256) a 256 bit per crittografare i dati utilizzando chiavi di crittografia memorizzate in (). AWS Key Management Service AWS KMS Quando si utilizza un cluster Amazon DocumentDB con crittografia a riposo abilitata, non è necessario modificare la logica dell'applicazione o la connessione client. Amazon DocumentDB gestisce la crittografia e la decrittografia dei dati in modo trasparente, con un impatto minimo sulle prestazioni.
Amazon DocumentDB si integra AWS KMS e utilizza un metodo noto come crittografia a busta per proteggere i dati. Quando un cluster Amazon DocumentDB è crittografato con un AWS KMS, Amazon DocumentDB AWS KMS chiede di utilizzare la tua chiave KMS per [generare una chiave dati di testo cifrato per crittografare](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html) il volume di storage. La chiave dati ciphertext viene crittografata utilizzando la chiave KMS definita dall'utente e viene archiviata insieme ai dati crittografati e ai metadati di storage. Quando Amazon DocumentDB deve accedere ai tuoi dati crittografati, richiede AWS KMS di decrittografare la chiave dati di testo cifrato utilizzando la tua chiave KMS e memorizza nella cache la chiave di dati in chiaro in memoria per crittografare e decrittografare in modo efficiente i dati nel volume di storage.
La funzionalità di crittografia dello storage in Amazon DocumentDB è disponibile per tutte le dimensioni di istanze supportate e Regioni AWS ovunque sia disponibile Amazon DocumentDB.
## Abilitazione della crittografia a riposo per un cluster Amazon DocumentDB
Puoi abilitare o disabilitare la crittografia a riposo su un cluster Amazon DocumentDB quando il provisioning del cluster viene eseguito utilizzando Console di gestione AWS o il AWS Command Line Interface ().AWS CLI I cluster creati utilizzando la console dispongono di crittografia inattiva per impostazione predefinita. I cluster creati utilizzando il AWS CLI hanno la crittografia a riposo disabilitata per impostazione predefinita. Pertanto, è necessario abilitare esplicitamente la crittografia inattiva utilizzando il parametro `--storage-encrypted`. In entrambi i casi, dopo la creazione del cluster, non è possibile modificare l'opzione di crittografia inattiva.
Amazon DocumentDB lo utilizza AWS KMS per recuperare e gestire le chiavi di crittografia e per definire le policy che controllano il modo in cui queste chiavi possono essere utilizzate. Se non specifichi un identificatore di AWS KMS chiave, Amazon DocumentDB utilizza la chiave KMS del servizio gestito AWS predefinita. Amazon DocumentDB crea una chiave KMS separata per ciascuna Regione AWS unità. Account AWS Per ulteriori informazioni, consulta l'[argomento relativo ai concetti di base di AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html).
*Per iniziare a creare la tua chiave KMS, consulta [Getting Started nella Developer](https://docs.aws.amazon.com/kms/latest/developerguide/getting-started.html) Guide.AWS Key Management Service *
**Importante**
È necessario utilizzare una chiave KMS di crittografia simmetrica per crittografare il cluster poiché Amazon DocumentDB supporta solo chiavi KMS di crittografia simmetrica. Non utilizzare una chiave KMS asimmetrica per tentare di crittografare i dati nei cluster Amazon DocumentDB. *Per ulteriori informazioni, consulta [Asymmetric](https://docs.aws.amazon.com/kms/latest/developerguide/symmetric-asymmetric.html) keys nella Developer Guide. AWS KMSAWS Key Management Service *
Se Amazon DocumentDB non può più accedere alla chiave di crittografia per un cluster, ad esempio quando l'accesso a una chiave viene revocato, il cluster crittografato entra in uno stato terminale. In questo caso, puoi solo ripristinare il cluster da un backup. Per Amazon DocumentDB, i backup sono sempre abilitati per 1 giorno.
Inoltre, se disabiliti la chiave per un cluster Amazon DocumentDB crittografato, alla fine perderai l'accesso in lettura e scrittura a quel cluster. Quando Amazon DocumentDB incontra un cluster crittografato da una chiave a cui non ha accesso, mette il cluster in uno stato terminale. In questo stato, il cluster non è più disponibile e lo stato attuale del database non può essere ripristinato. Per ripristinare il cluster, è necessario riabilitare l'accesso alla chiave di crittografia per Amazon DocumentDB e quindi ripristinare il cluster da un backup.
**Importante**
Non è possibile modificare la chiave KMS per un cluster crittografato dopo averlo già creato. Assicurati di determinare i requisiti della chiave crittografica prima di creare il tuo cluster crittografato.
------
#### [ Using the Console di gestione AWS ]
Puoi specificare l'opzione crittografia inattiva al momento della creazione di un cluster. La crittografia inattiva è abilitata per impostazione predefinita quando si crea un cluster utilizzando l'opzione Console di gestione AWS. Non può essere modificata dopo la creazione del cluster.
**Per specificare l'opzione crittografia inattiva durante la creazione del cluster**
1. Crea un cluster Amazon DocumentDB come descritto nella sezione [Guida introduttiva](https://docs.aws.amazon.com/documentdb/latest/developerguide/connect-ec2.launch-cluster.html). Tuttavia, nel passaggio 6, non scegliere **Create cluster (Crea cluster)**.
1. Nella sezione **Authentication (Autenticazione)**, scegliere **Show advanced settings (Mostra impostazioni avanzate)**.
1. Scorri verso il basso fino alla ncryption-at-rest sezione **E.**
1. Scegliere l'opzione desiderata per la crittografia inattiva. Qualunque sia l'opzione scelta, non è possibile modificarla dopo la creazione del cluster.
+ Per crittografare i dati inattivi in questo cluster, scegliere **Enable encryption (Abilita crittografia)**.
+ Se non si desidera crittografare i dati inattivi in questo cluster, scegliere **Disable encryption (Disabilita crittografia)**.
1. Scegli la chiave primaria che desideri. Amazon DocumentDB utilizza AWS Key Management Service (AWS KMS) per recuperare e gestire le chiavi di crittografia e per definire le policy che controllano il modo in cui queste chiavi possono essere utilizzate. Se non specifichi un identificatore di AWS KMS chiave, Amazon DocumentDB utilizza la chiave KMS del servizio gestito AWS predefinita. Per ulteriori informazioni, consulta l'[argomento relativo ai concetti di base di AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html).
**Nota**
Dopo aver creato un cluster crittografato, non puoi modificare la chiave KMS per quel cluster. Assicurati di determinare i requisiti della chiave crittografica prima di creare il tuo cluster crittografato.
1. Completare le altre sezioni secondo necessità e creare il cluster.
------
#### [ Using the AWS CLI ]
Per crittografare un cluster Amazon DocumentDB utilizzando, AWS CLI esegui il comando e specifica [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/describe-db-clusters.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/describe-db-clusters.html)`--storage-encrypted`l'opzione. I cluster Amazon DocumentDB creati utilizzando la crittografia dello storage AWS CLI non abilita per impostazione predefinita.
L'esempio seguente crea un cluster Amazon DocumentDB con la crittografia dello storage abilitata.
Negli esempi seguenti, sostituisci ciascuno *user input placeholder* con le informazioni del tuo cluster.
**Example**
Per Linux, macOS o Unix:
```
aws docdb create-db-cluster \
--db-cluster-identifier mydocdbcluster \
--port 27017 \
--engine docdb \
--master-username SampleUser1 \
--master-user-password primaryPassword \
--storage-encrypted
```
Per Windows:
```
aws docdb create-db-cluster ^
--db-cluster-identifier SampleUser1 ^
--port 27017 ^
--engine docdb ^
--master-username SampleUser1 ^
--master-user-password primaryPassword ^
--storage-encrypted
```
Quando crei un cluster Amazon DocumentDB crittografato, puoi specificare un identificatore di AWS KMS chiave, come nell'esempio seguente.
**Example**
Per Linux, macOS o Unix:
```
aws docdb create-db-cluster \
--db-cluster-identifier SampleUser1 \
--port 27017 \
--engine docdb \
--master-username primaryUsername \
--master-user-password yourPrimaryPassword \
--storage-encrypted \
--kms-key-id key-arn-or-alias
```
Per Windows:
```
aws docdb create-db-cluster ^
--db-cluster-identifier SampleUser1 ^
--port 27017 ^
--engine docdb ^
--master-username SampleUser1 ^
--master-user-password primaryPassword ^
--storage-encrypted ^
--kms-key-id key-arn-or-alias
```
**Nota**
Dopo aver creato un cluster crittografato, non puoi modificare la chiave KMS per quel cluster. Assicurati di determinare i requisiti della chiave crittografica prima di creare il tuo cluster crittografato.
------
## Limitazioni per i cluster crittografati di Amazon DocumentDB
Esistono le seguenti limitazioni per i cluster crittografati di Amazon DocumentDB.
+ È possibile abilitare o disabilitare la crittografia a riposo per un cluster Amazon DocumentDB solo al momento della creazione, non dopo la creazione del cluster. Tuttavia, è possibile creare una copia crittografata di un cluster non crittografato creando un'istantanea del cluster non crittografato e quindi ripristinando l'istantanea non crittografata come nuovo cluster specificando l'opzione di crittografia a riposo.
Per ulteriori informazioni, consulta i seguenti argomenti:
+ [Creazione di un'istantanea manuale del cluster](backup_restore-create_manual_cluster_snapshot.md)
+ [Ripristino da un'istantanea del cluster](backup_restore-restore_from_snapshot.md)
+ [Copia delle istantanee del cluster Amazon DocumentDB](backup_restore-copy_cluster_snapshot.md)
+ I cluster Amazon DocumentDB con crittografia dello storage abilitata non possono essere modificati per disabilitare la crittografia.
+ Tutte le istanze, i backup automatici, le istantanee e gli indici in un cluster Amazon DocumentDB sono crittografati con la stessa chiave KMS.
# Crittografia dei dati in transito
Puoi utilizzare Transport Layer Security (TLS) per crittografare la connessione tra l'applicazione e un cluster Amazon DocumentDB. Per impostazione predefinita, la crittografia in transito è abilitata per i cluster Amazon DocumentDB appena creati. Può facoltativamente essere disabilitata al momento della creazione del cluster o in un secondo momento. Quando la crittografia in transito è abilitata, per connettersi al cluster sono necessarie connessioni protette tramite TLS. Per ulteriori informazioni sulla connessione ad Amazon DocumentDB utilizzando TLS, consulta [Connessione programmatica ad Amazon DocumentDB](connect_programmatically.md).
## Gestione delle impostazioni TLS del cluster Amazon DocumentDB
La crittografia in transito per un cluster Amazon DocumentDB viene gestita tramite il parametro TLS in un [gruppo di parametri del cluster](https://docs.aws.amazon.com/documentdb/latest/developerguide/cluster_parameter_groups.html). Puoi gestire le impostazioni TLS del cluster Amazon DocumentDB utilizzando Console di gestione AWS o il AWS Command Line Interface ().AWS CLI Consulta le seguenti sezioni per ulteriori informazioni su come verificare e modificare le impostazioni TLS correnti.
------
#### [ Using the Console di gestione AWS ]
Segui questi passaggi per eseguire attività di gestione della crittografia TLS utilizzando la console, come identificare gruppi di parametri, verificare il valore TLS e apportare le modifiche necessarie.
**Nota**
A meno che non si specifichi diversamente quando si crea un cluster, il cluster viene creato con il gruppo di parametri cluster predefinito. I parametri del gruppo di parametri del cluster `default` non possono essere modificati (ad esempio, `tls` abilitato/disabilitato). Pertanto, se il cluster utilizza un gruppo di parametri del cluster `default`, è necessario modificare il cluster per utilizzare un gruppo di parametri cluster non predefinito. Innanzitutto, potrebbe essere necessario creare un gruppo di parametri cluster personalizzato. Per ulteriori informazioni, consulta [Creazione di gruppi di parametri del cluster Amazon DocumentDB](cluster_parameter_groups-create.md).
1. **Determinare il gruppo di parametri cluster utilizzato dal cluster**.
1. [Apri la console Amazon DocumentDB in https://console.aws.amazon.com /docdb.](https://console.aws.amazon.com/docdb)
1. Nel pannello di navigazione scegliere **Clusters (Cluster)**.
**Suggerimento**
Se il riquadro di navigazione non viene visualizzato sul lato sinistro della schermata, scegliere l'icona del menu (![\[Hamburger menu icon with three horizontal lines.\]](http://docs.aws.amazon.com/it_it/documentdb/latest/developerguide/images/docdb-menu-icon.png)) nell'angolo in alto a sinistra della pagina.
1. Tieni presente che nella casella di navigazione **Cluster**, la colonna **Cluster Identifier mostra sia i cluster** che le istanze. Le istanze sono elencate sotto i cluster. Guarda lo screenshot qui sotto come riferimento.
![\[Immagine della casella di navigazione Clusters che mostra un elenco di collegamenti cluster esistenti e i collegamenti di istanza corrispondenti.\]](http://docs.aws.amazon.com/it_it/documentdb/latest/developerguide/images/clusters.png)
1. Scegli il cluster che ti interessa.
1. Scegli la scheda **Configurazione** e scorri fino alla fine della pagina **Dettagli del cluster** e individua il **gruppo di parametri del cluster**. Annotare il nome del gruppo di parametri del cluster.
Se il nome del gruppo di parametri del cluster è `default`, ad esempio `default.docdb3.6`, è necessario disporre di un gruppo di parametri del cluster personalizzato e renderlo il gruppo di parametri del cluster prima di continuare. Per ulteriori informazioni, consulta gli argomenti seguenti:
1. [Creazione di gruppi di parametri del cluster Amazon DocumentDB](cluster_parameter_groups-create.md)— Se non disponi di un gruppo di parametri del cluster personalizzato da utilizzare, creane uno.
1. [Modifica di un cluster Amazon DocumentDB](db-cluster-modify.md)— Modifica il cluster per utilizzare il gruppo di parametri del cluster personalizzato.
1. **Determinare l'attuale valore del parametro cluster `tls`**.
1. [Apri la console Amazon DocumentDB in https://console.aws.amazon.com /docdb.](https://console.aws.amazon.com/docdb)
1. Nel riquadro di navigazione scegliere **Parameter groups (Gruppi di parametri)**.
1. Dall'elenco dei gruppi di parametri del cluster, scegliere il nome del gruppo che ti interessa.
1. Individuare la sezione **Cluster parameters (Parametri cluster)**. Nell'elenco dei parametri del cluster individuare la riga dei parametri del cluster `tls`. A questo punto, sono importanti le seguenti quattro colonne:
+ **Nome dei parametri del cluster**: il nome dei parametri del cluster. Per gestire TLS, ti interessa il parametro `tls` del cluster.
+ **Valori**: il valore corrente di ogni parametro del cluster.
+ **Valori consentiti**: un elenco di valori che possono essere applicati a un parametro del cluster.
+ **Tipo di applicazione**: **statico** o **dinamico**. Le modifiche apportate ai parametri del cluster statico possono essere applicate solo quando le istanze vengono riavviate. Le modifiche apportate ai parametri del cluster dinamico possono essere applicate immediatamente oppure quando le istanze vengono riavviate.
1. **Modificare il valore del parametro del cluster `tls`.**
Se il valore di `tls` non corrisponde a quello richiesto, modificare il suo valore per questo gruppo di parametri del cluster. Per modificare il valore del parametro del cluster `tls`, continuare dalla sezione precedente seguendo questi passaggi.
1. Scegliere il pulsante a sinistra del nome del parametro cluster (`tls`).
1. Scegli **Modifica**.
1. Per modificare il valore di`tls`, nella finestra di `tls` dialogo **Modifica**, scegliete il valore che desiderate per il parametro del cluster nell'elenco a discesa.
I valori validi sono:
+ **disabilitato: disabilita** TLS
+ **abilitato: abilita** le versioni TLS da 1.0 a 1.3.
+ **fips-140-3** — Abilita TLS con FIPS. Il cluster accetta solo connessioni sicure in base ai requisiti della pubblicazione 140-3 degli standard federali di elaborazione delle informazioni (FIPS). È supportato solo a partire dai cluster Amazon DocumentDB 5.0 (versione del motore 3.0.3727) in queste regioni: ca-central-1, us-west-2, us-east-1, us-east-2, -1. us-gov-east us-gov-west
+ **tls1.2\$1 — Abilita la versione TLS 1.2 e successive.** Questa funzionalità è supportata solo a partire da Amazon DocumentDB 4.0 (versione del motore 2.0.10980) e Amazon DocumentDB (versione del motore 3.0.11051).
+ tls1.3\$1 — **Abilita TLS versione 1.3 e successive**. Questa funzionalità è supportata solo a partire da Amazon DocumentDB 4.0 (versione del motore 2.0.10980) e Amazon DocumentDB (versione del motore 3.0.11051).
![\[Immagine di una finestra di dialogo Modifica TLS specifica del cluster.\]](http://docs.aws.amazon.com/it_it/documentdb/latest/developerguide/images/modify-tls.png)
1. Scegliere **Modify cluster parameter (Modifica parametro cluster)**. La modifica verrà applicata a ciascuna istanza di cluster quando viene riavviata.
1. **Riavvia l'istanza Amazon DocumentDB.**
Riavviare ogni istanza del cluster in modo che la modifica venga applicata a tutte le istanze nel cluster.
1. [Apri la console Amazon DocumentDB in https://console.aws.amazon.com /docdb.](https://console.aws.amazon.com/docdb)
1. Nel riquadro di navigazione, scegliere **Instances (Istanze)**.
1. Per specificare un'istanza da riavviare, trova l'istanza nell'elenco e scegli il pulsante a sinistra del nome.
1. Scegliere **Actions (Azioni)**, quindi **Reboot (Riavvia)**. Confermare che si desidera riavviare scegliendo **Reboot (Riavvia)**.
------
#### [ Using the AWS CLI ]
Segui questi passaggi per eseguire attività di gestione della crittografia TLS utilizzando AWS CLI—come identificare gruppi di parametri, verificare il valore TLS e apportare le modifiche necessarie.
**Nota**
A meno che non si specifichi diversamente quando si crea un cluster, il cluster viene creato con il gruppo di parametri cluster predefinito. I parametri del gruppo di parametri del cluster `default` non possono essere modificati (ad esempio, `tls` abilitato/disabilitato). Pertanto, se il cluster utilizza un gruppo di parametri del cluster `default`, è necessario modificare il cluster per utilizzare un gruppo di parametri cluster non predefinito. Potrebbe essere necessario creare prima un gruppo di parametri del cluster personalizzato. Per ulteriori informazioni, consulta [Creazione di gruppi di parametri del cluster Amazon DocumentDB](cluster_parameter_groups-create.md).
1. **Determinare il gruppo di parametri cluster utilizzato dal cluster**.
Esegui il [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/describe-db-clusters.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/describe-db-clusters.html)comando con le seguenti opzioni:
+ `--db-cluster-identifier`
+ `--query`
Nell'esempio seguente, sostituisci ciascuno di essi *user input placeholder* con le informazioni del tuo cluster.
```
aws docdb describe-db-clusters \
--db-cluster-identifier mydocdbcluster \
--query 'DBClusters[*].[DBClusterIdentifier,DBClusterParameterGroup]'
```
L'output di questa operazione è simile al seguente (formato JSON):
```
[
[
"mydocdbcluster",
"myparametergroup"
]
]
```
Se il nome del gruppo di parametri del cluster è `default`, ad esempio `default.docdb3.6`, è necessario disporre di un gruppo di parametri del cluster personalizzato e renderlo il gruppo di parametri del cluster prima di continuare. Per ulteriori informazioni, consulta i seguenti argomenti:
1. [Creazione di gruppi di parametri del cluster Amazon DocumentDB](cluster_parameter_groups-create.md)— Se non disponi di un gruppo di parametri di cluster personalizzato da utilizzare, creane uno.
1. [Modifica di un cluster Amazon DocumentDB](db-cluster-modify.md)— Modifica il cluster per utilizzare il gruppo di parametri del cluster personalizzato.
1. **Determinare l'attuale valore del parametro cluster `tls`**.
Per ottenere ulteriori informazioni su questo gruppo di parametri del cluster, esegui il [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/describe-db-cluster-parameters.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/describe-db-cluster-parameters.html)comando con le seguenti opzioni:
+ `--db-cluster-parameter-group-name`
+ `--query`
Limita l'output ai soli campi di interesse: `ParameterName``ParameterValue`,`AllowedValues`, e`ApplyType`.
Nell'esempio seguente, sostituisci ciascuno di essi *user input placeholder* con le informazioni del tuo cluster.
```
aws docdb describe-db-cluster-parameters \
--db-cluster-parameter-group-name myparametergroup \
--query 'Parameters[*].[ParameterName,ParameterValue,AllowedValues,ApplyType]'
```
L'output di questa operazione è simile al seguente (formato JSON):
```
[
[
"audit_logs",
"disabled",
"enabled,disabled",
"dynamic"
],
[
"tls",
"disabled",
"disabled,enabled,fips-140-3,tls1.2+,tls1.3+",
"static"
],
[
"ttl_monitor",
"enabled",
"disabled,enabled",
"dynamic"
]
]
```
1. **Modificare il valore del parametro del cluster `tls`.**
Se il valore di `tls` non corrisponde a quello richiesto, modificarlo per questo gruppo di parametri del cluster. Per modificare il valore del parametro `tls` cluster, esegui il [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/modify-db-cluster-parameter-group.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/modify-db-cluster-parameter-group.html)comando con le seguenti opzioni:
+ `--db-cluster-parameter-group-name`: obbligatorio. Il nome del gruppo di parametri del cluster da modificare. Questo non può essere un gruppo di parametri del `default.*`.
+ `--parameters`: obbligatorio. Un elenco di parametri del gruppo di parametri del cluster.
+ `ParameterName`: obbligatorio. Il nome del parametro del cluster da modificare.
+ `ParameterValue`: obbligatorio. Il nuovo valore per questo parametro del cluster. Deve essere uno dei valori `AllowedValues` del parametro del cluster.
+ `enabled`— Il cluster accetta connessioni sicure utilizzando TLS dalla versione 1.0 alla 1.3.
+ `disabled`— Il cluster non accetta connessioni sicure tramite TLS.
+ `fips-140-3`— Il cluster accetta solo connessioni sicure in base ai requisiti della pubblicazione 140-3 degli standard federali di elaborazione delle informazioni (FIPS). È supportato solo a partire dai cluster Amazon DocumentDB 5.0 (versione del motore 3.0.3727) in queste regioni: ca-central-1, us-west-2, us-east-1, us-east-2, -1. us-gov-east us-gov-west
+ `tls1.2+`— Il cluster accetta connessioni sicure utilizzando la versione TLS 1.2 e successive. Questa funzionalità è supportata solo a partire da Amazon DocumentDB 4.0 (versione del motore 2.0.10980) e Amazon DocumentDB 5.0 (versione del motore 3.0.11051).
+ `tls1.3+`— Il cluster accetta connessioni sicure utilizzando TLS versione 1.3 e successive. Questa funzionalità è supportata solo a partire da Amazon DocumentDB 4.0 (versione del motore 2.0.10980) e Amazon DocumentDB 5.0 (versione del motore 3.0.11051).
+ `ApplyMethod`— Quando deve essere applicata questa modifica. Per i parametri del cluster statici, ad esempio `tle`, questo valore deve essere `pending-reboot`.
+ `pending-reboot`— La modifica viene applicata a un'istanza solo dopo il riavvio. È necessario riavviare ogni istanza del cluster individualmente per consentire l'applicazione di questo cambiamento tra tutte le istanze del cluster.
Negli esempi seguenti, sostituisci ciascuno di essi *user input placeholder* con le informazioni del cluster.
Il codice seguente *viene disabilitato*`tls`, applicando la modifica a ciascuna istanza al riavvio.
```
aws docdb modify-db-cluster-parameter-group \
--db-cluster-parameter-group-name myparametergroup \
--parameters "ParameterName=tls,ParameterValue=disabled,ApplyMethod=pending-reboot"
```
Il codice seguente *consente* `tls` (dalla versione 1.0 alla 1.3) di applicare la modifica a ciascuna istanza al riavvio.
```
aws docdb modify-db-cluster-parameter-group \
--db-cluster-parameter-group-name myparametergroup \
--parameters "ParameterName=tls,ParameterValue=enabled,ApplyMethod=pending-reboot"
```
Il codice seguente *abilita* TLS con`fips-140-3`, applicando la modifica a ciascuna istanza al riavvio.
```
aws docdb modify-db-cluster-parameter-group \
‐‐db-cluster-parameter-group-name myparametergroup2 \
‐‐parameters "ParameterName=tls,ParameterValue=fips-140-3,ApplyMethod=pending-reboot"
```
L'output di questa operazione è simile al seguente (formato JSON):
```
{
"DBClusterParameterGroupName": "myparametergroup"
}
```
1. **Riavvia l'istanza Amazon DocumentDB.**
Riavviare ogni istanza del cluster in modo che la modifica venga applicata a tutte le istanze nel cluster. Per riavviare un'istanza di Amazon DocumentDB, [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/reboot-db-instance.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/reboot-db-instance.html)esegui il comando con la seguente opzione:
+ `--db-instance-identifier`
Il codice seguente riavvia l'istanza `mydocdbinstance`.
Negli esempi seguenti, sostituisci ciascuno di essi *user input placeholder* con le informazioni del cluster.
**Example**
Per Linux, macOS o Unix:
```
aws docdb reboot-db-instance \
--db-instance-identifier mydocdbinstance
```
Per Windows:
```
aws docdb reboot-db-instance ^
--db-instance-identifier mydocdbinstance
```
L'output di questa operazione è simile al seguente (formato JSON):
```
{
"DBInstance": {
"AutoMinorVersionUpgrade": true,
"PubliclyAccessible": false,
"PreferredMaintenanceWindow": "fri:09:32-fri:10:02",
"PendingModifiedValues": {},
"DBInstanceStatus": "rebooting",
"DBSubnetGroup": {
"Subnets": [
{
"SubnetStatus": "Active",
"SubnetAvailabilityZone": {
"Name": "us-east-1a"
},
"SubnetIdentifier": "subnet-4e26d263"
},
{
"SubnetStatus": "Active",
"SubnetAvailabilityZone": {
"Name": "us-east-1c"
},
"SubnetIdentifier": "subnet-afc329f4"
},
{
"SubnetStatus": "Active",
"SubnetAvailabilityZone": {
"Name": "us-east-1e"
},
"SubnetIdentifier": "subnet-b3806e8f"
},
{
"SubnetStatus": "Active",
"SubnetAvailabilityZone": {
"Name": "us-east-1d"
},
"SubnetIdentifier": "subnet-53ab3636"
},
{
"SubnetStatus": "Active",
"SubnetAvailabilityZone": {
"Name": "us-east-1b"
},
"SubnetIdentifier": "subnet-991cb8d0"
},
{
"SubnetStatus": "Active",
"SubnetAvailabilityZone": {
"Name": "us-east-1f"
},
"SubnetIdentifier": "subnet-29ab1025"
}
],
"SubnetGroupStatus": "Complete",
"DBSubnetGroupDescription": "default",
"VpcId": "vpc-91280df6",
"DBSubnetGroupName": "default"
},
"PromotionTier": 2,
"DBInstanceClass": "db.r5.4xlarge",
"InstanceCreateTime": "2018-11-05T23:10:49.905Z",
"PreferredBackupWindow": "00:00-00:30",
"KmsKeyId": "arn:aws:kms:us-east-1:012345678901:key/0961325d-a50b-44d4-b6a0-a177d5ff730b",
"StorageEncrypted": true,
"VpcSecurityGroups": [
{
"Status": "active",
"VpcSecurityGroupId": "sg-77186e0d"
}
],
"EngineVersion": "3.6.0",
"DbiResourceId": "db-SAMPLERESOURCEID",
"DBInstanceIdentifier": "mydocdbinstance",
"Engine": "docdb",
"AvailabilityZone": "us-east-1a",
"DBInstanceArn": "arn:aws:rds:us-east-1:012345678901:db:sample-cluster-instance-00",
"BackupRetentionPeriod": 1,
"Endpoint": {
"Address": "mydocdbinstance.corcjozrlsfc.us-east-1.docdb.amazonaws.com",
"Port": 27017,
"HostedZoneId": "Z2R2ITUGPM61AM"
},
"DBClusterIdentifier": "mydocdbcluster"
}
}
```
Per il riavvio dell'istanza sono necessari alcuni minuti. Puoi utilizzare l'istanza solo quando ha lo stato *disponibile*. Puoi monitorare lo stato dell'istanza con la console o l' AWS CLI. Per ulteriori informazioni, consulta [Monitoraggio dello stato di un'istanza Amazon DocumentDB](monitoring_docdb-instance_status.md).
------
# Gestione delle chiavi
Amazon DocumentDB utilizza AWS Key Management Service (AWS KMS) per recuperare e gestire le chiavi di crittografia. AWS KMS combina hardware e software sicuri e ad alta disponibilità per fornire un sistema di gestione delle chiavi scalabile per il cloud. Utilizzando AWS KMS, è possibile creare chiavi di crittografia e definire le politiche che controllano il modo in cui tali chiavi possono essere utilizzate. AWS KMS supporta AWS CloudTrail, in modo da poter controllare l'utilizzo delle chiavi per verificare che vengano utilizzate in modo appropriato.
AWS KMS Le tue chiavi possono essere utilizzate in combinazione con Amazon DocumentDB e AWS servizi supportati come Amazon Simple Storage Service (Amazon S3), Amazon Relational Database Service (Amazon RDS), Amazon Elastic Block Store (Amazon EBS) Elastic Block Store (Amazon EBS) e Amazon Redshift. *Per un elenco dei servizi che supportano AWS KMS, consulta [How AWS Services](https://docs.aws.amazon.com/kms/latest/developerguide/service-integration.html) use nella Developer Guide. AWS KMSAWS Key Management Service * Per informazioni su AWS KMS, consulta [What is AWS Key Management Service?](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)