Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Requisiti per la crittografia Amazon EBS
<a name="ebs-encryption-requirements"></a>

Prima di iniziare, verificare che i seguenti requisiti siano soddisfatti.

**Topics**
+ [Tipi di volumi supportati](#ebs-encryption-volume-types)
+ [Tipi di istanze supportati](#ebs-encryption_supported_instances)
+ [Autorizzazioni del per gli utenti](#ebs-encryption-permissions)
+ [Autorizzazioni per le istanze](#ebs-encryption-instance-permissions)

## Tipi di volumi supportati
<a name="ebs-encryption-volume-types"></a>

La crittografia è supportata da tutti i tipi di volume EBS. Sono previste le stesse prestazioni IOPS su volumi crittografati e su volumi non crittografati, con un effetto minimo sulla latenza. È possibile accedere ai volumi crittografati nello stesso modo in cui accedi a volumi non crittografati. La crittografia e la decrittografia sono gestite in modo trasparente e non richiedono alcuna operazione aggiuntiva da parte dell'utente o delle applicazioni.

## Tipi di istanze supportati
<a name="ebs-encryption_supported_instances"></a>

La crittografia Amazon EBS è disponibile su tutti i tipi di istanze di [generazione attuale](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html#current-gen-instances) [e precedente](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html#previous-gen-instances).

## Autorizzazioni del per gli utenti
<a name="ebs-encryption-permissions"></a>

Quando utilizzi una chiave KMS per la crittografia EBS, la policy delle chiavi KMS consente a qualsiasi utente con accesso alle AWS KMS azioni richieste di utilizzare questa chiave KMS per crittografare o decrittografare le risorse EBS. Per utilizzare la crittografia su EBS è necessario concedere agli utenti l'autorizzazione per richiamare le seguenti operazioni:
+ `kms:CreateGrant`
+ `kms:Decrypt`
+ `kms:DescribeKey`
+ `kms:GenerateDataKeyWithoutPlainText`
+ `kms:ReEncrypt`

**Suggerimento**  
Per seguire il principio del privilegio minimo, non consentire l'accesso completo a `kms:CreateGrant`. Utilizza invece la chiave di `kms:GrantIsForAWSResource` condizione per consentire all'utente di creare concessioni sulla chiave KMS solo quando la concessione viene creata per conto dell'utente da un servizio, come mostrato nell'esempio seguente. AWS 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "kms:CreateGrant",
            "Resource": [
                "arn:aws:kms:us-east-2:123456789012:key/abcd1234-a123-456d-a12b-a123b4cd56ef"
            ],
            "Condition": {
                "Bool": {
                    "kms:GrantIsForAWSResource": true
                }
            }
        }
    ]
}
```

------

Per ulteriori informazioni, consulta [Consente l'accesso all' AWS account e abilita le politiche IAM](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-default-allow-root-enable-iam) nella sezione **Default key policy** della *AWS Key Management Service Developer* Guide.

## Autorizzazioni per le istanze
<a name="ebs-encryption-instance-permissions"></a>

Quando un'istanza tenta di interagire con un'AMI crittografata, un volume o uno snapshot, viene rilasciata la concessione di una chiave KMS al ruolo di sola identità dell'istanza. Il ruolo di sola identità è un ruolo IAM utilizzato dall'istanza per interagire con volumi o istantanee crittografati AMIs per tuo conto. 

I ruoli di sola identità non devono essere creati o eliminati manualmente e non sono associati a criteri. Inoltre, non puoi accedere alle credenziali dei ruoli di sola identità.

**Nota**  
I ruoli di sola identità non vengono utilizzati dalle applicazioni sull'istanza per accedere ad altre risorse AWS KMS crittografate, come oggetti Amazon S3 o tabelle Dynamo DB. Queste operazioni vengono eseguite utilizzando le credenziali di un ruolo di istanza Amazon EC2 o AWS altre credenziali configurate sull'istanza.

[I ruoli con sola identità sono soggetti alle politiche di [controllo del servizio (SCPs) e alle politiche](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_scps.html) chiave KMS.](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) Se una chiave SCP o KMS nega al ruolo di sola identità l'accesso a una chiave KMS, potresti non riuscire ad avviare istanze EC2 con volumi crittografati o utilizzando copie crittografate o istantanee. AMIs 

Se stai creando un SCP o una politica chiave che nega l'accesso in base alla posizione della rete utilizzando le chiavi,, o `aws:SourceVpce` AWS global condition `aws:SourceIp` `aws:VpcSourceIp``aws:SourceVpc`, devi assicurarti che queste istruzioni non si applichino ai ruoli relativi alle sole istanze. Per esempi di policy, consulta [Esempi di policy del perimetro di dati](https://github.com/aws-samples/data-perimeter-policy-examples/tree/main).

I ruoli di sola identità utilizzano il seguente formato: ARNs 

```
arn:aws-partition:iam::account_id:role/aws:ec2-infrastructure/instance_id
```

Quando viene rilasciata una concessione di chiave a un'istanza, la concessione della chiave viene rilasciata alla sessione del ruolo assunto specifica per quell'istanza. L'ARN principale dell'assegnatario utilizza il seguente formato:

```
arn:aws-partition:sts::account_id:assumed-role/aws:ec2-infrastructure/instance_id
```