Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Protezione dei dati in Amazon Data Firehose
<a name="encryption"></a>

Amazon Data Firehose crittografa tutti i dati in transito utilizzando il protocollo TLS. Inoltre, per i dati archiviati in uno storage provvisorio durante l'elaborazione, Amazon Data Firehose crittografa i dati [AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)utilizzando e verifica l'integrità dei dati mediante la verifica tramite checksum.

Se disponi di dati sensibili, puoi abilitare la crittografia dei dati lato server quando usi Amazon Data Firehose. Il modo in cui esegui questa operazione dipende dall'origine dei dati.

**Nota**  
Se hai bisogno di moduli crittografici convalidati FIPS 140-2 per l'accesso AWS tramite un'interfaccia a riga di comando o un'API, utilizza un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il [Federal Information Processing Standard (FIPS) 140-2](https://aws.amazon.com/compliance/fips/).

## Crittografia lato server con Kinesis Data Streams
<a name="sse-with-data-stream-as-source"></a>

Quando invii dati dai tuoi produttori di dati al tuo flusso di dati, Kinesis Data Streams crittografa i dati AWS Key Management Service utilizzando AWS KMS una chiave () prima di archiviarli a riposo. Quando il flusso Firehose legge i dati dal flusso di dati, Kinesis Data Streams prima decrittografa i dati e poi li invia ad Amazon Data Firehose. Amazon Data Firehose memorizza nel buffer i dati in memoria in base ai suggerimenti di buffering specificati. Li distribuisce quindi alle destinazioni senza archiviare i dati inattivi non crittografati.

Per informazioni su come abilitare la crittografia lato server per Kinesis Data Streams, consulta [Utilizzo della crittografia lato server](https://docs.aws.amazon.com/streams/latest/dev/server-side-encryption.html) nella *Guida per gli sviluppatori del flusso di dati Amazon Kinesis*.

## Crittografia lato server con Direct PUT o altre fonti di dati
<a name="sse-with-direct-put"></a>

Se invii dati al tuo stream Firehose utilizzando [PutRecord](https://docs.aws.amazon.com/firehose/latest/APIReference/API_PutRecord.html)o [PutRecordBatch](https://docs.aws.amazon.com/firehose/latest/APIReference/API_PutRecordBatch.html), o se invii i dati utilizzando AWS IoT Amazon CloudWatch Logs o CloudWatch Events, puoi attivare la crittografia lato server utilizzando l'operazione. [StartDeliveryStreamEncryption](https://docs.aws.amazon.com/firehose/latest/APIReference/API_StartDeliveryStreamEncryption.html) 

Per interrompere server-side-encryption, usa l'operazione. [StopDeliveryStreamEncryption](https://docs.aws.amazon.com/firehose/latest/APIReference/API_StopDeliveryStreamEncryption.html)

È inoltre possibile abilitare SSE quando si crea lo stream Firehose. A tale scopo, specificate [DeliveryStreamEncryptionConfigurationInput](https://docs.aws.amazon.com/firehose/latest/APIReference/API_DeliveryStreamEncryptionConfigurationInput.html)quando richiamate. [CreateDeliveryStream](https://docs.aws.amazon.com/firehose/latest/APIReference/API_CreateDeliveryStream.html)

Per un utilizzo corretto`CUSTOMER_MANAGED_CMK`, sia la policy IAM del chiamante che la policy KMS key devono consentire `kms:GenerateDataKey` operazioni. `kms:Decrypt` Firehose convalida queste autorizzazioni durante la chiamata PutRecord o con la crittografia. PutRecordBatch `CUSTOMER_MANAGED_CMK` Inoltre, è richiesta `kms:CreateGrant` l'autorizzazione durante la chiamata CreateDeliveryStream o StartDeliveryStreamEncryption con la crittografia. `CUSTOMER_MANAGED_CMK`

Quando la CMK è di tipo`CUSTOMER_MANAGED_CMK`, se il servizio Amazon Data Firehose non è in grado di decrittografare i record a causa di `KMSNotFoundException` a, a, `KMSInvalidStateException` a o `KMSDisabledException` `KMSAccessDeniedException` a, il servizio attende fino a 24 ore (periodo di conservazione) prima che tu risolva il problema. Se il problema persiste oltre il periodo di conservazione, il servizio ignora i record che hanno superato il periodo di conservazione e non sono stati decrittografati, quindi elimina i dati. Amazon Data Firehose fornisce le seguenti quattro CloudWatch metriche che puoi utilizzare per tenere traccia delle quattro eccezioni: AWS KMS 
+ `KMSKeyAccessDenied`
+ `KMSKeyDisabled`
+ `KMSKeyInvalidState`
+ `KMSKeyNotFound`

Per ulteriori informazioni su questi parametri, consulta [Monitora Amazon Data Firehose con parametri CloudWatch](monitoring-with-cloudwatch-metrics.md).

**Importante**  
Per crittografare il tuo stream Firehose, usa symmetric. CMKs Amazon Data Firehose non supporta l'asimmetria. CMKs [Per informazioni su simmetrico e asimmetrico, consulta About Symmetric and Asymmetric nella CMKs guida per sviluppatori. CMKs](https://docs.aws.amazon.com/kms/latest/developerguide/symm-asymm-concepts.html) AWS Key Management Service 

**Nota**  
Quando si utilizza una [chiave gestita dal cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) (CUSTOMER\$1MANAGED\$1CMK) per abilitare la crittografia lato server (SSE) per lo stream Firehose, il servizio Firehose imposta un contesto di crittografia ogni volta che utilizza la chiave. Poiché questo contesto di crittografia rappresenta un evento in cui è stata utilizzata una chiave di proprietà dell'account, viene registrato come parte dei registri degli eventi AWS dell'account. AWS CloudTrail AWS Questo contesto di crittografia è un sistema generato dal servizio Firehose. L'applicazione non deve fare ipotesi sul formato o sul contenuto del contesto di crittografia impostato dal servizio Firehose.