Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Crittografia dei dati a riposo
<a name="encryption-at-rest"></a>

La crittografia dei dati inattivi viene abilitata automaticamente quando crei un Amazon FSx for Lustre file system tramite Console di gestione AWS AWS CLI, o programmaticamente tramite l'API Amazon FSx o uno degli SDK. AWS Un'azienda potrebbe richiedere la crittografia di tutti i dati che soddisfano una determinata classificazione o sono associati a una determinata applicazione, carico di lavoro o ambiente. Se crei un file system persistente, puoi specificare la AWS KMS chiave con cui crittografare i dati. Se crei un file system scratch, i dati vengono crittografati utilizzando chiavi gestite da Amazon FSx. Per ulteriori informazioni sulla creazione di un file system crittografato a riposo utilizzando la console, consulta [Crea il tuo Amazon FSx for Lustre file system](getting-started.md#getting-started-step1).

**Nota**  
L'infrastruttura di gestione delle AWS chiavi utilizza algoritmi crittografici approvati dal Federal Information Processing Standards (FIPS) 140-2. L'infrastruttura è compatibile con le raccomandazioni National Institute of Standards and Technology (NIST) 800-57.

Per ulteriori informazioni sull'utilizzo di FSx for AWS KMS Lustre, vedere. [Amazon FSx for LustreCome utilizza AWS KMS](#FSXKMS)

## Come funziona la crittografia dei dati memorizzati su disco
<a name="howencrypt"></a>

In un file system crittografato, i dati e i metadati vengono automaticamente crittografati prima di essere scritti sul file system. Analogamente, quando i dati e i metadati vengono letti, sono automaticamente decifrati prima di essere presentati all'applicazione. Questi processi vengono gestiti in modo trasparente da Amazon FSx for Lustre, perciò non è necessario modificare le applicazioni.

Amazon FSx for Lustreutilizza un algoritmo di AES-256 crittografia standard del settore per crittografare i dati del file system inattivi. Per ulteriori informazioni, consulta [Elementi di base di crittografia](https://docs.aws.amazon.com/kms/latest/developerguide/crypto-intro.html) nella *Guida per sviluppatori di AWS Key Management Service *.

## Amazon FSx for LustreCome utilizza AWS KMS
<a name="FSXKMS"></a>

 Amazon FSx for Lustrecrittografa automaticamente i dati prima che vengano scritti nel file system e decrittografa automaticamente i dati man mano che vengono letti. I dati vengono crittografati utilizzando un XTS-AES-256 codice a blocchi. Tutti i file system scratch FSx for Lustre sono crittografati a riposo con chiavi gestite da. AWS KMSAmazon FSx for Lustresi integra con AWS KMS per la gestione delle chiavi. Le chiavi utilizzate per crittografare i file system scratch inattivi sono uniche per ogni file system e vengono distrutte dopo l'eliminazione del file system. Per i file system persistenti, scegli la chiave KMS utilizzata per crittografare e decrittografare i dati. È necessario specificare la chiave da utilizzare quando si crea un file system persistente. Puoi abilitare, disabilitare o revocare le concessioni su questa chiave KMS. Questa chiave KMS può essere di uno dei due tipi seguenti:
+ **Chiave gestita da AWS per Amazon FSx**: questa è la chiave KMS predefinita. Non ti viene addebitato alcun costo per creare e archiviare una chiave KMS, ma ci sono costi di utilizzo. Per ulteriori informazioni, consultare [Prezzi di AWS Key Management Service](https://aws.amazon.com/kms/pricing/).
+ **Chiave gestita dal cliente** – Questa è la chiave KMS più flessibile da usare, perché è possibile configurare le policy della chiave e i permessi per più utenti o servizi. Per ulteriori informazioni sulla creazione di chiavi gestite dai clienti, consulta [Creazione di chiavi](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) nella *Guida per gli AWS Key Management Service sviluppatori*.

Se utilizzi una chiave gestita dal cliente come chiave KMS per la crittografia e la decrittografia dei dati dei file, puoi abilitare la rotazione delle chiavi. Quando abiliti la rotazione delle chiavi, la ruota AWS KMS automaticamente una volta all'anno. Inoltre, con una chiave gestita dal cliente, è possibile scegliere quando disattivare, riattivare, eliminare o revocare l'accesso alla chiave gestita dal cliente in qualsiasi momento. 

**Importante**  
Amazon FSx accetta solo chiavi KMS con crittografia simmetrica. Non puoi usare chiavi KMS asimmetriche con Amazon FSx.

### Politiche chiave di Amazon FSx per AWS KMS
<a name="FSxKMSPolicy"></a>

Le policy chiave sono lo strumento principale per controllare l'accesso alle chiavi KMS. Per ulteriori informazioni sulle politiche chiave, consulta [Using key policy AWS KMS nella AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) *Developer Guide*.L'elenco seguente descrive tutte le autorizzazioni AWS KMS correlate supportate da Amazon FSx per i file system crittografati a riposo:
+ **kms:Encrypt** - (Facoltativa) Crittografa testo normale in testo criptato. Questa autorizzazione è inclusa nella policy sulla chiave predefinita.
+ **kms:Decrypt** - (Obbligatoria) Decifra il testo criptato. Il testo cifrato è un testo normale che è stato precedentemente crittografato. Questa autorizzazione è inclusa nella policy sulla chiave predefinita.
+ **kms: ReEncrypt** — (Facoltativo) Crittografa i dati sul lato server con una nuova chiave KMS, senza esporre il testo in chiaro dei dati sul lato client. I dati sono prima decifrati e quindi nuovamente crittografati. Questa autorizzazione è inclusa nella policy sulla chiave predefinita.
+ **kms: GenerateDataKeyWithoutPlaintext** — (Obbligatorio) Restituisce una chiave di crittografia dei dati crittografata con una chiave KMS. Questa autorizzazione è inclusa nella politica delle chiavi predefinita in **kms**: \*. GenerateDataKey
+ **kms: CreateGrant** — (Obbligatorio) Aggiunge una concessione a una chiave per specificare chi può utilizzare la chiave e in quali condizioni. I grant sono meccanismi di autorizzazioni alternative alle policy sulle chiavi. *Per ulteriori informazioni sulle sovvenzioni, consulta [Using grants](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) nella Developer Guide.AWS Key Management Service * Questa autorizzazione è inclusa nella policy sulla chiave predefinita.
+ **kms: DescribeKey** — (Obbligatorio) Fornisce informazioni dettagliate sulla chiave KMS specificata. Questa autorizzazione è inclusa nella policy sulla chiave predefinita.
+ **kms: ListAliases** — (Facoltativo) Elenca tutti gli alias chiave dell'account. Quando usi la console per creare un file system crittografato, questa autorizzazione compila l'elenco per selezionare la chiave KMS. Consigliamo di usare questa autorizzazione per garantire la migliore esperienza utente. Questa autorizzazione è inclusa nella policy sulla chiave predefinita.