Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Crittografia dei dati scritti da AWS Glue
<a name="encryption-security-configuration"></a>

Una *configurazione della sicurezza* è un set di proprietà di sicurezza che AWS Glue può usare. Puoi usare una configurazione della sicurezza per crittografare i dati inattivi. Gli scenari seguenti mostrano alcuni modi in cui è possibile usare una configurazione della sicurezza. 
+ Collega una configurazione di sicurezza a un AWS Glue crawler per scrivere Amazon CloudWatch Logs crittografati. Per ulteriori informazioni sull'aggiunta di configurazioni di sicurezza ai crawler, consulta [Fase 3: configurare le impostazioni di sicurezza](define-crawler-configure-security-settings.md).
+ Collega una configurazione di sicurezza a un processo di estrazione, trasformazione e caricamento (ETL) per scrivere obiettivi Amazon Simple Storage Service (Amazon S3) crittografati e log crittografati. CloudWatch 
+ Collegare una configurazione della sicurezza a un processo ETL per scrivere i segnalibri dei processi come dati Amazon S3 crittografati.
+ Collegare una configurazione della sicurezza a un endpoint di sviluppo per scrivere destinazioni Amazon S3 crittografate.

**Importante**  
Attualmente, una configurazione della sicurezza sostituisce qualsiasi impostazione di crittografia lato server (SSE-S3) passata come parametro di un processo ETL. Pertanto, se a un processo sono associati sia una configurazione della sicurezza che un parametro SSE-S3, il parametro SSE-S3 viene ignorato.

Per ulteriori informazioni sulle configurazioni della sicurezza, consulta [Gestire le configurazioni di sicurezza nella console AWS Glue](console-security-configurations.md).

**Topics**
+ [Impostazione di AWS Glue per l'uso di configurazioni della sicurezza](#encryption-setup-Glue)
+ [Creazione di un percorso AWS KMS per i job e i crawler VPC](#encryption-kms-vpc-endpoint)
+ [Gestire le configurazioni di sicurezza nella console AWS Glue](console-security-configurations.md)

## Impostazione di AWS Glue per l'uso di configurazioni della sicurezza
<a name="encryption-setup-Glue"></a>

Segui queste fasi per impostare l'ambiente AWS Glue per l'uso di configurazioni della sicurezza.

1. Crea o aggiorna le tue chiavi AWS Key Management Service (AWS KMS) per concedere le AWS KMS autorizzazioni ai ruoli IAM che vengono passate ai AWS Glue crawler e ai job per crittografare i log. CloudWatch Per ulteriori informazioni, [consulta Encrypt Log Data in CloudWatch Logs Using AWS KMS](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/encrypt-log-data-kms.html) nella *Amazon CloudWatch Logs* User Guide. 

   Nell'esempio seguente *"role1"**"role2"*, e *"role3"* sono i ruoli IAM che vengono passati ai crawler e ai job.

   ```
   {
          "Effect": "Allow",
          "Principal": { "Service": "logs.region.amazonaws.com",
          "AWS": [
                   "role1",
                   "role2",
                   "role3"
                ] },
                       "Action": [
                              "kms:Encrypt*",
                              "kms:Decrypt*",
                              "kms:ReEncrypt*",
                              "kms:GenerateDataKey*",
                              "kms:Describe*"
                       ],
                       "Resource": "*"
   }
   ```

   L'`Service`istruzione, mostrata come`"Service": "logs.region.amazonaws.com"`, è obbligatoria se si utilizza la chiave per CloudWatch crittografare i log.

1. Assicuratevi che la AWS KMS chiave sia presente `ENABLED` prima di essere utilizzata.

**Nota**  
Se utilizzi Iceberg come framework di data lake, le tabelle Iceberg dispongono di meccanismi propri per abilitare la crittografia lato server. È necessario abilitare queste configurazioni in aggiunta alle configurazioni AWS Glue di sicurezza. Per abilitare la crittografia lato server sulle tabelle Iceberg, consulta le indicazioni contenute nella [documentazione di Iceberg](https://iceberg.apache.org/docs/latest/aws/#s3-server-side-encryption).

## Creazione di un percorso AWS KMS per i job e i crawler VPC
<a name="encryption-kms-vpc-endpoint"></a>

Puoi connetterti direttamente a AWS KMS attraverso un endpoint privato nel cloud privato virtuale (VPC, Virtual Private Cloud) invece che tramite Internet. Quando utilizzi un endpoint VPC, la comunicazione tra il tuo VPC e il tuo VPC AWS KMS viene condotta interamente all'interno della rete. AWS 

Puoi creare un endpoint AWS KMS VPC all'interno di un VPC. Senza questa fase, i processi o i crawler potrebbero avere esito negativo, con un errore `kms timeout` nei processi o un'eccezione `internal service exception` nei crawler. *Per istruzioni dettagliate, consulta [Connessione a AWS KMS un endpoint VPC](https://docs.aws.amazon.com/kms/latest/developerguide/kms-vpc-endpoint.html) nella Guida per gli AWS Key Management Service sviluppatori.* 

Mentre segui le istruzioni, nella [console VPC](https://console.aws.amazon.com//vpc) esegui queste operazioni:
+ Selezionare **Abilita nome DNS privato**.
+ Scegli il **gruppo di sicurezza** (con regola autoreferenziale) da usare per il processo o il crawler che accede a JDBC (Java Database Connectivity). Per ulteriori informazioni sulle connessioni AWS Glue, consulta [Connessione ai dati](glue-connections.md).

Quando aggiungi una configurazione di sicurezza a un crawler o a un job che accede agli archivi dati JDBC, AWS Glue devi disporre di un percorso verso l'endpoint. AWS KMS È possibile fornire il percorso con un gateway NAT (Network Address Translation) o con un endpoint AWS KMS VPC. Per creare un gateway NAT, consulta [Gateway NAT](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html) nella *Guida per l'utente di Amazon VPC*.