Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Utilizzo della AWS KMS crittografia con AWS i servizi
Con AWS Key Management Service, puoi fornire chiavi di crittografia per proteggere i dati in altri AWS servizi. L'utilizzo della AWS KMS crittografia con AWS i servizi si riferisce al processo di integrazione AWS KMS con altri AWS servizi per crittografare e decrittografare i dati inattivi o in transito. Sviluppatori, amministratori di sistema e professionisti della sicurezza potrebbero essere interessati a questo argomento per proteggere i dati sensibili archiviati o trasmessi tramite AWS servizi, soddisfare i requisiti di conformità normativa o implementare le migliori pratiche di crittografia. I casi d'uso più comuni includono la crittografia di volumi Amazon EBS, bucket Amazon S3 e database Amazon RDS. [Le sezioni seguenti illustreranno i passaggi per configurare e gestire le chiavi di AWS KMS crittografia per AWS servizi specifici, garantendo la riservatezza e l'integrità dei dati in tutto l' AWS ambiente. Per l'elenco completo dei AWS servizi integrati con, consulta Service Integration. AWS KMSAWS](https://aws.amazon.com/kms/features/#AWS_Service_Integration)
I seguenti argomenti illustrano in dettaglio l'utilizzo di determinati servizi AWS KMS, comprese le chiavi KMS che supportano, come gestiscono le chiavi di dati, le autorizzazioni richieste e come tenere traccia dell'utilizzo delle chiavi KMS nell'account da parte di ciascun servizio.
**Importante**
[AWS i servizi integrati con AWS KMS](https://aws.amazon.com/kms/features/#AWS_Service_Integration) utilizzano solo chiavi KMS di crittografia simmetrica per crittografare i dati. Questi servizi non supportano la crittografia con chiavi KMS asimmetriche. Per informazioni su come determinare se una è simmetrica o asimmetrica, consulta [Identifica diversi tipi di chiave](identify-key-types.md).
**Topics**
+ [Amazon Elastic Block Store (Amazon EBS)](services-ebs.md)
+ [Amazon EMR](services-emr.md)
+ [Amazon Redshift](services-redshift.md)
# In che modo Amazon Elastic Block Store (Amazon EBS) utilizza Amazon Elastic Block Store (Amazon EBS) AWS KMS
Questo argomento illustra in dettaglio come [Amazon Elastic Block Store (Amazon EBS) utilizza AWS KMS per crittografare volumi](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AmazonEBS.html) e snapshot. Per istruzioni di base su come crittografare i volumi Amazon EBS, consulta [Crittografia Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html).
**Topics**
+ [Crittografia Amazon EBS](#ebs-encrypt)
+ [Utilizzo di chiavi KMS e chiavi dati](#ebs-cmk)
+ [Contesto di crittografia di Amazon EBS](#ebs-encryption-context)
+ [Rilevamento degli errori Amazon EBS](#ebs-failures)
+ [Utilizzo AWS CloudFormation per creare volumi Amazon EBS crittografati](#ebs-encryption-using-cloudformation)
## Crittografia Amazon EBS
Quando colleghi un volume Amazon EBS crittografato a un [tipo di istanza Amazon Elastic Compute Cloud (Amazon EC2) supportato](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption-requirements.html#ebs-encryption_supported_instances), i dati archiviati inattivi nel volume, l'I/O su disco e gli snapshot create dai volumi sono tutti crittografati. La crittografia viene implementata a livello di server che ospitano le istanze Amazon EC2.
Questa caratteristica è supportata su tutti i [tipi di volume Amazon EBS](https://docs.aws.amazon.com/ebs-encryption-requirements.html#ebs-encryption-volume-types). Puoi accedere ai volumi crittografati nello stesso modo in cui si accede ad altri volumi; la crittografia e la decrittografia sono gestite in modo trasparente e non richiedono ulteriore azione da parte dell'utente, dell'istanza EC2 o dell'applicazione. Gli snapshot di volumi crittografati vengono automaticamente crittografati e i volumi creati da snapshot crittografati vengono anch'essi automaticamente crittografati.
Lo stato di crittografia di un volume EBS viene determinato quando si crea il volume. Non è possibile modificare lo stato di crittografia di un volume esistente. Tuttavia, è possibile [eseguire la migrazione dei dati](https://docs.aws.amazon.com//ebs/latest/userguide/how-ebs-encryption-works.html) tra i volumi crittografati e non crittografati e applicare un nuovo stato di crittografia durante la copia di uno snapshot.
Amazon EBS supporta la crittografia opzionale per impostazione predefinita. Puoi abilitare automaticamente la crittografia su tutti i nuovi volumi EBS e le copie di snapshot nella tua regione. Account AWS Questa impostazione di configurazione non influisce sui volumi o sugli snapshot esistenti. Per informazioni dettagliate, consulta la [crittografia di Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default) nella *Amazon EBS User Guide.*
## Utilizzo di chiavi KMS e chiavi dati
Quando [crei un volume Amazon EBS crittografato](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-creating-volume.html), specifichi una AWS KMS key. Per impostazione predefinita, Amazon EBS utilizza la [Chiave gestita da AWS](concepts.md#aws-managed-key) per Amazon EBS nel tuo account (`aws/ebs`). Tuttavia puoi specificare una [chiave gestita dal cliente](concepts.md#customer-mgn-key) creata e gestita da te.
Per utilizzare una chiave gestita dal cliente, è necessario concedere ad Amazon EBS l'autorizzazione a utilizzare una chiave KMS per conto dell'utente. Per ulteriori informazioni, consulta [Come funziona la crittografia di Amazon EBS nella Guida](https://docs.aws.amazon.com//ebs/latest/userguide/how-ebs-encryption-works.html) per *l'utente di Amazon EBS.*
**Importante**
Amazon EBS supporta solo [chiavi KMS simmetriche](symm-asymm-choose-key-spec.md#symmetric-cmks). Non è possibile utilizzare una [chiave KMS asimmetrica](symmetric-asymmetric.md) per crittografare il volume Amazon EBS. Per informazioni su come determinare se una chiave KMS è simmetrica o asimmetrica, consulta [Identifica diversi tipi di chiave](identify-key-types.md).
Per ogni volume, Amazon EBS chiede di AWS KMS generare una chiave dati univoca crittografata con la chiave KMS specificata. Amazon EBS archivia la chiave di dati crittografata con il volume. Quindi, quando colleghi il volume a un'istanza Amazon EC2, Amazon EBS chiama AWS KMS per decrittografare la chiave dati. Amazon EBS utilizza la chiave dati in chiaro nella memoria dell'hypervisor per crittografare tutto il disco nel volume. I/O Per i dettagli, consulta *Come funziona la crittografia EBS* nella Guida per l'utente di [Amazon EC2 o nella Guida per l'utente](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#how-ebs-encryption-works) di [Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EBSEncryption.html#how-ebs-encryption-works).
## Contesto di crittografia di Amazon EBS
Nelle sue richieste [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext)e [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) a, AWS KMS Amazon EBS utilizza un contesto di crittografia con una coppia nome-valore che identifica il volume o lo snapshot nella richiesta. Il nome nel contesto di crittografia non varia.
Un [contesto di crittografia](encrypt_context.md) è un set di coppie chiave-valore che contiene dati arbitrari non segreti. Quando includi un contesto di crittografia in una richiesta di crittografia dei dati, associa AWS KMS crittograficamente il contesto di crittografia ai dati crittografati. lo stesso contesto di crittografia sia necessario per decrittografare i dati.
Per tutti i volumi e per gli snapshot crittografati creati con l'[CreateSnapshot](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateSnapshot.html)operazione Amazon EBS, Amazon EBS utilizza l'ID del volume come valore del contesto di crittografia. Nel campo `requestParameters` di una voce di log di CloudTrail, il contesto di crittografia è simile a quanto segue:
```
"encryptionContext": {
"aws:ebs:id": "vol-0cfb133e847d28be9"
}
```
Per le istantanee crittografate create con l'operazione Amazon [CopySnapshot](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CopySnapshot.html)EC2, Amazon EBS utilizza l'ID snapshot come valore del contesto di crittografia. Nel campo `requestParameters` di una voce di log di CloudTrail, il contesto di crittografia è simile a quanto segue:
```
"encryptionContext": {
"aws:ebs:id": "snap-069a655b568de654f"
}
```
## Rilevamento degli errori Amazon EBS
Per creare un volume EBS crittografato o collegare il volume a un'istanza EC2, Amazon EBS e l'infrastruttura Amazon EC2 devono essere in grado di utilizzare la chiave KMS specificata per la crittografia del volume EBS. Quando la chiave KMS non è utilizzabile, ad esempio quando lo [stato della chiave](key-state.md) non è `Enabled`, la creazione del volume o l'allegato del volume ha esito negativo.
In questo caso, Amazon EBS invia un *evento* ad Amazon EventBridge (precedentemente CloudWatch Events) per informarti dell'errore. In EventBridge, puoi stabilire regole che attivano azioni automatiche in risposta a questi eventi. Per ulteriori informazioni, consulta [Amazon CloudWatch Events for Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-cloud-watch-events.html) nella *Guida per l'utente di Amazon EBS*, in particolare le seguenti sezioni:
+ [Chiave di crittografia non valida per il collegamento il ricollegamento del volume](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-cloud-watch-events.html#attach-fail-key)
+ [Chiave di crittografia non valida su Crea volume](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-cloud-watch-events.html#create-fail-key)
Per risolvere questi problemi, assicurati che la chiave KMS specificata per la crittografia del volume EBS sia abilitata. A tale scopo, [visualizza innanzitutto la chiave KMS](viewing-keys.md) per determinare lo stato corrente della chiave (la colonna **Status** in). Console di gestione AWS Quindi, consulta le informazioni contenute in uno dei seguenti collegamenti:
+ Se lo stato di chiave KMS è disabilitato, [abilitalo](enabling-keys.md).
+ Se lo stato di chiave KMS è in importazione in sospeso, [importa il materiale chiave](importing-keys.md).
+ Se lo stato di chiave KMS è in eliminazione in sospeso, [annulla l'eliminazione della chiave](deleting-keys-scheduling-key-deletion.md).
## Utilizzo AWS CloudFormation per creare volumi Amazon EBS crittografati
È possibile utilizzare [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/) per creare volumi di Amazon EBS crittografati. Per ulteriori informazioni, consulta [AWS::EC2::Volume](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-ec2-ebs-volume.html) nella *Guida per l'utente di AWS CloudFormation *.
# Come utilizza Amazon EMR AWS KMS
Quando si utilizza un cluster [Amazon EMR](https://aws.amazon.com/emr/), è possibile configurare il cluster per crittografare i dati *inattivi* prima di salvarli in una posizione di storage persistente. È possibile crittografare i dati inattivi su EMR File System (EMRFS), sui volumi di storage dei nodi del cluster o su entrambi. Per crittografare i dati a riposo è possibile utilizzare una AWS KMS key. Gli argomenti seguenti descrivono come un cluster Amazon EMR utilizza una chiave KMS per crittografare i dati inattivi.
**Importante**
Amazon EMR supporta solo [chiavi KMS simmetriche](symm-asymm-choose-key-spec.md#symmetric-cmks). Non è possibile utilizzare una [chiave KMS asimmetrica](symmetric-asymmetric.md) per crittografare i dati inattivi in un cluster Amazon EMR. Per informazioni su come determinare se una è simmetrica o asimmetrica, consulta [Identifica diversi tipi di chiave](identify-key-types.md).
I cluster Amazon EMR crittografano anche i dati *in transito*, il che significa che il cluster crittografa i dati prima dell'invio in rete. Non è possibile utilizzare una chiave KMS per crittografare i dati in transito. Per ulteriori informazioni, consulta [Crittografia dei dati in transito](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-data-encryption-options.html#emr-encryption-intransit) nella *Guida alla gestione di Amazon EMR*.
Per ulteriori informazioni su tutte le opzioni di crittografia disponibili in Amazon EMR, consulta [Opzioni di crittografia](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-data-encryption-options.html) nella *Guida alla gestione di Amazon EMR*.
**Topics**
+ [Crittografia dei dati su EMR File System (EMRFS)](#emrfs-encryption)
+ [Crittografia dei dati su volumi di storage di nodi cluster](#emr-local-disk-encryption)
+ [Contesto di crittografia](#emr-encryption-context)
## Crittografia dei dati su EMR File System (EMRFS)
I cluster Amazon EMR usano due file system distribuiti:
+ Hadoop Distributed File System (HDFS). La crittografia HDFS non utilizza una chiave KMS in AWS KMS.
+ File system EMR (EMRFS). EMRFS è un'implementazione di HDFS che consente ai cluster Amazon EMR di archiviare dati in Amazon Simple Storage Service (Amazon S3). EMRFS supporta quattro opzioni di crittografia, due delle quali utilizzano una chiave KMS in AWS KMS. Per ulteriori informazioni su tutte le opzioni di crittografia disponibili in Amazon EMRFS, consulta [Opzioni di crittografia](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-data-encryption-options.html) nella *Guida alla gestione di Amazon EMR*.
Le due opzioni di crittografia EMRFS che usano una chiave KMS utilizzano le seguenti caratteristiche di crittografia offerte da Amazon S3:
+ [Protezione dei dati utilizzando la crittografia lato server con AWS Key Management Service (SSE-KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html)). Il cluster Amazon EMR invia i dati ad Amazon S3. Amazon S3 utilizza una chiave KMS per crittografare i dati prima di salvarli in un bucket S3. Per ulteriori informazioni su come effettuare tale operazione, consulta [Processo di crittografia dei dati su EMRFS con SSE-KMS](#emrfs-encryption-sse-kms).
+ [Protezione dei dati con la crittografia lato client](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingClientSideEncryption.html) (CSE-KMS). I dati in un Amazon EMR sono crittografati con una AWS KMS key prima di essere inviati ad Amazon S3 per l'archiviazione. Per ulteriori informazioni su come effettuare tale operazione, consulta [Processo di crittografia dei dati su EMRFS con CSE-KMS](#emrfs-encryption-cse-kms).
Quando si configura un cluster Amazon EMR per crittografare i dati su EMRFS con una chiave KMS, si sceglie la chiave KMS che si desidera sia utilizzata da Amazon S3 o dal cluster Amazon EMR. Con SSE-KMS, puoi scegliere la Chiave gestita da AWS per Amazon S3 con l'alias **aws/s3** o una chiave simmetrica gestita dal cliente che crei. Con la crittografia lato client, è necessario scegliere una chiave gestita dal cliente simmetrica creata dall'utente. Quando scegli una chiave gestita dal cliente, devi assicurarti che il cluster Amazon EMR abbia le autorizzazioni per utilizzare la chiave KMS. Per ulteriori informazioni, consulta [Using AWS KMS keys for encryption](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-encryption-enable.html#emr-awskms-keys) nella *Amazon EMR Management* Guide.
Per la crittografia lato server e lato client, la chiave KMS scelta è la chiave root in un flusso di lavoro di [crittografia envelope](kms-cryptography.md#enveloping). I dati vengono crittografati con una [chiave dati](data-keys.md) univoca crittografata con la chiave KMS. AWS KMS I dati crittografati e una copia crittografata della chiave di dati vengono archiviati insieme come un singolo oggetto crittografato in un bucket S3. Per ulteriori informazioni sul funzionamento, consulta gli argomenti indicati di seguito.
**Topics**
+ [Processo di crittografia dei dati su EMRFS con SSE-KMS](#emrfs-encryption-sse-kms)
+ [Processo di crittografia dei dati su EMRFS con CSE-KMS](#emrfs-encryption-cse-kms)
### Processo di crittografia dei dati su EMRFS con SSE-KMS
Quando configuri un cluster Amazon EMR per utilizzare SSE-KMS, il processo di crittografia lavora come segue:
1. Il cluster invia i dati ad Amazon S3 per lo storage in un bucket S3.
1. Amazon S3 invia una [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)richiesta a AWS KMS, specificando l'ID della chiave KMS che hai scelto quando hai configurato il cluster per l'utilizzo di SSE-KMS. La richiesta include il contesto di crittografia, per ulteriori informazioni consulta [Contesto di crittografia](#emr-encryption-context).
1. AWS KMS genera una chiave di crittografia dei dati univoca (chiave dati) e quindi invia due copie di questa chiave dati ad Amazon S3. Una copia non è crittografata (testo normale) e l'altra copia viene crittografata con la chiave KMS.
1. Amazon S3 utilizza la chiave di dati in testo in chiaro per crittografare i dati ricevuti nella fase 1, quindi rimuove il prima possibile la chiave di dati in testo normale dalla memoria dopo l'utilizzo.
1. Amazon S3 archivia i dati crittografati e una copia crittografata della chiave di dati insieme come un singolo oggetto crittografato in un bucket S3.
Il processo di decrittografia avviene in questo modo:
1. Il cluster richiede un oggetto dati crittografati da un bucket S3.
1. [Amazon S3 estrae la chiave dati crittografata dall'oggetto S3, quindi invia la chiave dati crittografata a AWS KMS con una richiesta Decrypt.](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) La richiesta include un [contesto di crittografia](encrypt_context.md).
1. AWS KMS decrittografa la chiave dati crittografata utilizzando la stessa chiave KMS utilizzata per crittografarla, quindi invia la chiave dati decrittografata (testo semplice) ad Amazon S3.
1. Amazon S3 utilizza la chiave di dati in testo normale per decrittografare i dati crittografati, quindi rimuove il prima possibile la chiave di dati in testo in chiaro dalla memoria dopo l'utilizzo.
1. Amazon S3 invia i dati decrittografati al cluster.
### Processo di crittografia dei dati su EMRFS con CSE-KMS
Quando configuri un cluster Amazon EMR per utilizzare CSE-KMS, il processo di crittografia lavora come segue:
1. Quando è pronto per archiviare i dati in Amazon S3, il cluster invia una [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)richiesta a AWS KMS, specificando l'ID chiave della chiave KMS che hai scelto quando hai configurato il cluster per l'utilizzo di CSE-KMS. La richiesta include il contesto di crittografia, per ulteriori informazioni consulta [Contesto di crittografia](#emr-encryption-context).
1. AWS KMS genera una chiave di crittografia dei dati unica (chiave dati) e quindi invia due copie di questa chiave di dati al cluster. Una copia non è crittografata (testo normale) e l'altra copia viene crittografata con la chiave KMS.
1. Il cluster utilizza la chiave di dati in testo normale per crittografare i dati, quindi rimuove il prima possibile la chiave di dati in testo normale dalla memoria dopo l'utilizzo.
1. Il cluster abbina i dati crittografati e una copia crittografata della chiave di dati insieme in un singolo oggetto crittografato.
1. Il cluster invia l'oggetto crittografato ad Amazon S3 per lo storage.
Il processo di decrittografia avviene in questo modo:
1. Il cluster richiede un oggetto dati crittografati a un bucket S3.
1. Amazon S3 invia l'oggetto crittografato al cluster.
1. Il cluster estrae la chiave dati crittografata dall'oggetto crittografato e quindi invia la chiave dati crittografata a AWS KMS con una richiesta [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html). La richiesta include il [contesto di crittografia](encrypt_context.md).
1. AWS KMS decrittografa la chiave dati crittografata utilizzando la stessa chiave KMS utilizzata per crittografarla, quindi invia la chiave di dati decrittografata (testo semplice) al cluster.
1. Il cluster utilizza la chiave di dati in testo normale per decrittografare i dati crittografati, quindi rimuove il prima possibile la chiave di dati in testo normale dalla memoria dopo l'utilizzo.
## Crittografia dei dati su volumi di storage di nodi cluster
Un cluster Amazon EMR è una raccolta di istanze Amazon Elastic Compute Cloud (Amazon EC2). Ogni istanza nel cluster viene chiamata *nodo cluster* o *nodo*. Ogni nodo può avere due tipi di volumi di archiviazione: volumi di archiviazione di istanze e volumi Amazon Elastic Block Store (Amazon EBS). È possibile configurare il cluster per l'utilizzo di [Linux Unified Key Setup (LUKS)](https://gitlab.com/cryptsetup/cryptsetup/blob/master/README.md) per crittografare entrambi i tipi di volumi di storage sui nodi (ma non il volume di avvio di ogni nodo). Questa si chiama la *crittografia dei dati su disco locale*.
Quando si abilita la crittografia dei dati su disco locale per un cluster, è possibile scegliere di crittografare la chiave LUKS con una chiave KMS in AWS KMS. Devi scegliere una [chiave gestita dal cliente](concepts.md#customer-mgn-key) che hai creato; non è possibile utilizzare una [Chiave gestita da AWS](concepts.md#aws-managed-key). Se scegli una gestita dal cliente, devi assicurarti che il cluster Amazon EMR abbia le autorizzazioni per utilizzare la chiave KMS. Per ulteriori informazioni, consulta [Using AWS KMS keys for encryption](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-encryption-enable.html#emr-awskms-keys) nella *Amazon EMR Management* Guide.
Quando abiliti la crittografia dei dati su disco locale utilizzando una chiave KMS, il processo di crittografia funziona in questo modo:
1. All'avvio di ogni nodo del cluster, invia una [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)richiesta a AWS KMS, specificando l'ID della chiave KMS che hai scelto quando hai abilitato la crittografia del disco locale per il cluster.
1. AWS KMS genera una chiave di crittografia dei dati univoca (chiave dati) e quindi invia due copie di questa chiave di dati al nodo. Una copia non è crittografata (testo normale) e l'altra copia viene crittografata con la chiave KMS.
1. Il nodo utilizza una versione con codifica base64 della chiave di dati di testo normale come password che protegge la chiave LUKS. Il nodo salva la copia crittografata della chiave di dati per il volume di avvio.
1. [Se il nodo si riavvia, il nodo riavviato invia la chiave dati crittografata a AWS KMS con una richiesta Decrypt.](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)
1. AWS KMS decrittografa la chiave dati crittografata utilizzando la stessa chiave KMS utilizzata per crittografarla, quindi invia la chiave di dati decrittografata (testo semplice) al nodo.
1. Il nodo utilizza una versione con codifica base64 della chiave di dati di testo normale come password per sbloccare la chiave LUKS.
## Contesto di crittografia
Ogni AWS servizio integrato con AWS KMS può specificare un [contesto di crittografia](encrypt_context.md) quando il servizio utilizza AWS KMS per generare chiavi di dati o crittografare o decrittografare i dati. Il contesto di crittografia è costituito da informazioni autenticate aggiuntive AWS KMS utilizzate per verificare l'integrità dei dati. Quando un servizio specifica un contesto di crittografia per un'operazione di crittografia, il servizio deve specificare lo stesso contesto di crittografia anche per l'operazione di decrittografia corrispondente o la decrittografia non riuscirà. Il contesto di crittografia viene inoltre scritto nei file di AWS CloudTrail registro, il che può aiutarti a capire perché è stata utilizzata una chiave KMS specifica.
La sezione seguente spiega il contesto di crittografia utilizzato in ogni scenario di crittografia Amazon EMR che utilizza una chiave KMS.
### Contesto di crittografia per la crittografia EMRFS con SSE-KMS
Con SSE-KMS, il cluster Amazon EMR invia i dati ad Amazon S3, quindi Amazon S3 utilizza una chiave KMS per crittografare i dati prima di salvarli in un bucket S3. In questo caso, Amazon S3 utilizza l'Amazon Resource Name (ARN) dell'oggetto S3 come contesto di crittografia per ogni richiesta [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)and [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) a cui viene inviata. AWS KMS L'esempio seguente mostra una rappresentazione JSON del contesto di crittografia che Amazon S3 utilizza.
```
{ "aws:s3:arn" : "arn:aws:s3:::S3_bucket_name/S3_object_key" }
```
### Contesto di crittografia per la crittografia EMRFS con CSE-KMS
Con CSE-KMS, il cluster Amazon EMR utilizza una chiave KMS per crittografare i dati prima di inviarli a Amazon S3 per l'archiviazione. In questo caso, il cluster utilizza l'Amazon Resource Name (ARN) della chiave KMS come contesto di crittografia per ogni richiesta [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)and [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) a cui invia. AWS KMS L'esempio seguente mostra una rappresentazione JSON del contesto di crittografia che il cluster utilizza.
```
{ "kms_cmk_id" : "arn:aws:kms:us-east-2:111122223333:key/0987ab65-43cd-21ef-09ab-87654321cdef" }
```
### Contesto di crittografia per la crittografia su disco locale con LUKS
Quando un cluster Amazon EMR utilizza la crittografia del disco locale con LUKS, i nodi del cluster non specificano il contesto di crittografia con le richieste [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)e [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) a cui inviano. AWS KMS
# Come utilizza Amazon Redshift AWS KMS
Questo argomento illustra come Amazon Redshift AWS KMS utilizza per crittografare i dati.
**Topics**
+ [Crittografia di Amazon Redshift](#rs-encryption)
+ [Contesto di crittografia](#rs-encryptioncontext)
## Crittografia di Amazon Redshift
Un data warehouse Amazon Redshift è costituito da un insieme di risorse di calcolo denominate nodi, strutturate in un gruppo denominato cluster. Ciascun cluster esegue un motore Amazon Redshift e contiene uno o più database.
Per la crittografia Amazon Redshift usa un'architettura a quattro livelli basata su chiavi. L'architettura consiste in chiavi di crittografia dei dati, una chiave di database, una chiave del cluster e una chiave root. Puoi usare an AWS KMS key come chiave principale.
Le chiavi di crittografia dei dati crittografano i blocchi di dati nel cluster. Ogni blocco di dati viene assegnato una chiave AES-256 generata in modo casuale. Queste chiavi sono crittografate utilizzando la chiave di database per il cluster.
La chiave di database crittografa le chiavi di crittografia dei dati nel cluster. La chiave del database è una chiave AES-256 generata in modo casuale. È archiviata su disco in una rete separata dal cluster Amazon Redshift e passata al cluster attraverso un canale sicuro.
La chiave del cluster crittografa la chiave di database per il cluster Amazon Redshift. È possibile utilizzare AWS KMS AWS CloudHSM, o un modulo di sicurezza hardware esterno (HSM) per gestire la chiave del cluster. Consulta la documentazione di [ Amazon Redshift Database Encryption ](https://docs.aws.amazon.com/redshift/latest/mgmt/working-with-db-encryption.html) per ulteriori dettagli.
È possibile richiedere la crittografia selezionando la casella appropriata nella console Amazon Redshift. Puoi specificare una [chiave gestita dal cliente](concepts.md#customer-mgn-key) da utilizzare scegliendone una dall'elenco che appare sotto la casella di crittografia. Se non specifichi una chiave gestita dal cliente, Amazon Redshift utilizza la [Chiave gestita da AWS](concepts.md#aws-managed-key) per Amazon Redshift sotto l'account.
**Importante**
Amazon Redshift supporta solo chiavi KMS di crittografia simmetrica. Non è possibile utilizzare una chiave KMS asimmetrica come chiave master in un flusso di lavoro di crittografia Amazon Redshift. Per informazioni su come determinare se una chiave KMS è simmetrica o asimmetrica, consulta [Identifica diversi tipi di chiave](identify-key-types.md).
## Contesto di crittografia
Ogni servizio integrato con AWS KMS specifica un [contesto di crittografia](encrypt_context.md) per la richiesta di chiavi di dati, la crittografia e la decrittografia. Il contesto di crittografia è costituito da dati autenticati aggiuntivi (AAD) utilizzati per verificare l'integrità dei dati. AWS KMS Questo significa che, quando viene specificato un contesto di crittografia per un'operazione di crittografia, il servizio specifica lo stesso contesto di crittografia anche per l'operazione di decrittografia o la decrittografia non riuscirà. Amazon Redshift utilizza l'ID cluster e il tempo di creazione per il contesto di crittografia. Nel `requestParameters` campo di un file di CloudTrail registro, il contesto di crittografia sarà simile a questo.
```
"encryptionContext": {
"aws:redshift:arn": "arn:aws:redshift:region:account_ID:cluster:cluster_name",
"aws:redshift:createtime": "20150206T1832Z"
},
```
Puoi cercare il nome del cluster nei tuoi CloudTrail log per capire quali operazioni sono state eseguite utilizzando una AWS KMS key (chiave KMS). Le operazioni includono la crittografia e la decrittografia dei cluster e la generazione di chiavi di dati.