Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Crittografia At-Rest in MemoryDB
<a name="at-rest-encryption"></a>

Per proteggere i dati, MemoryDB e Amazon S3 offrono diversi modi per limitare l'accesso ai dati nei cluster. Per ulteriori informazioni, consultare [MemoryDB e Amazon VPC](vpcs.md) e [Gestione delle identità e degli accessi in MemoryDB](iam.md).

La crittografia a riposo di MemoryDB è sempre abilitata per aumentare la sicurezza dei dati crittografando i dati persistenti. Crittografa i seguenti aspetti:
+ Dati nel registro delle transazioni 
+ Disco durante le operazioni di sincronizzazione, istantanea e scambio 
+ Istantanee archiviate in Amazon S3 

 MemoryDB offre la crittografia predefinita (gestita dal servizio) a riposo, oltre alla possibilità di utilizzare le proprie chiavi root simmetriche gestite dal cliente in [AWS Key](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) Management Service (KMS). 

I dati archiviati su SSDs (unità a stato solido) in cluster abilitati alla suddivisione dei dati sono sempre crittografati per impostazione predefinita. 

Per informazioni sulla crittografia dei dati in transito, consulta [Crittografia in transito (TLS) in MemoryDB](in-transit-encryption.md) 

**Topics**
+ [Utilizzo delle chiavi gestite dai clienti di KMS AWS](#using-customer-managed-keys-for-memorydb-security)
+ [Vedi anche](#at-rest-encryption-see-also)

## Utilizzo delle chiavi gestite dai clienti di KMS AWS
<a name="using-customer-managed-keys-for-memorydb-security"></a>

MemoryDB supporta chiavi root simmetriche gestite dal cliente (chiave KMS) per la crittografia a riposo. Le chiavi KMS gestite dal cliente sono chiavi di crittografia che puoi creare, possedere e gestire nel tuo account. AWS Per ulteriori informazioni, consulta [Customer Root Keys nella AWS Key](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#root_keys) *Management Service* Developer Guide. Le chiavi devono essere create in AWS KMS prima di poter essere utilizzate con MemoryDB.

Per informazioni su come creare le chiavi principali di AWS KMS, consulta [Creating Keys](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) nella *AWS Key Management* Service Developer Guide. 

MemoryDB consente l'integrazione con KMS. AWS Per ulteriori informazioni, consulta [Utilizzo di concessioni](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) nella *AWS Guida per gli sviluppatori Key Management Service*. Non è necessaria alcuna azione da parte del cliente per abilitare l'integrazione di MemoryDB con KMS. AWS 

La chiave `kms:ViaService` condition limita l'uso di una chiave AWS KMS alle richieste provenienti da servizi specifici. AWS Da utilizzare `kms:ViaService` con MemoryDB, includi entrambi i ViaService nomi nel valore della chiave di condizione:. `memorydb.amazon_region.amazonaws.com` Per ulteriori informazioni, vedere [kms:](https://docs.aws.amazon.com/kms/latest/developerguide/policy-conditions.html#conditions-kms-via-service). ViaService

Puoi usarlo [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)per tenere traccia delle richieste a cui MemoryDB invia per tuo AWS Key Management Service conto. Tutte le chiamate API AWS Key Management Service relative alle chiavi gestite dal cliente hanno i log corrispondenti CloudTrail . Puoi anche vedere le concessioni create da MemoryDB chiamando la chiamata all'[ListGrants](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListGrants.html)API KMS. 

Una volta crittografato un cluster utilizzando una chiave gestita dal cliente, tutte le istantanee del cluster vengono crittografate come segue:
+ Le istantanee giornaliere automatiche vengono crittografate utilizzando la chiave gestita dal cliente associata al cluster.
+ L'istantanea finale creata quando il cluster viene eliminato viene inoltre crittografata utilizzando la chiave gestita dal cliente associata al cluster.
+ Le istantanee create manualmente sono crittografate per impostazione predefinita per utilizzare la chiave KMS associata al cluster. Puoi sostituirla scegliendo un'altra chiave gestita dal cliente.
+ Per impostazione predefinita, la copia di un'istantanea prevede l'utilizzo della chiave gestita dal cliente associata allo snapshot di origine. Puoi sostituirla scegliendo un'altra chiave gestita dal cliente.

**Nota**  
Le chiavi gestite dal cliente non possono essere utilizzate per l'esportazione di istantanee nel bucket Amazon S3 selezionato. Tuttavia, tutte le istantanee esportate in Amazon S3 vengono crittografate [utilizzando](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingServerSideEncryption.html) la crittografia lato server. Puoi scegliere di copiare il file di istantanea su un nuovo oggetto S3 e cifrarlo utilizzando una chiave KMS gestita dal cliente, copiare il file in un altro bucket S3 configurato con crittografia predefinita utilizzando una chiave KMS o modificare un'opzione di crittografia nel file stesso.
Puoi anche utilizzare chiavi gestite dal cliente per crittografare istantanee create manualmente che non utilizzano chiavi gestite dal cliente per la crittografia. Con questa opzione, il file di snapshot archiviato in Amazon S3 viene crittografato utilizzando una chiave KMS, anche se i dati non sono crittografati nel cluster originale. 
Il ripristino da un'istantanea consente di scegliere tra le opzioni di crittografia disponibili, simili alle scelte di crittografia disponibili durante la creazione di un nuovo cluster.
+ Se si elimina la chiave o si [disabilita](https://docs.aws.amazon.com/kms/latest/developerguide/enabling-keys.html) la chiave e si [revocano le concessioni](https://docs.aws.amazon.com/kms/latest/APIReference/API_RevokeGrant.html) per la chiave utilizzata per crittografare un cluster, il cluster diventa irrecuperabile. In altre parole, non può essere modificato o ripristinato dopo un guasto hardware. AWS KMS elimina le chiavi principali solo dopo un periodo di attesa di almeno sette giorni. Dopo l'eliminazione della chiave, puoi utilizzare una chiave gestita dal cliente diversa per creare un'istantanea a scopo di archiviazione. 
+ La rotazione automatica delle chiavi preserva le proprietà delle chiavi principali del AWS KMS, quindi la rotazione non ha alcun effetto sulla capacità di accedere ai dati di MemoryDB. I cluster MemoryDB crittografati non supportano la rotazione manuale delle chiavi, che comporta la creazione di una nuova chiave principale e l'aggiornamento di qualsiasi riferimento alla vecchia chiave. Per ulteriori informazioni, consulta [Rotating Customer Root Keys nella AWS Key](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html) *Management* Service Developer Guide. 
+ La crittografia di un cluster MemoryDB utilizzando la chiave KMS richiede una concessione per cluster. Questa concessione viene utilizzata per tutta la durata del cluster. Inoltre, durante la creazione di istantanee viene utilizzata una concessione per istantanea. Questa concessione viene ritirata una volta creata l'istantanea. 
+ Per ulteriori informazioni su concessioni e limiti AWS KMS, consulta [Quotas](https://docs.aws.amazon.com/kms/latest/developerguide/limits.html) nella *AWS Key* Management Service Developer Guide.

## Vedi anche
<a name="at-rest-encryption-see-also"></a>
+ [Crittografia in transito (TLS) in MemoryDB](in-transit-encryption.md)
+ [MemoryDB e Amazon VPC](vpcs.md)
+ [Gestione delle identità e degli accessi in MemoryDB](iam.md)