Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Sicurezza nella crittografia dei AWS pagamenti
La sicurezza del cloud AWS è la massima priorità. In qualità di AWS cliente, puoi beneficiare di un data center e di un'architettura di rete progettati per soddisfare i requisiti delle organizzazioni più sensibili alla sicurezza.
La sicurezza è una responsabilità condivisa tra AWS te e te. Il [modello di responsabilità condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) descrive questo modello come sicurezza del cloud e sicurezza nel cloud:
+ **Sicurezza del cloud**:AWS è responsabile della protezione dell'infrastruttura che gestisce AWS i servizi nel AWS cloud. AWS ti fornisce anche servizi che puoi utilizzare in modo sicuro. I revisori esterni testano e verificano regolarmente l'efficacia della nostra sicurezza nell'ambito dei [AWS Programmi di AWS conformità dei Programmi di conformità](https://aws.amazon.com/compliance/programs/) dei di . Per ulteriori informazioni sui programmi di conformità che si applicano alla crittografia dei AWS pagamenti, consulta [AWS Services in Scope by Compliance Program](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Sicurezza nel cloud**: la tua responsabilità è determinata dal AWS servizio che utilizzi. L’utente è anche responsabile di altri fattori, tra cui la riservatezza dei dati, i requisiti della propria azienda e le leggi e normative vigenti.
Questo argomento ti aiuta a capire come applicare il modello di responsabilità condivisa quando usi la crittografia dei AWS pagamenti. Ti mostra come configurare la crittografia dei AWS pagamenti per soddisfare i tuoi obiettivi di sicurezza e conformità. Imparerai anche come utilizzare altri AWS servizi che ti aiutano a monitorare e proteggere le tue risorse AWS di crittografia dei pagamenti.
**Topics**
+ [Protezione dei dati](data-protection.md)
+ [Resilienza](resilience.md)
+ [Sicurezza dell’infrastruttura](infrastructure-security.md)
+ [Usa Amazon VPC e AWS PrivateLink](vpc-endpoint.md)
+ [Protocollo TLS post-quantistico ibrido](pqtls.md)
+ [Best practice di sicurezza](security-best-practices.md)
# Protezione dei dati nella crittografia dei AWS pagamenti
Il modello di [responsabilità AWS condivisa modello](https://aws.amazon.com/compliance/shared-responsibility-model/) si applica alla protezione dei dati nella crittografia dei AWS pagamenti. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i Cloud AWS. L’utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. L’utente è inoltre responsabile della configurazione della protezione e delle attività di gestione per i Servizi AWS utilizzati. Per maggiori informazioni sulla privacy dei dati, consulta le [Domande frequenti sulla privacy dei dati](https://aws.amazon.com/compliance/data-privacy-faq/). Per informazioni sulla protezione dei dati in Europa, consulta il post del blog relativo al [AWS Modello di responsabilità condivisa e GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) nel *AWS Blog sulla sicurezza*.
Ai fini della protezione dei dati, consigliamo di proteggere Account AWS le credenziali e configurare i singoli utenti con AWS IAM Identity Center or AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Suggeriamo, inoltre, di proteggere i dati nei seguenti modi:
+ Utilizza l’autenticazione a più fattori (MFA) con ogni account.
+ SSL/TLS Da utilizzare per comunicare con AWS le risorse. È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Configura l'API e la registrazione delle attività degli utenti con AWS CloudTrail. Per informazioni sull'utilizzo dei CloudTrail percorsi per acquisire AWS le attività, consulta [Lavorare con i CloudTrail percorsi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) nella *Guida per l'AWS CloudTrail utente*.
+ Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.
+ Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.
+ Se hai bisogno di moduli crittografici convalidati FIPS 140-3 per accedere AWS tramite un'interfaccia a riga di comando o un'API, usa un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Ti consigliamo di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo **Nome**. Ciò include quando lavori con AWS Payment Cryptography o altro Servizi AWS utilizzando la console, l'API o. AWS CLI AWS SDKs I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Quando si fornisce un URL a un server esterno, suggeriamo vivamente di non includere informazioni sulle credenziali nell’URL per convalidare la richiesta al server.
AWS Payment Cryptography archivia e protegge le chiavi di crittografia dei pagamenti per renderle altamente disponibili e allo stesso tempo fornirti un controllo degli accessi solido e flessibile.
**Topics**
+ [Protezione del materiale della chiave](#key-protection)
+ [Crittografia dei dati](#data-encryption)
+ [Crittografia dei dati a riposo](#encryption-rest)
+ [Crittografia dei dati in transito](#encryption-transit)
+ [Riservatezza del traffico Internet](#internetwork)
## Protezione del materiale della chiave
Per impostazione predefinita, AWS Payment Cryptography protegge il materiale delle chiavi crittografiche per le chiavi di pagamento gestite dal servizio. Inoltre, AWS Payment Cryptography offre opzioni per importare materiale chiave creato al di fuori del servizio. Per dettagli tecnici sulle chiavi di pagamento e sul materiale chiave, consulta AWS Payment Cryptography Cryptographic Details.
## Crittografia dei dati
I dati in AWS Payment Cryptography sono costituiti da chiavi di crittografia AWS Payment, dal materiale chiave di crittografia che rappresentano e dai relativi attributi di utilizzo. Il materiale chiave è disponibile in testo semplice solo all'interno dei moduli di sicurezza hardware di AWS Payment Cryptography (HSMs) e solo quando è in uso. Altrimenti, il materiale e gli attributi chiave vengono crittografati e archiviati in uno storage persistente durevole.
Il materiale chiave che AWS Payment Cryptography genera o carica per le chiavi di pagamento non esce mai dai confini della crittografia di AWS Payment non HSMs crittografata. Può essere esportato crittografato dalle operazioni dell'API AWS Payment Cryptography.
## Crittografia dei dati a riposo
AWS Payment Cryptography genera materiale chiave per le chiavi di pagamento in formato PCI PTS HSM. HSMs Quando non in uso, il materiale della chiave viene crittografato da una chiave HSM e scritto in uno storage persistente e durevole. Il materiale chiave per le chiavi di crittografia dei pagamenti e le chiavi di crittografia che proteggono il materiale chiave non viene mai rilasciato in formato testo semplice. HSMs
La crittografia e la gestione del materiale chiave per le chiavi di crittografia dei pagamenti sono gestite interamente dal servizio.
Per ulteriori dettagli, consulta i dettagli crittografici di AWS Key Management Service.
## Crittografia dei dati in transito
Il materiale chiave generato o caricato da AWS Payment Cryptography per le chiavi di pagamento non viene mai esportato o trasmesso nelle operazioni dell'API AWS Payment Cryptography in formato non crittografato. AWS Payment Cryptography utilizza identificatori chiave per rappresentare le chiavi nelle operazioni API.
Tuttavia, alcune operazioni API esportano chiavi crittografate da una chiave di scambio di chiavi precedentemente condivisa o asimmetrica. Inoltre, i clienti possono utilizzare le operazioni API per importare materiale contenente chiavi crittografate per le chiavi di pagamento.
Tutte le chiamate API AWS Payment Cryptography devono essere firmate e trasmesse utilizzando Transport Layer Security (TLS). AWS La crittografia dei pagamenti richiede versioni TLS e suite di crittografia definite da PCI come «crittografia avanzata». Tutti gli endpoint di servizio supportano TLS 1.2—1.3 e TLS post-quantistico ibrido.
Per ulteriori dettagli, consulta i dettagli crittografici di AWS Key Management Service.
## Riservatezza del traffico Internet
AWS Payment Cryptography supporta una console di gestione AWS e una serie di operazioni API che consentono di creare e gestire chiavi di pagamento e utilizzarle in operazioni crittografiche.
AWS Payment Cryptography supporta due opzioni di connettività di rete dalla rete privata ad AWS.
+ Una connessione IPSec VPN su Internet.
+ AWS Direct Connect, che collega la rete interna a una posizione AWS Direct Connect tramite un cavo Ethernet standard in fibra ottica.
Tutte le chiamate all'API Payment Cryptography devono essere firmate e trasmesse utilizzando Transport Layer Security (TLS). Le chiamate richiedono anche una moderna suite di cifratura che supporta la perfect forward secrecy. Il traffico verso i moduli di sicurezza hardware (HSMs) che memorizzano il materiale chiave per le chiavi di pagamento è consentito solo da host API AWS Payment Cryptography noti sulla rete interna AWS.
Per connetterti direttamente alla crittografia di AWS Payment dal tuo cloud privato virtuale (VPC) senza inviare traffico su Internet pubblico, utilizza gli endpoint VPC, con tecnologia AWS. PrivateLink Per ulteriori informazioni, consulta Connessione alla crittografia di AWS Payment tramite un endpoint VPC.
AWS Payment Cryptography supporta anche un'opzione ibrida di scambio di chiavi post-quantistiche per il protocollo di crittografia di rete Transport Layer Security (TLS). Puoi utilizzare questa opzione con TLS quando ti connetti agli endpoint dell'API AWS Payment Cryptography.
# Resilienza nella crittografia dei pagamenti AWS
AWS l'infrastruttura globale è costruita attorno a AWS regioni e zone di disponibilità. Le regioni forniscono più zone di disponibilità fisicamente separate e isolate, connesse tramite reti altamente ridondanti, a bassa latenza e throughput elevato. Con le zone di disponibilità, è possibile progettare e gestire applicazioni e database che eseguono il failover automatico tra zone di disponibilità senza interruzioni. Le zone di disponibilità sono più disponibili, tolleranti ai guasti e scalabili rispetto alle infrastrutture a data center singolo o multiplo tradizionali.
Per ulteriori informazioni su AWS regioni e zone di disponibilità, consulta [Infrastruttura AWS globale](https://aws.amazon.com/about-aws/global-infrastructure/).
## Isolamento regionale
AWS Payment Cryptography è un servizio regionale disponibile in più regioni.
Il design isolato a livello regionale di AWS Payment Cryptography garantisce che un problema di disponibilità in una regione AWS non possa influire sul funzionamento della crittografia di AWS Payment in nessun'altra regione. AWS Payment Cryptography è progettata per garantire zero tempi di inattività pianificati, con tutti gli aggiornamenti software e le operazioni di scalabilità eseguiti senza interruzioni e impercettibili.
L'accordo sul livello di servizio (SLA) di AWS Payment Cryptography include un impegno di servizio del 99,99% per tutta la crittografia dei pagamenti. APIs Per adempiere a questo impegno, AWS Payment Cryptography garantisce che tutti i dati e le informazioni di autorizzazione necessari per eseguire una richiesta API siano disponibili su tutti gli host regionali che ricevono la richiesta.
L'infrastruttura di crittografia AWS Payment viene replicata in almeno tre zone di disponibilità (AZs) in ogni regione. Per garantire che i guasti di più host non influiscano sulle prestazioni della crittografia di AWS Payment, AWS Payment Cryptography è progettata per servire il traffico dei clienti da qualsiasi AZs regione.
Le modifiche apportate alle proprietà o alle autorizzazioni di una chiave di pagamento vengono replicate su tutti gli host della regione per garantire che la richiesta successiva possa essere elaborata correttamente da qualsiasi host della regione. Le richieste di operazioni crittografiche che utilizzano la chiave di pagamento vengono inoltrate a una flotta di moduli di sicurezza hardware AWS Payment Cryptography (HSMs), ognuno dei quali può eseguire l'operazione con la chiave di pagamento.
## Design multi-tenant
Il design multi-tenant di AWS Payment Cryptography consente di soddisfare lo SLA di disponibilità e di sostenere tassi di richiesta elevati, proteggendo al contempo la riservatezza di chiavi e dati.
Vengono implementati diversi meccanismi di rafforzamento dell'integrità per garantire che la chiave di pagamento specificata per l'operazione crittografica sia sempre quella utilizzata.
Il materiale chiave in testo semplice per le chiavi di crittografia dei pagamenti è ampiamente protetto. Il materiale chiave viene crittografato nell'HSM non appena viene creato e il materiale chiave crittografato viene immediatamente spostato in un archivio sicuro. La chiave crittografata viene recuperata e decrittografata all'interno del modulo HSM solo nel momento in cui viene utilizzata. La chiave in testo normale rimane nella memoria HSM solo per il tempo necessario al completamento dell'operazione di crittografia. Il materiale chiave in testo non crittografato non esce mai dal file HSMs; non viene mai scritto su un dispositivo di archiviazione persistente.
Per ulteriori informazioni sui meccanismi utilizzati da AWS Payment Cryptography per proteggere le tue chiavi, consulta Dettagli crittografici di AWS Payment Cryptography.
# Sicurezza dell'infrastruttura in AWS Payment Cryptography
In quanto servizio gestito, AWS Payment Cryptography è protetto dalle procedure di sicurezza della rete AWS globale descritte nel white paper [Amazon Web Services: Overview of Security Processes](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf).
Utilizzi chiamate API AWS pubblicate per accedere AWS Payment Cryptography attraverso la rete. I client devono supportare Transport Layer Security (TLS) 1.2 o versioni successive. I client devono, inoltre, supportare le suite di cifratura con PFS (Perfect Forward Secrecy), ad esempio Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La maggior parte dei sistemi moderni come Java 7 e versioni successive, supporta tali modalità.
Inoltre, le richieste devono essere firmate tramite un ID chiave di accesso e una chiave di accesso segreta associata a un principal IAM. In alternativa, è possibile utilizzare [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) per generare le credenziali di sicurezza temporanee per firmare le richieste.
## Isolamento degli host fisici
La sicurezza dell'infrastruttura fisica utilizzata da AWS Payment Cryptography è soggetta ai controlli descritti nella sezione Sicurezza fisica e ambientale di Amazon Web Services: panoramica dei processi di sicurezza. Puoi trovare altri dettagli nei report di conformità e nei risultati degli audit di terze parti elencati nella sezione precedente.
La crittografia di AWS Payment è supportata da moduli di sicurezza hardware dedicati elencati in commercial-off-the-shelf PCI PTS HSM (). HSMs Il materiale chiave per le chiavi di crittografia di AWS Payment viene archiviato solo nella memoria volatile della chiave di crittografia dei HSMs pagamenti e solo mentre la chiave di crittografia dei pagamenti è in uso. HSMs si trovano in rack con accesso controllato all'interno dei data center di Amazon che applicano il doppio controllo per qualsiasi accesso fisico. Per informazioni dettagliate sul funzionamento di AWS Payment Cryptography HSMs, consulta AWS Payment Cryptography Cryptographic Details.
# Connessione alla crittografia dei AWS pagamenti tramite un endpoint VPC
Puoi connetterti direttamente alla crittografia dei AWS pagamenti tramite un endpoint di interfaccia privato nel tuo cloud privato virtuale (VPC). Quando utilizzi un endpoint VPC di interfaccia, la comunicazione tra il tuo VPC e la crittografia dei AWS pagamenti viene condotta interamente all'interno della rete. AWS
AWS Payment Cryptography supporta gli endpoint Amazon Virtual Private Cloud (Amazon VPC) con tecnologia. [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/) Ogni endpoint VPC è rappresentato da una o più [interfacce di rete elastiche](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) (ENIs) con indirizzi IP privati nelle sottoreti VPC.
L'interfaccia VPC endpoint collega il tuo VPC direttamente alla crittografia dei AWS pagamenti senza un gateway Internet, un dispositivo NAT, una connessione VPN o una connessione. AWS Direct Connect Le istanze del tuo VPC non necessitano di indirizzi IP pubblici per comunicare AWS con Payment Cryptography.
**Regioni**
AWS [Payment Cryptography supporta gli endpoint VPC e le policy degli endpoint VPC Regioni AWS in tutti AWS i paesi in cui è supportata la crittografia dei pagamenti.](https://docs.aws.amazon.com/general/latest/gr/payment-cryptography.html)
**Topics**
+ [Considerazioni sugli endpoint AWS VPC per la crittografia dei pagamenti](#vpce-considerations)
+ [Creazione di un endpoint VPC per la crittografia dei pagamenti AWS](#vpce-create-endpoint)
+ [Connessione a un endpoint VPC per la crittografia dei AWS pagamenti](#vpce-connect)
+ [Controllo dell'accesso all'endpoint VPC](#vpce-policy)
+ [Utilizzo di un endpoint VPC in un'istruzione di policy](#vpce-policy-condition)
+ [Registrazione dell'endpoint VPC](#vpce-logging)
## Considerazioni sugli endpoint AWS VPC per la crittografia dei pagamenti
**Nota**
Sebbene gli endpoint VPC consentano di connettersi al servizio in una sola zona di disponibilità (AZ), consigliamo di connetterti a tre zone di disponibilità per scopi di alta disponibilità e ridondanza.
*Prima di configurare un endpoint VPC di interfaccia per la crittografia dei AWS pagamenti, consulta l'argomento [Proprietà e limitazioni dell'endpoint dell'interfaccia](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#vpce-interface-limitations) nella Guida.AWS PrivateLink *
AWS Il supporto per la crittografia dei pagamenti per un endpoint VPC include quanto segue.
+ Puoi utilizzare l'endpoint VPC per richiamare tutte le operazioni del piano di [controllo della crittografia dei AWS pagamenti e le operazioni del piano](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_Operations.html) [dati AWS di crittografia dei pagamenti](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_Operations.html) da un VPC.
+ È possibile creare un endpoint VPC di interfaccia che si connette a un endpoint della regione di crittografia dei AWS pagamenti.
+ AWS La crittografia dei pagamenti è costituita da un piano di controllo e un piano dati. È possibile scegliere di configurare uno o entrambi i servizi secondari, AWS PrivateLink ma ciascuno è configurato separatamente.
+ Puoi utilizzare AWS CloudTrail i log per verificare l'utilizzo delle chiavi di crittografia dei AWS pagamenti tramite l'endpoint VPC. Per informazioni dettagliate, vedi [Registrazione dell'endpoint VPC](#vpce-logging).
## Creazione di un endpoint VPC per la crittografia dei pagamenti AWS
Puoi creare un endpoint VPC per la crittografia dei AWS pagamenti utilizzando la console Amazon VPC o l'API Amazon VPC. Per ulteriori informazioni, consulta la sezione [Creazione di un endpoint di interfaccia](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint) nella *Guida per l'utente di AWS PrivateLink *.
+ Per creare un endpoint VPC per la crittografia dei AWS pagamenti, utilizza i seguenti nomi di servizio:
```
com.amazonaws.region.payment-cryptography.controlplane
```
```
com.amazonaws.region.payment-cryptography.dataplane
```
Ad esempio, nella regione degli Stati Uniti occidentali (Oregon) (`us-west-2`), i nomi dei servizi sarebbero:
```
com.amazonaws.us-west-2.payment-cryptography.controlplane
```
```
com.amazonaws.us-west-2.payment-cryptography.dataplane
```
Per semplificare l'utilizzo dell'endpoint VPC, puoi abilitare un [nome DNS privato](https://docs.aws.amazon.com/vpc/latest/privatelink/verify-domains.html) per l'endpoint VPC. Se selezioni l'opzione **Abilita nome DNS, il nome** host DNS standard AWS di crittografia dei pagamenti viene risolto sul tuo endpoint VPC. Ad esempio, `https://controlplane.payment-cryptography.us-west-2.amazonaws.com` si risolverebbe in un endpoint VPC connesso al nome del servizio `com.amazonaws.us-west-2.payment-cryptography.controlplane`.
Questa opzione rende più semplice utilizzare l'endpoint VPC. Per impostazione predefinita, AWS CLI utilizza il nome host DNS di crittografia dei AWS pagamenti standard, quindi non è necessario specificare l'URL dell'endpoint VPC nelle applicazioni e nei comandi. AWS SDKs
Per ulteriori informazioni, consulta la sezione [Accesso a un servizio tramite un endpoint di interfaccia](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#access-service-though-endpoint) nella *Guida di AWS PrivateLink *.
## Connessione a un endpoint VPC per la crittografia dei AWS pagamenti
Puoi connetterti alla crittografia dei AWS pagamenti tramite l'endpoint VPC utilizzando AWS un SDK, o. AWS CLI AWS Strumenti per PowerShell Per specificare l'endpoint VPC, utilizzare il nome DNS.
Ad esempio, il comando [list-keys](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/list-keys.html) utilizza il parametro `endpoint-url` per specificare l'endpoint VPC. Per utilizzare un comando come questo, sostituisci l'ID dell'endpoint VPC con uno presente nel tuo account.
```
$ aws payment-cryptography list-keys --endpoint-url https://vpce-1234abcdf5678c90a-09p7654s-us-east-1a.ec2.us-east-1.vpce.amazonaws.com
```
Se hai attivato nomi host privati al momento della creazione dell'endpoint VPC, non è necessario specificare l'URL dell'endpoint VPC nella configurazione dell'applicazione o nei comandi della CLI. Il nome host DNS standard AWS di Payment Cryptography viene risolto sul tuo endpoint VPC. Seleziona AWS CLI e SDKs utilizza questo nome host per impostazione predefinita, in modo da poter iniziare a utilizzare l'endpoint VPC per connetterti a AWS un endpoint regionale di crittografia dei pagamenti senza modificare nulla negli script e nelle applicazioni.
Per utilizzare nomi host privati, gli attributi `enableDnsHostnames` e `enableDnsSupport` del VPC devono essere impostati su `true`. Per impostare questi attributi, usa l'operazione. [ModifyVpcAttribute](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpcAttribute.html) Per informazioni dettagliate, consulta la sezione [Visualizzazione e aggiornamento degli attributi DNS per il VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating) nella *Guida per l'utente di Amazon VPC*.
## Controllo dell'accesso all'endpoint VPC
Per controllare l'accesso al tuo endpoint VPC per la crittografia dei AWS pagamenti, allega una policy sugli endpoint VPC all'*endpoint VPC*. La policy degli endpoint determina se i mandanti possono utilizzare l'endpoint VPC per richiamare operazioni di crittografia dei AWS pagamenti con risorse specifiche di crittografia dei pagamenti. AWS
Puoi creare una policy di endpoint VPC quando crei l'endpoint e puoi modificare la policy di endpoint VPC in qualsiasi momento. Utilizza la console di gestione VPC o le operazioni [CreateVpcEndpoint](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateVpcEndpoint.html)o [ModifyVpcEndpoint](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpcEndpoint.html). Puoi anche creare e modificare una policy per gli endpoint VPC [utilizzando](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-ec2-vpcendpoint.html) un modello. AWS CloudFormation Per informazioni sull'utilizzo della console di gestione VPC, consulta la sezione [Creazione di un endpoint di interfaccia](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint) e [Modifica di un endpoint di interfaccia](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#modify-interface-endpoint) nella *Guida di AWS PrivateLink *.
Per informazioni sulla scrittura e sulla formattazione di un documento di policy JSON, consulta la [Documentazione di riferimento sulla policy IAM JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) nella *Guida per l'utente di IAM*.
**Topics**
+ [Informazioni sulle policy di endpoint VPC](#vpce-policy-about)
+ [Policy di endpoint VPC predefinita](#vpce-default-policy)
+ [Creazione di una policy degli endpoint VPC](#vpce-policy-create)
+ [Visualizzazione di una policy di endpoint VPC](#vpce-policy-get)
### Informazioni sulle policy di endpoint VPC
Affinché una richiesta AWS di crittografia dei pagamenti che utilizza un endpoint VPC abbia esito positivo, il principale richiede le autorizzazioni da due fonti:
+ Una [politica basata sull'identità](security_iam_id-based-policy-examples.md) deve fornire all'utente principale l'autorizzazione a richiamare l'operazione sulla risorsa (chiavi o alias di crittografia dei pagamenti)AWS .
+ Una policy di endpoint VPC deve concedere l'autorizzazione al principale per utilizzare l'endpoint per effettuare la richiesta.
Ad esempio, una politica chiave potrebbe fornire l'autorizzazione principale per chiamare [Decrypt su una particolare chiave di crittografia dei pagamenti](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_DecryptData.html). AWS Tuttavia, la politica degli endpoint VPC potrebbe non consentire a tale principale di `Decrypt` richiamare le chiavi di crittografia dei AWS pagamenti utilizzando l'endpoint.
Oppure, una policy [StopKeyUsage](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_StopKeyUsage.html)sugli endpoint VPC potrebbe consentire a un principale di utilizzare l'endpoint per richiamare determinate AWS chiavi di crittografia dei pagamenti. Ma se il preside non dispone delle autorizzazioni previste da una policy IAM, la richiesta fallisce.
### Policy di endpoint VPC predefinita
Ogni endpoint VPC dispone di una policy di endpoint VPC, ma non è necessario specificare la policy. Se non specifichi una policy, la policy di endpoint predefinita consente tutte le operazioni effettuate da tutte i principali su tutte le risorse dell'endpoint.
Tuttavia, per le risorse AWS Payment Cryptography, il mandante deve anche avere l'autorizzazione a richiamare l'operazione da una [policy IAM](security_iam_id-based-policy-examples.md). Pertanto, in pratica, la policy predefinita indica che se un principale dispone dell'autorizzazione per chiamare un'operazione su una risorsa, può anche chiamarla utilizzando l'endpoint.
```
{
"Statement": [
{
"Action": "*",
"Effect": "Allow",
"Principal": "*",
"Resource": "*"
}
]
}
```
Per permettere ai principali di utilizzare l'endpoint VPC solo per un sottoinsieme di operazioni consentite, [crea o modifica la policy di endpoint VPC](#vpce-policy-create).
### Creazione di una policy degli endpoint VPC
Una policy di endpoint VPC determina se un principale dispone dell'autorizzazione per utilizzare l'endpoint VPC per eseguire operazioni su una risorsa. Per le risorse AWS Payment Cryptography, il committente deve inoltre disporre dell'autorizzazione a eseguire le operazioni in base a una [policy IAM](security_iam_id-based-policy-examples.md).
Ogni istruzione della policy di endpoint VPC richiede i seguenti elementi:
+ Il principale che può eseguire operazioni.
+ Le azioni che possono essere eseguite
+ Le risorse sui cui si possono eseguire le azioni
L'istruzione della policy non specifica l'endpoint VPC. Si applica invece a qualsiasi endpoint VPC a cui è collegata la policy. Per ulteriori informazioni, consulta [Controllo degli accessi ai servizi con endpoint VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) nella *Guida per l’utente di Amazon VPC.*
Di seguito è riportato un esempio di policy degli endpoint VPC per AWS la crittografia dei pagamenti. Se collegata a un endpoint VPC, questa policy consente di utilizzare l'endpoint VPC `ExampleUser` per richiamare le operazioni specificate sulle chiavi di crittografia dei pagamenti specificate. AWS Prima di utilizzare una politica come questa, sostituisci l'[identificatore principale e chiave](concepts.md#concepts.key-identifer) di esempio con valori validi del tuo account.
```
{
"Statement":[
{
"Sid": "AllowDecryptAndView",
"Principal": {"AWS": "arn:aws:iam::111122223333:user/ExampleUser"},
"Effect":"Allow",
"Action": [
"payment-cryptography:Decrypt",
"payment-cryptography:GetKey",
"payment-cryptography:ListAliases",
"payment-cryptography:ListKeys",
"payment-cryptography:GetAlias"
],
"Resource": "arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h"
}
]
}
```
AWS CloudTrail registra tutte le operazioni che utilizzano l'endpoint VPC. Tuttavia, CloudTrail i log non includono le operazioni richieste dai responsabili in altri account o le operazioni relative alle chiavi di crittografia dei AWS pagamenti in altri account.
Pertanto, potresti voler creare una policy sugli endpoint VPC che impedisca ai responsabili degli account esterni di utilizzare l'endpoint VPC per richiamare qualsiasi operazione di crittografia dei AWS pagamenti su qualsiasi chiave dell'account locale.
L'esempio seguente utilizza la chiave [aws: PrincipalAccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalaccount) global condition per negare l'accesso a tutti i principali per tutte le operazioni su tutte le chiavi di crittografia dei AWS pagamenti a meno che il principale non si trovi nell'account locale. Prima di utilizzare una policy come questa, sostituisci l'ID account dell'esempio con uno valido.
```
{
"Statement": [
{
"Sid": "AccessForASpecificAccount",
"Principal": {"AWS": "*"},
"Action": "payment-cryptography:*",
"Effect": "Deny",
"Resource": "arn:aws:payment-cryptography:*:111122223333:key/*",
"Condition": {
"StringNotEquals": {
"aws:PrincipalAccount": "111122223333"
}
}
}
]
}
```
### Visualizzazione di una policy di endpoint VPC
Per visualizzare la policy degli endpoint VPC per un endpoint, utilizza la console di gestione [VPC](https://console.aws.amazon.com/vpc/) o l'operazione. [DescribeVpcEndpoints](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpcEndpoints.html)
Il AWS CLI comando seguente ottiene la policy per l'endpoint con l'ID endpoint VPC specificato.
Prima di eseguire questo comando, sostituisci l'ID endpoint dell'esempio con un ID valido del tuo account.
```
$ aws ec2 describe-vpc-endpoints \
--query 'VpcEndpoints[?VpcEndpointId==`vpce-1234abcdf5678c90a`].[PolicyDocument]'
--output text
```
## Utilizzo di un endpoint VPC in un'istruzione di policy
Puoi controllare l'accesso alle risorse e alle operazioni di crittografia dei AWS pagamenti quando la richiesta proviene da VPC o utilizza un endpoint VPC. [Per farlo, usa una policy IAM](security_iam_id-based-policy-examples.md)
+ Usa la chiave di condizione `aws:sourceVpce` per concedere o limitare l'accesso in base all'endpoint VPC.
+ Usa la chiave di condizione `aws:sourceVpc` per concedere o limitare l'accesso in base al VPC che ospita l'endpoint privato.
**Nota**
La chiave di `aws:sourceIP` condizione non è efficace quando la richiesta proviene da un [endpoint Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html). Per limitare le richieste a un endpoint VPC, utilizza il comando `aws:sourceVpce` o le chiavi di condizione `aws:sourceVpc`. Per ulteriori informazioni, consulta la sezione [Gestione delle identità e degli accessi per endpoint VPC e servizi endpoint VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-iam.html) nella *Guida di AWS PrivateLink *.
Puoi utilizzare queste chiavi di condizione globali per controllare l'accesso alle chiavi AWS di crittografia dei pagamenti, agli alias e a operazioni del genere [CreateKey](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_CreateKey.html)che non dipendono da alcuna risorsa particolare.
Ad esempio, la seguente politica di chiave di esempio consente a un utente di eseguire particolari operazioni crittografiche con una chiave di crittografia di AWS pagamento solo quando la richiesta utilizza l'endpoint VPC specificato, bloccando l'accesso sia da Internet che dalle AWS PrivateLink connessioni (se configurato). Quando un utente effettua una richiesta a AWS Payment Cryptography, l'ID dell'endpoint VPC nella richiesta viene confrontato con il valore `aws:sourceVpce` della chiave di condizione nella policy. Se non corrisponde, la richiesta viene rifiutata.
Per utilizzare una politica come questa, sostituisci l' Account AWS ID segnaposto e l'endpoint VPC IDs con valori validi per il tuo account.
------
#### [ JSON ]
****
```
{
"Id": "example-key-1",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnableIAMPolicies",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:root"
]
},
"Action": [
"payment-cryptography:*"
],
"Resource": "*"
},
{
"Sid": "RestrictUsageToMyVPCEndpoint",
"Effect": "Deny",
"Principal": "*",
"Action": [
"payment-cryptography:EncryptData",
"payment-cryptography:DecryptData"
],
"Resource": "arn:aws:payment-cryptography:us-east-1:111122223333:key/*",
"Condition": {
"StringNotEquals": {
"aws:sourceVpce": "vpce-1234abcdf5678c90a"
}
}
}
]
}
```
------
Puoi anche utilizzare la chiave di `aws:sourceVpc` condizione per limitare l'accesso alle tue chiavi di crittografia dei AWS pagamenti in base al VPC in cui risiede l'endpoint VPC.
La seguente politica chiave di esempio consente i comandi che gestiscono le chiavi di crittografia dei AWS pagamenti solo quando provengono da. `vpc-12345678` Inoltre, consente i comandi che utilizzano le chiavi AWS di crittografia dei pagamenti per operazioni crittografiche solo quando provengono da. `vpc-2b2b2b2b` Puoi usare una policy come questa se un'applicazione è in esecuzione in un VPC, ma devi utilizzare un secondo VPC separato per le funzioni di gestione.
Per utilizzare una politica come questa, sostituisci l' Account AWS ID segnaposto e l'endpoint VPC IDs con valori validi per il tuo account.
------
#### [ JSON ]
****
```
{
"Id": "example-key-2",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAdminActionsFromVPC12345678",
"Effect": "Allow",
"Principal": {
"AWS": "111122223333"
},
"Action": [
"payment-cryptography:Create*",
"payment-cryptography:Encrypt*",
"payment-cryptography:ImportKey*",
"payment-cryptography:GetParametersForImport*",
"payment-cryptography:TagResource",
"payment-cryptography:UntagResource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:sourceVpc": "vpc-12345678"
}
}
},
{
"Sid": "AllowKeyUsageFromVPC2b2b2b2b",
"Effect": "Allow",
"Principal": {
"AWS": "111122223333"
},
"Action": [
"payment-cryptography:Encrypt*",
"payment-cryptography:Decrypt*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:sourceVpc": "vpc-2b2b2b2b"
}
}
},
{
"Sid": "AllowListReadActionsFromEverywhere",
"Effect": "Allow",
"Principal": {
"AWS": "111122223333"
},
"Action": [
"payment-cryptography:List*",
"payment-cryptography:Get*"
],
"Resource": "*"
}
]
}
```
------
## Registrazione dell'endpoint VPC
AWS CloudTrail registra tutte le operazioni che utilizzano l'endpoint VPC. Quando una richiesta di crittografia dei AWS pagamenti utilizza un endpoint VPC, l'ID dell'endpoint VPC viene visualizzato nella voce di registro che registra [AWS CloudTrail la](monitoring-cloudtrail.md) richiesta. Puoi utilizzare l'ID endpoint per verificare l'uso del tuo endpoint VPC AWS Payment Cryptography.
Per proteggere il tuo VPC, le richieste rifiutate da una [policy sugli endpoint VPC](#vpce-policy), ma che altrimenti sarebbero state consentite, non vengono registrate in. [AWS CloudTrail](monitoring-cloudtrail.md)
Ad esempio, questa voce di log di esempio registra una richiesta [GenerateMac](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_GenerateMac.html) che utilizza l'endpoint VPC. Il campo `vpcEndpointId` viene visualizzato alla fine della voce di log.
```
{
"eventVersion": "1.08",
"userIdentity": {
"principalId": "TESTXECZ5U9M4LGF2N6Y5:i-98761b8890c09a34a",
"arn": "arn:aws:sts::111122223333:assumed-role/samplerole/i-98761b8890c09a34a",
"accountId": "111122223333",
"accessKeyId": "TESTXECZ5U2ZULLHHMJG",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "TESTXECZ5U9M4LGF2N6Y5",
"arn": "arn:aws:iam::111122223333:role/samplerole",
"accountId": "111122223333",
"userName": "samplerole"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2024-05-27T19:34:10Z",
"mfaAuthenticated": "false"
},
"ec2RoleDelivery": "2.0"
}
},
"eventTime": "2024-05-27T19:49:54Z",
"eventSource": "payment-cryptography.amazonaws.com",
"eventName": "CreateKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "172.31.85.253",
"userAgent": "aws-cli/2.14.5 Python/3.9.16 Linux/6.1.79-99.167.amzn2023.x86_64 source/x86_64.amzn.2023 prompt/off command/payment-cryptography.create-key",
"requestParameters": {
"keyAttributes": {
"keyUsage": "TR31_M1_ISO_9797_1_MAC_KEY",
"keyClass": "SYMMETRIC_KEY",
"keyAlgorithm": "TDES_2KEY",
"keyModesOfUse": {
"encrypt": false,
"decrypt": false,
"wrap": false,
"unwrap": false,
"generate": true,
"sign": false,
"verify": true,
"deriveKey": false,
"noRestrictions": false
}
},
"exportable": true
},
"responseElements": {
"key": {
"keyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h",
"keyAttributes": {
"keyUsage": "TR31_M1_ISO_9797_1_MAC_KEY",
"keyClass": "SYMMETRIC_KEY",
"keyAlgorithm": "TDES_2KEY",
"keyModesOfUse": {
"encrypt": false,
"decrypt": false,
"wrap": false,
"unwrap": false,
"generate": true,
"sign": false,
"verify": true,
"deriveKey": false,
"noRestrictions": false
}
},
"keyCheckValue": "A486ED",
"keyCheckValueAlgorithm": "ANSI_X9_24",
"enabled": true,
"exportable": true,
"keyState": "CREATE_COMPLETE",
"keyOrigin": "AWS_PAYMENT_CRYPTOGRAPHY",
"createTimestamp": "May 27, 2024, 7:49:54 PM",
"usageStartTimestamp": "May 27, 2024, 7:49:54 PM"
}
},
"requestID": "f3020b3c-4e86-47f5-808f-14c7a4a99161",
"eventID": "b87c3d30-f3ab-4131-87e8-bc54cfef9d29",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"vpcEndpointId": "vpce-1234abcdf5678c90a",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_128_GCM_SHA256",
"clientProvidedHostHeader": "vpce-1234abcdf5678c90a-oo28vrvr.controlplane.payment-cryptography.us-east-1.vpce.amazonaws.com"
}
}
```
# Utilizzo del protocollo TLS post-quantistico ibrido
AWS Payment Cryptography e molti altri servizi supportano un'opzione ibrida di scambio di chiavi post-quantistiche per il protocollo di crittografia di rete Transport Layer Security (TLS). Puoi usare questa opzione TLS quando ti connetti agli endpoint API o quando usi AWS. SDKs Queste caratteristiche opzionali di scambio di chiavi post-quantistiche ibride sono sicure almeno quanto la crittografia TLS che utilizziamo oggi e potrebbero fornire ulteriori vantaggi per la sicurezza a lungo termine.
I dati inviati ai servizi abilitati sono protetti in transito dalla crittografia fornita da una connessione Transport Layer Security (TLS). Le classiche suite di crittografia basate su RSA ed ECC supportate da AWS Payment Cryptography per le sessioni TLS rendono gli attacchi di forza bruta ai meccanismi di scambio delle chiavi irrealizzabili con la tecnologia attuale. Tuttavia, se i computer quantistici su larga scala o crittograficamente rilevanti (CRQC) diventeranno pratici in futuro, i meccanismi di scambio di chiavi TLS esistenti saranno suscettibili a questi attacchi. È possibile che gli avversari inizino subito a raccogliere dati criptati con la speranza di poterli decriptare in futuro (raccoglierli ora, decifrarli più tardi). Se state sviluppando applicazioni che si basano sulla riservatezza a lungo termine dei dati trasmessi tramite una connessione TLS, dovreste prendere in considerazione un piano per migrare alla crittografia post-quantistica prima che i computer quantistici su larga scala diventino disponibili per l'uso. AWS sta lavorando per prepararsi a questo futuro e vogliamo che anche voi siate ben preparati.
![\[Un avversario che ha precedentemente registrato una sessione TLS. Anni dopo, quando l'avversario ha un CRQC, può prima recuperare la chiave di sessione interrompendo il classico scambio di chiavi utilizzando il CRQC. L'avversario può quindi decrittografare i dati utilizzando la chiave di sessione scoperta. I dati trasmessi in precedenza, se ancora preziosi, ora sono compromessi.\]](http://docs.aws.amazon.com/it_it/payment-cryptography/latest/userguide/images/pqtls-risk2.png)
*Per proteggere i dati crittografati oggi da potenziali attacchi futuri, AWS partecipa con la comunità crittografica allo sviluppo di algoritmi quantistici resistenti o post-quantistici.* AWS ha implementato suite di cifratura *ibride* post-quantistiche a scambio di chiavi che combinano elementi classici e post-quantistici per garantire che la connessione TLS sia almeno altrettanto potente come lo sarebbe con le suite di crittografia classiche.
Queste suite di crittografia ibride sono disponibili per l'uso sui carichi di lavoro di produzione quando si utilizzano versioni recenti di AWS. SDKs Per ulteriori informazioni su come adottare enable/disable questo comportamento, consulta [Abilitazione del TLS post-quantistico ibrido](pqtls-details.md)
![\[Una sessione TLS protetta utilizzando sia l'accordo chiave classico che l'accordo chiave post-quantistico. Un avversario oggi non può rompere la parte classica dell'accordo chiave. Se l'avversario registra i dati e tenta di decrittografarli in futuro con un CRQC, l'accordo di chiave post-quantistica protegge la chiave di sessione. Pertanto, i dati trasmessi odierni rimangono al sicuro dalla scoperta anche in futuro. Ecco perché il TLS ibrido post-quantistico è importante oggi.\]](http://docs.aws.amazon.com/it_it/payment-cryptography/latest/userguide/images/pqtls-mitigation.png)
## Informazioni sullo scambio di chiavi post-quantistiche ibride in TLS
[Gli algoritmi AWS utilizzati sono un *ibrido* che combina [Elliptic Curve Diffie-Hellman](https://en.wikipedia.org/wiki/Elliptic-curve_Diffie%E2%80%93Hellman) (ECDH), un classico algoritmo di scambio di chiavi utilizzato oggi in TLS, con il [meccanismo di incapsulamento delle chiavi basato su Module-Lattice (ML-KEM), un algoritmo di crittografia e definizione delle chiavi](https://csrc.nist.gov/pubs/fips/203/final) a chiave pubblica che il National Institute for Standards and Technology (NIST) ha designato come primo algoritmo di accordo di chiavi post-quantistiche standard.](https://csrc.nist.gov/pubs/fips/203/final) Questo algoritmo ibrido utilizza ciascuno degli algoritmi in modo indipendente per generare una chiave. Quindi combina crittograficamente le due chiavi.
## Scopri di più su PQC
Per informazioni sul progetto di crittografia post-quantistica presso il National Institute for Standards and Technology (NIST), consultare [Post-Quantum Cryptography](https://csrc.nist.gov/Projects/Post-Quantum-Cryptography) (Crittografia post-quantistica).
Per informazioni sulla standardizzazione della crittografia post-quantistica del NIST, consulta la sezione [Standardizzazione della crittografia post-quantistica](https://csrc.nist.gov/Projects/post-quantum-cryptography/post-quantum-cryptography-standardization).
# Abilitazione del TLS post-quantistico ibrido
AWS SDKs e gli strumenti dispongono di funzionalità e configurazioni crittografiche che differiscono in base al linguaggio e al runtime. Esistono attualmente tre modi in cui un SDK o uno strumento AWS fornisce il supporto TLS per PQ:
**Topics**
+ [SDKs con PQ TLS abilitato per impostazione predefinita](#pq-tls-default)
+ [Attiva il supporto PQ TLS](#pq-tls-opt-in)
+ [SDKs che si basano su System OpenSSL](#pq-tls-open-ssl)
+ [AWS SDKs e strumenti che non prevedono di supportare PQ TLS](#pq-tls-nosupport)
## SDKs con PQ TLS abilitato per impostazione predefinita
**Nota**
A partire dal 6 novembre 2025, AWS SDK e le sue librerie CRT sottostanti per macOS e Windows utilizzano librerie di sistema per TLS, quindi le funzionalità PQ TLS su tali piattaforme sono generalmente determinate dal supporto a livello di sistema.
### AWS SDK for Go
L'SDK for Go di AWS utilizza l'implementazione TLS di Golang fornita dalla sua libreria standard. Golang supporta e preferisce PQ TLS a partire dalla versione 1.24, quindi gli utenti di AWS SDK for Go possono abilitare PQ TLS semplicemente aggiornando Golang alla v1.24
### SDK AWS per JavaScript (browser)
L'SDK AWS per JavaScript (browser) utilizza lo stack TLS del browser, quindi l'SDK negozierà PQ TLS se il runtime del browser lo supporta e lo preferisce. Firefox ha lanciato il supporto per PQ TLS nella versione 132.0. Chrome ha annunciato il supporto per PQ TLS nella versione 131. Edge supporta PQ TLS opt-in nella versione 120 per desktop e 140 per Android.
### AWS SDK per Node.js
A partire da Node.js v22.20 (LTS) e v24.9.0, Node.js collega e raggruppa staticamente OpenSSL 3.5. Ciò significa che PQ TLS è abilitato e preferito per impostazione predefinita per quelle versioni e successive.
### SDK AWS per Kotlin
L'SDK Kotlin supporta e preferisce PQ TLS su Linux a partire dalla versione 1.5.78. Poiché AWS SDK per il client basato su CRT di Kotlin si basa su librerie di sistema per TLS su macOS e Windows, il supporto per PQ TLS dipenderà dalle librerie di sistema sottostanti.
### SDK AWS per Rust
L'SDK AWS per Rust distribuisce pacchetti distinti (noti come «casse» nell'ecosistema Rust) per ogni client di servizio. Questi sono tutti gestiti in un GitHub repository consolidato, ma ogni client di servizio segue la propria versione e la propria cadenza di rilascio. L'SDK consolidato ha rilasciato la preferenza PQ TLS il 29/08/25, quindi qualsiasi versione del client di servizio individuale rilasciata dopo tale data supporterà e preferirà PQ TLS per impostazione predefinita.
[Puoi determinare la versione minima che supporta PQ TLS per un particolare client di servizio accedendo all'URL della versione crates.io pertinente (ad esempio, AWS Payment Cryptography è disponibile qui) e trovando la prima versione pubblicata dopo il 29 agosto 25.](https://crates.io/crates/aws-sdk-paymentcryptography/versions) Qualsiasi versione del client di servizio pubblicata dopo il 29 agosto avrà PQ TLS abilitato e preferito per impostazione predefinita.
## Attiva il supporto PQ TLS
### AWS SDK per C\$1\$1
Per impostazione predefinita, l'SDK C\$1\$1 utilizza client nativi della piattaforma come libcurl e. WinHttp Libcurl generalmente si basa sul sistema OpenSSL per TLS, quindi PQ TLS è abilitato di default solo se il sistema OpenSSL è ≥ v3.5. È possibile sovrascrivere questa impostazione predefinita in C\$1\$1 SDK v1.11.673 o versione successiva e attivare l'opzione che supporta e abilita PQ TLS per impostazione predefinita. AwsCrtHttpClient
[Note su Building for Opt-In PQ TLS È possibile recuperare le dipendenze CRT dell'SDK con questo script.](https://github.com/aws/aws-sdk-cpp/blob/main/prefetch_crt_dependency.sh) La creazione dell'SDK dal codice sorgente è descritta [qui e [qui](https://github.com/aws/aws-sdk-cpp/tree/main?tab=readme-ov-file#building-from-source)](https://docs.aws.amazon.com/sdk-for-cpp/v1/developer-guide/sdk-from-source.html), ma tieni presente che potresti aver bisogno di alcuni flag aggiuntivi: CMake
```
-DUSE_CRT_HTTP_CLIENT=ON \
-DUSE_TLS_V1_2=OFF \
-DUSE_TLS_V1_3=ON \
-DUSE_OPENSSL=OFF \
```
### SDK AWS per Java
A partire dalla versione 2, AWS SDK per Java fornisce un client HTTP AWS Common Runtime (AWS CRT) che può essere configurato per eseguire PQ TLS. A partire dalla versione 2.35.11, AwsCrtHttpClient abilita e preferisce PQ TLS per impostazione predefinita ovunque venga utilizzato.
## SDKs che si basano su System OpenSSL
Diversi strumenti SDKs e AWS dipendono dalla libcrypto/libssl libreria di sistema per TLS. La libreria di sistema più utilizzata è OpenSSL. OpenSSL ha abilitato il supporto PQ TLS nella versione 3.5, quindi il modo più semplice per configurare SDKs questi e gli strumenti per PQ TLS è utilizzarlo su una distribuzione del sistema operativo su cui sia installato almeno OpenSSL 3.5.
Puoi anche configurare un contenitore Docker per utilizzare OpenSSL 3.5 per abilitare PQ TLS su qualsiasi sistema che supporti Docker. Vedi Post-quantum TLS in Python per un esempio di configurazione per Python.
### AWS CLI
Il supporto PQ TLS con il programma di [installazione dell'interfaccia a riga di comando di AWS sarà presto](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) disponibile. Per attivarlo immediatamente, puoi utilizzare programmi di installazione alternativi per la CLI AWS, che variano in base al sistema operativo, e possono abilitare PQ TLS.
Per macOS, installa l'AWS CLI tramite [Homebrew e assicurati che il tuo OpenSSL venduto da Homebrew](https://brew.sh/) sia aggiornato alla versione 3.5\$1. Puoi farlo con «brew install openssl @3 .6" e convalidare con «brew list \$1 grep openssl».
Per Ubuntu o Debian Linux: assicurati che la distribuzione Linux che stai utilizzando abbia OpenSSL 3.5\$1 installato come sistema OpenSSL. [Quindi, installa l'AWS CLI usando apt o PyPI.](https://pypi.org/project/awscliv2/) Con questi prerequisiti, la CLI AWS fornita da apt o PyPI sarà configurata per negoziare PQ-TLS. [https://github.com/aws-samples/sample-post-quantum-tls-python/](https://github.com/aws-samples/sample-post-quantum-tls-python/)
### SDK AWS per PHP
L'SDK AWS per PHP si basa sul sistema libssl/libcrypto. Per utilizzare PQ TLS, usa questo SDK su una distribuzione del sistema operativo su cui sia installato almeno OpenSSL 3.5.
### AWS SDK per Python (Boto3)
L'SDK AWS per Python (Boto3) si basa sul sistema libssl/libcrypto. Per utilizzare PQ TLS, usa questo SDK su una distribuzione del sistema operativo su cui sia installato almeno OpenSSL 3.5.
### SDK AWS per Ruby
L'SDK AWS per Ruby si basa sul sistema libssl/libcrypto. Per utilizzare PQ TLS, usa questo SDK su una distribuzione del sistema operativo su cui sia installato almeno OpenSSL 3.5.
### AWS SDK per .NET
Su Linux, AWS SDK for .NET si basa sul sistema libssl/libcrypto. Per utilizzare PQ TLS, usa questo SDK su una distribuzione del sistema operativo su cui sia installato almeno OpenSSL 3.5. [Su Windows e macOS, PQ TLS è disponibile a partire da [.NET 10](https://devblogs.microsoft.com/dotnet/post-quantum-cryptography-in-dotnet/) e Windows 11.](https://techcommunity.microsoft.com/blog/microsoft-security-blog/post-quantum-cryptography-apis-now-generally-available-on-microsoft-platforms/4469093) [Su macOS, il supporto TLS 1.3 (un prerequisito per PQ TLS) può essere abilitato optando per Network.framework di Apple come descritto qui.](https://learn.microsoft.com/en-us/dotnet/core/whats-new/dotnet-10/libraries#tls-13-for-macos-client) Supponendo una versione minima di.NET 10, PQ TLS dovrebbe quindi essere abilitato.
## AWS SDKs e strumenti che non prevedono di supportare PQ TLS
Al momento non è previsto il supporto dei seguenti linguaggi SDKs e strumenti:
+ SDK AWS per SAP
+ SDK AWS per Swift
+ Strumenti AWS per Windows PowerShell
# Le migliori pratiche di sicurezza per la crittografia AWS dei pagamenti
AWS Payment Cryptography supporta molte funzionalità di sicurezza integrate o che è possibile implementare opzionalmente per migliorare la protezione delle chiavi di crittografia e garantire che vengano utilizzate per lo scopo previsto, tra cui [le politiche IAM](security_iam_service-with-iam.md), un ampio set di chiavi di condizione delle policy per perfezionare le policy chiave e le policy IAM e l'applicazione integrata delle regole PCI PIN relative ai blocchi chiave.
**Importante**
Le linee guida generali fornite non rappresentano una soluzione di sicurezza completa. Poiché non tutte le best practice sono appropriate per tutte le situazioni, non sono prescrittive.
+ **Utilizzo delle chiavi e modalità d'uso: la crittografia dei** AWS pagamenti segue e applica le restrizioni sull'utilizzo delle chiavi e sulla modalità di utilizzo, come descritto nella specifica ANSI X9 TR 31-2018 Interoperable Secure Key Exchange Key Block e conforme al requisito di sicurezza PCI PIN 18-3. Ciò limita la possibilità di utilizzare una singola chiave per più scopi e associa crittograficamente i metadati della chiave (come le operazioni consentite) al materiale chiave stesso. AWS La crittografia dei pagamenti applica automaticamente queste restrizioni, ad esempio una chiave di crittografia (TR31\$1K0\$1KEY\$1ENCRYPTION\$1KEY) non può essere utilizzata anche per la decrittografia dei dati. Per ulteriori dettagli, consulta [Comprensione degli attributi chiave della chiave Payment Cryptography AWS](keys-validattributes.md).
+ **Limita la condivisione di materiale a chiave simmetrica: condividi solo materiale a chiave** simmetrica (come chiavi di crittografia PIN o chiavi di crittografia chiave) solo con un'altra entità. Se è necessario trasmettere materiale sensibile a più entità o partner, crea chiavi aggiuntive. AWS La crittografia dei pagamenti non espone mai in chiaro materiale a chiave simmetrica o materiale a chiave privata asimmetrica.
+ **Utilizza alias o tag per associare le chiavi a determinati casi d'uso o partner**: gli alias possono essere utilizzati per indicare facilmente il caso d'uso associato a una chiave come Alias/bin\$112345\$1CVK per indicare una chiave di verifica della carta associata a BIN 12345. Per offrire maggiore flessibilità, prendi in considerazione la creazione di tag come bin=12345, use\$1case=acquiring, country=us, partner=foo. Gli alias e i tag possono essere utilizzati anche per limitare l'accesso, ad esempio per imporre i controlli di accesso tra l'emissione e l'acquisizione dei casi d'uso.
+ **Pratica l'accesso con privilegi minimi**: IAM può essere usato per limitare l'accesso alla produzione ai sistemi anziché ai singoli utenti, ad esempio vietando ai singoli utenti di creare chiavi o eseguire operazioni crittografiche. IAM può essere utilizzato anche per limitare l'accesso a comandi e chiavi che potrebbero non essere applicabili al caso d'uso, ad esempio per limitare la capacità di generare o convalidare i pin per un acquirente. Un altro modo per utilizzare l'accesso con privilegi minimi consiste nel limitare le operazioni sensibili (come l'importazione di chiavi) a specifici account di servizio. Per esempi, consulta [AWS Esempi di politiche basate sull'identità della crittografia dei pagamenti](security_iam_id-based-policy-examples.md).
**Consulta anche**
+ [Gestione delle identità e degli accessi per la crittografia dei AWS pagamenti](security-iam.md)
+ [Best practice per la sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l'utente di IAM*