Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Crittografia dei dati a riposo per Amazon SES
Per impostazione predefinita, Amazon SES crittografa tutti i dati inattivi. La crittografia predefinita aiuta a ridurre il sovraccarico operativo e la complessità associati alla protezione dei dati. La crittografia consente inoltre di creare archivi di Mail Manager che soddisfano i rigorosi requisiti normativi e di conformità alla crittografia.
SES offre le seguenti opzioni di crittografia:
+ **AWS chiavi di proprietà**: SES le utilizza per impostazione predefinita. Non è possibile visualizzare, gestire o utilizzare chiavi AWS di proprietà o controllarne l'utilizzo. Tuttavia, non è necessario effettuare alcuna operazione o modificare programmi per proteggere le chiavi che eseguono la crittografia dei dati. Per ulteriori informazioni, consulta la pagina [chiavi di proprietàAWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) nella *Guida per gli sviluppatori di AWS Key Management Service *.
+ **Chiavi gestite dal cliente**: SES supporta l'uso di chiavi simmetriche gestite dal cliente che create, possedete e gestite. Poiché hai il pieno controllo della crittografia, puoi eseguire attività come:
+ Stabilire e mantenere le policy delle chiavi
+ Stabilire e mantenere le policy e le sovvenzioni IAM
+ Abilitare e disabilitare le policy delle chiavi
+ Ruotare i materiali crittografici delle chiavi
+ Aggiungere tag
+ Creare alias delle chiavi
+ Pianificare l’eliminazione delle chiavi
Per utilizzare la tua chiave, scegli una chiave gestita dal cliente quando crei le tue risorse SES.
Per ulteriori informazioni, consulta [Customer managed keys](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) nella *Guida per sviluppatori AWS Key Management Service *.
**Nota**
SES abilita automaticamente la crittografia a riposo utilizzando chiavi AWS di proprietà senza alcun costo.
Tuttavia, l'utilizzo di una chiave gestita dal cliente comporta dei AWS KMS costi. Per ulteriori informazioni sui prezzi, consulta i [AWS Key Management Service prezzi](https://aws.amazon.com/kms/pricing/).
## Creazione di una chiave gestita dal cliente
Puoi creare una chiave simmetrica gestita dal cliente utilizzando Console di gestione AWS, o il. AWS KMS APIs
**Per creare una chiave simmetrica gestita dal cliente**
Segui le fasi descritte in [Creazione di chiavi KMS simmetriche di crittografia](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) nella *Guida per gli sviluppatori di AWS Key Management Service *.
**Nota**
Per l'archiviazione, la chiave deve soddisfare i seguenti requisiti:
La chiave deve essere simmetrica.
L'origine del materiale chiave deve essere`AWS_KMS`.
L'utilizzo della chiave deve essere`ENCRYPT_DECRYPT`.
**Policy della chiave**
Le policy della chiave controllano l’accesso alla chiave gestita dal cliente. Ogni chiave gestita dal cliente deve avere esattamente una policy della chiave, che contiene istruzioni che determinano chi può usare la chiave e come la possono usare. Quando crei la chiave gestita dal cliente, è possibile specificare una policy della chiave. Per ulteriori informazioni, consulta [Gestione dell'accesso alle chiavi gestite dal cliente](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html#managing-access) nella *Guida per gli sviluppatori di AWS Key Management Service *.
Per utilizzare la chiave gestita dal cliente con l'archiviazione di Mail Manager, la politica delle chiavi deve consentire le seguenti operazioni API:
+ [kms: DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) — Fornisce i dettagli chiave gestiti dal cliente che consentono a SES di convalidare la chiave.
+ [kms: GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) — Consente a SES di generare una chiave dati per crittografare i dati inattivi.
+ [kms:Decrypt — Consente a SES di decrittografare](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) i dati memorizzati prima di restituirli ai client API.
L'esempio seguente mostra una politica chiave tipica:
```
{
"Sid": "Allow SES to encrypt/decrypt",
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "*"
},
```
Per ulteriori informazioni, consulta [Specificare le autorizzazioni in una politica](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html#overview-policy-elements), nella Guida per gli *AWS Key Management Service sviluppatori*.
Per ulteriori informazioni sulla risoluzione dei problemi, consulta la sezione [Risoluzione dei problemi di accesso tramite chiave](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html#example-no-iam), nella Guida per gli *AWS Key Management Service sviluppatori*.
## Specificazione di una chiave gestita dal cliente per Mail Manager
È possibile specificare una chiave gestita dal cliente in alternativa all'utilizzo di chiavi AWS di proprietà. **Quando crei un archivio o configuri un endpoint di ingresso con l'autenticazione TLS reciproca (mTLS), puoi specificare la chiave dati inserendo un ARN della chiave KMS.** Per l'archiviazione, Mail Manager utilizza la chiave per crittografare tutti i dati dei clienti presenti nell'archivio. Per gli endpoint di ingresso MTL, Mail Manager utilizza la chiave per crittografare i contenuti del trust store quando sono inattivi.
+ **ARN della chiave KMS**: [un identificatore chiave per AWS KMS una chiave](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-id) gestita dal cliente. Immetti l’ID della chiave, l’ARN della chiave, il nome dell’alias o l’ARN dell’alias.
## Contesto di crittografia di Amazon SES
Un [contesto di crittografia](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context) è un set facoltativo di coppie chiave-valore che contengono ulteriori informazioni contestuali sui dati.
AWS KMS utilizza il contesto di crittografia come dati autenticati aggiuntivi per supportare la crittografia autenticata. Quando includi un contesto di crittografia in una richiesta di crittografia dei dati, AWS KMS associa il contesto di crittografia ai dati crittografati. Per decrittografare i dati, nella richiesta deve essere incluso lo stesso contesto di crittografia.
**Nota**
Amazon SES non supporta i contesti di crittografia per la creazione di archivi. Utilizza invece una policy IAM o KMS. Per esempio[Politiche di creazione degli archivi](#archive-creation-policies), consulta le politiche più avanti in questa sezione.
**Contesto di crittografia Amazon SES**
SES utilizza lo stesso contesto di crittografia in tutte le operazioni AWS KMS crittografiche, in cui la chiave è `aws:ses:arn` e il valore è la [risorsa Amazon Resource Name](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) (ARN).
**Example**
```
"encryptionContext": {
"aws:ses:arn": "arn:aws:ses:us-west-2:111122223333:ExampleResourceName/ExampleResourceID"
}
```
**Utilizzo del contesto di crittografia per il monitoraggio**
Quando utilizzi una chiave simmetrica gestita dal cliente per crittografare la tua risorsa SES, puoi anche utilizzare il contesto di crittografia nei record e nei log di controllo per identificare come viene utilizzata la chiave gestita dal cliente. Il contesto di crittografia appare anche nei [log generati da AWS CloudTrail o Amazon CloudWatch Logs](#example-custom-encryption).
**Utilizzo del contesto di crittografia per controllare l'accesso alla chiave gestita dal cliente**
È possibile utilizzare il contesto di crittografia nelle policy delle chiavi e nelle policy IAM come `conditions` per controllare l'accesso alla chiave simmetrica gestita dal cliente. È possibile utilizzare i vincoli del contesto di crittografia in una concessione.
SES utilizza un vincolo di contesto di crittografia nelle concessioni per controllare l'accesso alla chiave gestita dal cliente nell'account o nella regione dell'utente. Il vincolo della concessione richiede che le operazioni consentite dalla concessione utilizzino il contesto di crittografia specificato.
**Example**
Di seguito sono riportati alcuni esempi di istruzioni delle policy della chiave per concedere l’accesso a una chiave gestita dal cliente per un contesto di crittografia specifico. Questa istruzione della policy impone come condizione che le concessioni abbiano un vincolo che specifica il contesto di crittografia.
```
{
"Sid": "Enable DescribeKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "Enable CreateGrant",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
},
"Action": "kms:CreateGrant",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:ses:arn": "arn:aws:ses:us-west-2:111122223333:ExampleResourceName/ExampleResourceID"
}
}
}
```
## Politiche di creazione degli archivi
Le seguenti politiche di esempio mostrano come abilitare la creazione di archivi. Le politiche funzionano su tutte le risorse.
**Policy IAM**
```
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "ses:CreateArchive",
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"kms:DescribeKey",
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "ses.us-east-1.amazonaws.com",
"kms:CallerAccount": "012345678910"
}
}
}
```
**AWS KMS policy**
```
{
"Sid": "Allow SES to encrypt/decrypt",
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "*"
},
```
## Politiche di Ingress Endpoint MTLS
Le politiche di esempio seguenti consentono di utilizzare una chiave gestita dal cliente per crittografare i contenuti del trust store per l'autenticazione TLS reciproca (mTLS) sugli endpoint di ingresso di Mail Manager.
Per estendere le policy di esempio a un endpoint di ingresso specifico, sostituisci il carattere jolly nella condizione con un ARN di risorsa esatto (ad esempio,). `arn:aws:ses:us-east-1:111122223333:mailmanager-ingress-point/inp-ab1c2defgh3ij4klmno5pq6rs`
**Policy IAM**
```
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/rolename"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "ses.us-east-1.amazonaws.com"
},
"StringLike": {
"kms:EncryptionContext:aws:ses:arn": [
"arn:aws:ses:us-east-1:111122223333:mailmanager-ingress-point/*"
]
}
}
},
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/rolename"
},
"Action": [
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "ses.us-east-1.amazonaws.com"
}
}
}
```
**AWS KMS policy**
```
{
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": [
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aws:SourceArn": [
"arn:aws:ses:us-east-1:111122223333:mailmanager-ingress-point/*"
],
"kms:EncryptionContext:aws:ses:arn": [
"arn:aws:ses:us-east-1:111122223333:mailmanager-ingress-point/*"
]
}
}
},
{
"Effect": "Allow",
"Principal": {
"Service": "ses.amazonaws.com"
},
"Action": [
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aws:SourceArn": [
"arn:aws:ses:us-east-1:111122223333:mailmanager-ingress-point/*"
]
}
}
}
```
## Monitoraggio delle chiavi di crittografia per Amazon SES
Quando utilizzi una chiave gestita AWS KMS dal cliente con le tue risorse Amazon SES, puoi utilizzare [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)[Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) per tenere traccia delle richieste inviate da AWS KMS SES.
Gli esempi seguenti sono AWS CloudTrail eventi per e per `GenerateDataKey` `DescribeKey` monitorare le operazioni KMS chiamate da SES per accedere ai dati crittografati dalla chiave gestita dal cliente: `Decrypt`
------
#### [ GenerateDataKey ]
Quando abiliti una chiave gestita AWS KMS dal cliente per la tua risorsa, SES crea una chiave di tabella unica. Invia una `GenerateDataKey` richiesta a AWS KMS che specifica la chiave gestita AWS KMS dal cliente per la risorsa.
Quando si abilita una chiave gestita AWS KMS dal cliente per la risorsa di archivio di Mail Manager, questa verrà utilizzata `GenerateDataKey` per crittografare i dati di archivio inattivi.
L’evento di esempio seguente registra l’operazione `GenerateDataKey`:
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "ses.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"encryptionContext": {
"aws:ses:arn": "arn:aws:ses:us-west-2:111122223333:ExampleResourceName/ExampleResourceID"
},
"keySpec": "AES_256",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333",
"sharedEventID": "57f5dbee-16da-413e-979f-2c4c6663475e"
}
```
------
#### [ Decrypt ]
Quando si accede a una risorsa crittografata, SES richiama l'`Decrypt`operazione per utilizzare la chiave dati crittografata memorizzata per accedere ai dati crittografati.
L’evento di esempio seguente registra l’operazione `Decrypt`:
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "ses.amazonaws.com"
},
"eventTime": "2021-04-22T17:10:51Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"encryptionContext": {
"aws:ses:arn": "arn:aws:ses:us-west-2:111122223333:ExampleResourceName/ExampleResourceID"
},
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"encryptionAlgorithm": "SYMMETRIC_DEFAULT"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333",
"sharedEventID": "dc129381-1d94-49bd-b522-f56a3482d088"
}
```
------
#### [ DescribeKey ]
SES utilizza l'`DescribeKey`operazione per verificare se la chiave gestita AWS KMS dal cliente associata alla risorsa esiste nell'account e nella regione.
L’evento di esempio seguente registra l’operazione `DescribeKey`:
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2021-04-22T17:02:00Z"
}
},
"invokedBy": "ses.amazonaws.com"
},
"eventTime": "2021-04-22T17:07:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DescribeKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "172.12.34.56",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"keyId": "00dd0db0-0000-0000-ac00-b0c000SAMPLE"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333"
}
```
------
## Ulteriori informazioni
Le seguenti risorse forniscono ulteriori informazioni sulla crittografia dei dati a riposo.
+ Per ulteriori informazioni su [Concetti base di AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html), consulta la *Guida per gli sviluppatori di AWS Key Management Service *.
+ Per ulteriori informazioni su [Best Practice di sicurezza per AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/best-practices.html) nella *Guida per sviluppatori di AWS Key Management Service *.