Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Requisiti per la crittografia Amazon EBS
<a name="ebs-encryption-requirements"></a>

Prima di iniziare, verificare che i seguenti requisiti siano soddisfatti.

**Topics**
+ [Tipi di volumi supportati](#ebs-encryption-volume-types)
+ [Tipi di istanze supportati](#ebs-encryption_supported_instances)
+ [Autorizzazioni del per gli utenti](#ebs-encryption-permissions)
+ [Autorizzazioni per le istanze](#ebs-encryption-instance-permissions)

## Tipi di volumi supportati
<a name="ebs-encryption-volume-types"></a>

La crittografia è supportata da tutti i tipi di volume EBS. Sono previste le stesse prestazioni IOPS su volumi crittografati e su volumi non crittografati, con un effetto minimo sulla latenza. È possibile accedere ai volumi crittografati nello stesso modo in cui accedi a volumi non crittografati. La crittografia e la decrittografia sono gestite in modo trasparente e non richiedono alcuna operazione aggiuntiva da parte dell'utente o delle applicazioni.

## Tipi di istanze supportati
<a name="ebs-encryption_supported_instances"></a>

La crittografia Amazon EBS è disponibile su tutti i tipi di istanze di [generazione attuale](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html#current-gen-instances) [e precedente](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html#previous-gen-instances).

## Autorizzazioni del per gli utenti
<a name="ebs-encryption-permissions"></a>

Quando utilizzi una chiave KMS per la crittografia EBS, la policy delle chiavi KMS consente a qualsiasi utente con accesso alle AWS KMS azioni richieste di utilizzare questa chiave KMS per crittografare o decrittografare le risorse EBS. Per utilizzare la crittografia su EBS è necessario concedere agli utenti l'autorizzazione per richiamare le seguenti operazioni:
+ `kms:CreateGrant`
+ `kms:Decrypt`
+ `kms:DescribeKey`
+ `kms:GenerateDataKeyWithoutPlaintext`
+ `kms:ReEncrypt`

**Suggerimento**  
Per seguire il principio del privilegio minimo, non consentire l'accesso completo a `kms:CreateGrant`. Utilizza invece la chiave di `kms:GrantIsForAWSResource` condizione per consentire all'utente di creare concessioni sulla chiave KMS solo quando la concessione viene creata per conto dell'utente da un servizio, come mostrato nell'esempio seguente. AWS 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "kms:CreateGrant",
            "Resource": [
                "arn:aws:kms:us-east-2:123456789012:key/abcd1234-a123-456d-a12b-a123b4cd56ef"
            ],
            "Condition": {
                "Bool": {
                    "kms:GrantIsForAWSResource": true
                }
            }
        }
    ]
}
```

------

Per ulteriori informazioni, consulta [Consente l'accesso all' AWS account e abilita le politiche IAM](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-default-allow-root-enable-iam) nella sezione **Default key policy** della *AWS Key Management Service Developer* Guide.

## Autorizzazioni per le istanze
<a name="ebs-encryption-instance-permissions"></a>

Quando un'istanza tenta di interagire con un'AMI crittografata, un volume o uno snapshot, viene rilasciata la concessione di una chiave KMS al ruolo di sola identità dell'istanza. Il ruolo di sola identità è un ruolo IAM utilizzato dall'istanza per interagire con AMI crittografate, volumi o snapshot per conto dell'utente. 

Identity-only i ruoli non devono essere creati o eliminati manualmente e non hanno policy associate. Inoltre, non puoi accedere alle credenziali dei ruoli di sola identità.

**Nota**  
Identity-only i ruoli non vengono utilizzati dalle applicazioni sulla tua istanza per accedere ad altre risorse AWS KMS crittografate, come oggetti Amazon S3 o tabelle Dynamo DB. Queste operazioni vengono eseguite utilizzando le credenziali di un ruolo di istanza Amazon EC2 o AWS altre credenziali configurate sull'istanza.

Identity-only [i ruoli sono soggetti alle [politiche di controllo del servizio](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_scps.html) (SCP) e alle politiche chiave KMS.](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) Se una chiave SCP o KMS nega al ruolo di sola identità l'accesso a una chiave KMS, potresti non riuscire ad avviare istanze EC2 con volumi crittografati o utilizzare AMI crittografate o snapshot.

Se stai creando un SCP o una politica chiave che nega l'accesso in base alla posizione della rete utilizzando le chiavi`aws:SourceIp`,`aws:VpcSourceIp`, o `aws:SourceVpce` AWS global condition`aws:SourceVpc`, devi assicurarti che queste istruzioni non si applichino ai ruoli relativi alle sole istanze. Per esempi di policy, consulta [Esempi di policy del perimetro di dati](https://github.com/aws-samples/data-perimeter-policy-examples/tree/main).

Identity-only gli ARN di ruolo utilizzano il seguente formato:

```
arn:{{aws-partition}}:iam::{{account_id}}:role/aws:ec2-infrastructure/{{instance_id}}
```

Quando viene rilasciata una concessione di chiave a un'istanza, la concessione della chiave viene rilasciata alla sessione del ruolo assunto specifica per quell'istanza. L'ARN principale dell'assegnatario utilizza il seguente formato:

```
arn:{{aws-partition}}:sts::{{account_id}}:assumed-role/aws:ec2-infrastructure/{{instance_id}}
```