Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Crittografia dei dati a riposo
<a name="encryption-at-rest"></a>

La crittografia a riposo crittografa i dati archiviati nel file system EFS. Ciò consente di soddisfare i requisiti di conformità e proteggere i dati sensibili dall'accesso non autorizzato. L'organizzazione potrebbe richiedere la crittografia di tutti i dati che soddisfano una classificazione specifica o sono associati a una particolare applicazione, carico di lavoro o ambiente.

**Nota**  
L'infrastruttura di gestione delle AWS chiavi utilizza algoritmi crittografici approvati dal Federal Information Processing Standards (FIPS) 140-3. L'infrastruttura è compatibile con le raccomandazioni National Institute of Standards and Technology (NIST) 800-57.

Quando crei un file system utilizzando la console Amazon EFS, la crittografia a riposo è abilitata per impostazione predefinita. Quando utilizzi AWS CLI l'API o SDKs per creare un file system, devi abilitare esplicitamente la crittografia. 

Dopo aver creato un file system EFS, non è possibile modificarne l'impostazione di crittografia. Ciò significa che non è possibile modificare un file system non crittografato per renderlo crittografato. È invece possibile [replicare il file system](efs-replication.md) per copiare i dati dal file system non crittografato a un nuovo file system crittografato. Per ulteriori informazioni, vedi [Come posso attivare la crittografia a riposo per un file system EFS esistente?](https://repost.aws/knowledge-center/efs-turn-on-encryption-at-rest)

## Come funziona la crittografia dei dati memorizzati su disco
<a name="howencrypt"></a>

In un file system crittografato, i dati e i metadati vengono crittografati per impostazione predefinita prima di essere scritti sullo storage e vengono decrittografati automaticamente durante la lettura. Questi processi sono gestiti in modo trasparente da Amazon EFS, quindi non è necessario modificare le applicazioni.

Amazon EFS utilizza AWS KMS per la gestione delle chiavi quanto segue:
+ **Crittografia dei dati dei file**: il contenuto dei file viene crittografato utilizzando la chiave KMS specificata. Questo può essere uno dei seguenti:
  + L'opzione predefinita Chiave di proprietà di AWS per Amazon EFS (`aws/elasticfilesystem`), senza costi aggiuntivi.
  + Una chiave gestita dal cliente che puoi creare e gestire: fornisce funzionalità di controllo e audit aggiuntive.
+ **Crittografia dei metadati**: i nomi dei file, i nomi delle directory e il contenuto delle directory vengono crittografati utilizzando una chiave gestita internamente da Amazon EFS.

### Processo di crittografia
<a name="encryption-atrest-process"></a>

Quando un file system viene creato o replicato su un file system nello stesso account, Amazon EFS utilizza una [Forward Access Session (FAS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html) per effettuare chiamate KMS utilizzando le credenziali del chiamante. Nei CloudTrail log, la `kms:CreateGrant` chiamata sembra essere effettuata dalla stessa identità utente che ha creato il file system o la replica. Puoi identificare le chiamate al servizio Amazon EFS cercando il `invokedBy` campo con il valore`elasticfilesystem.amazonaws.com`. CloudTrail La politica delle risorse sulla chiave KMS deve consentire a FAS di effettuare la chiamata. `CreateGrant` 

**Importante**  
Gestisci il controllo della concessione e puoi revocarla in qualsiasi momento. La revoca della concessione impedisce ad Amazon EFS di accedere alla chiave KMS per operazioni future. *Per ulteriori informazioni, consulta [Ritiro e revoca](https://docs.aws.amazon.com/kms/latest/developerguide/grant-delete.html) delle sovvenzioni nella Guida per gli sviluppatori.AWS Key Management Service * .

Quando si utilizzano chiavi KMS gestite dal cliente, la politica delle risorse deve consentire anche il servizio principale di Amazon EFS e includere la `kms:ViaService` condizione per limitare l'accesso all'endpoint di servizio specifico. Esempio:

```
"kms:ViaService":
    "elasticfilesystem.us-east-2.amazonaws.com"
```

Amazon EFS utilizza l'algoritmo di crittografia AES-256 standard di settore per crittografare dati e metadati inattivi. 

Per ulteriori informazioni sulle politiche chiave KMS per Amazon EFS, consulta[Utilizzo AWS KMS delle chiavi per Amazon EFS](EFSKMS.md).

## Applicazione della crittografia a riposo per i nuovi file system
<a name="enforce-encryption-at-rest"></a>

Puoi utilizzare la chiave di condizione `elasticfilesystem:Encrypted` IAM nelle policy basate sull'identità AWS Identity and Access Management (IAM) per imporre la creazione a riposo quando gli utenti creano file system EFS. Per ulteriori informazioni su come utilizzare la chiave di condizione, consulta [Esempio: applicazione della creazione di file system crittografati](security_iam_id-based-policy-examples.md#using-iam-to-enforce-encryption-at-rest).

Puoi anche definire policy di controllo del servizio (SCPs) all'interno AWS Organizations per applicare la crittografia Amazon EFS per tutti i membri Account AWS della tua organizzazione. Per ulteriori informazioni sulle politiche di controllo del servizio in AWS Organizations, consulta le [politiche di controllo dei servizi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html#orgs_manage_policies_scp) nella *Guida per l'AWS Organizations utente*.