Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Crittografa automaticamente i volumi Amazon EBS esistenti e nuovi
<a name="automatically-encrypt-existing-and-new-amazon-ebs-volumes"></a>

*Tony DeMarco e Josh Joy, Amazon Web Services*

## Riepilogo
<a name="automatically-encrypt-existing-and-new-amazon-ebs-volumes-summary"></a>

La crittografia dei volumi di Amazon Elastic Block Store (Amazon EBS) è importante per la strategia di protezione dei dati di un'organizzazione. È un passo importante nella creazione di un ambiente ben architettato. Sebbene non esista un modo diretto per crittografare i volumi o le istantanee EBS non crittografati esistenti, è possibile crittografarli creando un nuovo volume o un'istantanea. Per ulteriori informazioni, [consulta le risorse di Encrypt EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-parameters) nella documentazione di Amazon EC2 . Questo modello fornisce controlli preventivi e investigativi per crittografare i volumi EBS, sia nuovi che esistenti. In questo modello, si configurano le impostazioni dell'account, si creano processi di riparazione automatizzati e si implementano i controlli di accesso.

## Prerequisiti e limitazioni
<a name="automatically-encrypt-existing-and-new-amazon-ebs-volumes-prereqs"></a>

**Prerequisiti**
+ Un account Amazon Web Services (AWS) attivo
+ [AWS Command Line Interface (AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)), installata e configurata su macOS, Linux o Windows
+ [jq](https://stedolan.github.io/jq/download/), installato e configurato su macOS, Linux o Windows
+ Vengono fornite le autorizzazioni AWS Identity and Access Management (IAM) per avere accesso in lettura e scrittura ad AWS, CloudFormation Amazon Elastic Compute Cloud (Amazon EC2), AWS Systems Manager, AWS Config e AWS Key Management Service (AWS KMS)
+ AWS Organizations è configurato con tutte le funzionalità abilitate, un requisito per le politiche di controllo del servizio
+ AWS Config è abilitato negli account di destinazione

**Limitazioni**
+ **Nell'account AWS di destinazione non devono esserci regole AWS Config denominate encrypted-volumes.** Questa soluzione implementa una regola con questo nome. Le regole preesistenti con questo nome possono causare il fallimento della distribuzione e comportare costi inutili relativi all'elaborazione della stessa regola più di una volta.
+ Questa soluzione crittografa tutti i volumi EBS con la stessa chiave AWS KMS.
+ Se abiliti la crittografia dei volumi EBS per l'account, questa impostazione è specifica della regione. Se lo abiliti per una regione AWS, non puoi disabilitarlo per singoli volumi o snapshot in quella regione. Per ulteriori informazioni, consulta [Encryption by default](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default) nella EC2 documentazione di Amazon.
+ Quando ripristini volumi EBS esistenti non crittografati, assicurati che l' EC2 istanza non sia in uso. Questa automazione spegne l'istanza per scollegare il volume non crittografato e collegare quello crittografato. Si verificano tempi di inattività durante la riparazione. Se si tratta di un'infrastruttura fondamentale per la tua organizzazione, assicurati che siano presenti configurazioni [manuali](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/scenarios-enis.html#create-a-low-budget-high-availability-solution) o [automatiche](https://docs.aws.amazon.com/autoscaling/ec2/userguide/what-is-amazon-ec2-auto-scaling.html) ad alta disponibilità in modo da non influire sulla disponibilità delle applicazioni in esecuzione sull'istanza. Si consiglia di ripristinare le risorse critiche solo durante le finestre di manutenzione standard.

## Architecture
<a name="automatically-encrypt-existing-and-new-amazon-ebs-volumes-architecture"></a>

**Workflow di automazione**

![\[Diagramma di architettura di alto livello che mostra il processo e i servizi di automazione\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/images/pattern-img/484fd5fe-e10a-41f6-aafe-260ea824883b/images/483f551c-ca1d-4c1e-b3c7-989df7d3b059.png)


1. AWS Config rileva un volume EBS non crittografato.

1. Un amministratore utilizza AWS Config per inviare un comando di riparazione a Systems Manager.

1. L'automazione Systems Manager scatta un'istantanea del volume EBS non crittografato.

1. L'automazione Systems Manager utilizza AWS KMS per creare una copia crittografata dello snapshot.

1. L'automazione Systems Manager esegue le seguenti operazioni:

   1. Arresta l' EC2 istanza interessata se è in esecuzione

   1. Allega la nuova copia crittografata del volume all'istanza EC2 

   1. Riporta l' EC2 istanza allo stato originale

## Tools (Strumenti)
<a name="automatically-encrypt-existing-and-new-amazon-ebs-volumes-tools"></a>

**Servizi AWS**
+ [AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html): l'AWS Command Line Interface (AWS CLI) fornisce accesso diretto alle interfacce di programmazione delle applicazioni pubbliche APIs () dei servizi AWS. Puoi esplorare le funzionalità di un servizio con l'AWS CLI e sviluppare script di shell per gestire le tue risorse. Oltre ai comandi equivalenti alle API di basso livello, diversi servizi AWS forniscono personalizzazioni per l'AWS CLI. Le personalizzazioni possono includere comandi di livello più elevato che semplificano l'utilizzo di un servizio con un'API complessa.
+ [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html): AWS CloudFormation è un servizio che ti aiuta a modellare e configurare le tue risorse AWS. Crei un modello che descrive tutte le risorse AWS che desideri (come EC2 le istanze Amazon) e fornisce e CloudFormation configura tali risorse per te.
+ [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html): AWS Config fornisce una visualizzazione dettagliata della configurazione delle risorse AWS nel tuo account AWS. Questo include le relazioni tra le risorse e la maniera in cui sono state configurate in passato, in modo che tu possa vedere come le configurazioni e le relazioni cambiano nel corso del tempo.
+ [Amazon EC2](https://docs.aws.amazon.com/ec2/?id=docs_gateway) — Amazon Elastic Compute Cloud (Amazon EC2) è un servizio Web che fornisce una capacità di calcolo ridimensionabile da utilizzare per creare e ospitare i sistemi software.
+ [AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) — AWS Key Management Service (AWS KMS) è un servizio di crittografia e gestione delle chiavi scalato per il cloud. Le chiavi e le funzionalità di AWS KMS vengono utilizzate da altri servizi AWS e puoi utilizzarle per proteggere i dati nel tuo ambiente AWS.
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) — AWS Organizations è un servizio di gestione degli account che consente di consolidare più account AWS in un'organizzazione da creare e gestire centralmente.
+ [AWS Systems Manager Automation](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html) — Systems Manager Automation semplifica le attività comuni di manutenzione e distribuzione per EC2 le istanze Amazon e altre risorse AWS.

**Altri servizi**
+ [jq](https://stedolan.github.io/jq/download/) — jq è un processore JSON a riga di comando leggero e flessibile. Questo strumento viene utilizzato per estrarre informazioni chiave dall'output della CLI di AWS.

**Codice**
+ Il codice per questo pattern è disponibile nell'archivio delle chiavi KMS dei [clienti per la correzione GitHub automatica dei volumi EBS non crittografati](https://github.com/aws-samples/aws-system-manager-automation-unencrypted-to-encrypted-resources/tree/main/ebs).

## Epiche
<a name="automatically-encrypt-existing-and-new-amazon-ebs-volumes-epics"></a>

### Automatizza la riparazione dei volumi non crittografati
<a name="automate-remediation-of-unencrypted-volumes"></a>


| Operazione | Description | Competenze richieste | 
| --- | --- | --- | 
| Scarica script e CloudFormation modelli. | Scarica lo script di shell, il file JSON e i CloudFormation modelli dall'archivio di chiavi KMS del GitHub [cliente per la correzione automatica dei volumi EBS non crittografati](https://github.com/aws-samples/aws-system-manager-automation-unencrypted-to-encrypted-resources/tree/main/ebs). | Amministratore AWS, AWS generale | 
| Identifica l'amministratore per la chiave AWS KMS. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/automatically-encrypt-existing-and-new-amazon-ebs-volumes.html) | Amministratore AWS, AWS generale | 
| Implementa il modello Stack1 CloudFormation . | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/automatically-encrypt-existing-and-new-amazon-ebs-volumes.html)Per ulteriori informazioni sulla distribuzione di un CloudFormation modello, consulta [Working with AWS CloudFormation templates](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/template-guide.html) nella CloudFormation documentazione. | Amministratore AWS, AWS generale | 
| Implementa il modello Stack2 CloudFormation . | In CloudFormation, distribuisci il modello. `Stack2.yaml` Tieni presente i seguenti dettagli di distribuzione:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/automatically-encrypt-existing-and-new-amazon-ebs-volumes.html) | Amministratore AWS, AWS generale | 
| Crea un volume non crittografato per il test. | Crea un' EC2 istanza con un volume EBS non crittografato. Per istruzioni, consulta [Creare un volume Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-creating-volume.html) nella EC2 documentazione di Amazon. Il tipo di istanza non ha importanza e l'accesso all'istanza non è necessario. Puoi creare un'istanza t2.micro per rimanere nel livello gratuito e non è necessario creare una key pair. | Amministratore AWS, AWS generale | 
| Testa la regola AWS Config. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/automatically-encrypt-existing-and-new-amazon-ebs-volumes.html)È possibile visualizzare l'avanzamento e lo stato della riparazione in Systems Manager come segue:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/automatically-encrypt-existing-and-new-amazon-ebs-volumes.html) | Amministratore AWS, AWS generale | 
| Configura account o regioni AWS aggiuntivi. | Se necessario per il tuo caso d'uso, ripeti questa epopea per eventuali account o regioni AWS aggiuntivi. | Amministratore AWS, AWS generale | 

### Abilita la crittografia a livello di account dei volumi EBS
<a name="enable-account-level-encryption-of-ebs-volumes"></a>


| Operazione | Description | Competenze richieste | 
| --- | --- | --- | 
| Esegui lo script di abilitazione. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/automatically-encrypt-existing-and-new-amazon-ebs-volumes.html) | Amministratore AWS, AWS generale, bash | 
| Conferma che le impostazioni siano aggiornate. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/automatically-encrypt-existing-and-new-amazon-ebs-volumes.html) | Amministratore AWS, AWS generale | 
| Configura account o regioni AWS aggiuntivi. | Se necessario per il tuo caso d'uso, ripeti questa epopea per eventuali account o regioni AWS aggiuntivi. | Amministratore AWS, AWS generale | 

### Impedisci la creazione di istanze non crittografate
<a name="prevent-creation-of-unencrypted-instances"></a>


| Operazione | Description | Competenze richieste | 
| --- | --- | --- | 
| Crea una politica di controllo del servizio. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/automatically-encrypt-existing-and-new-amazon-ebs-volumes.html) | Amministratore AWS, AWS generale | 

## Risorse correlate
<a name="automatically-encrypt-existing-and-new-amazon-ebs-volumes-resources"></a>

**Documentazione del servizio AWS**
+ [AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html)
+ [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)
+ [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)
+ [Amazon EC2](https://docs.aws.amazon.com/ec2/?id=docs_gateway)
+ [AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)
+ [AWS Systems Manager Automation](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html)

**Altre risorse**
+ [manuale jq (sito](https://stedolan.github.io/jq/manual/) web jq)
+ [scarica jq ()](https://github.com/stedolan/jq) GitHub