Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Protezione dei dati in ROSA
La [Panoramica delle responsabilità per ROSA](rosa-responsibilities.md) documentazione e il [modello di responsabilitàAWS condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) definiscono la protezione dei dati in ROSA. AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i Cloud AWS. Red Hat è responsabile della protezione dell'infrastruttura del cluster e della piattaforma di servizio sottostante. Il cliente è responsabile del mantenimento del controllo sui contenuti ospitati su questa infrastruttura. Questo contenuto include le attività di configurazione e gestione della sicurezza per Servizi AWS ciò che utilizzi. Per ulteriori informazioni sulla privacy dei dati, consulta [Domande frequenti sulla privacy dei dati](https://aws.amazon.com/compliance/data-privacy-faq). Per ulteriori informazioni sulla protezione dei dati, consulta il post del blog [Modello di responsabilità condivisa di AWS e GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr) sul *Blog della sicurezza di AWS .*
Ai fini della protezione dei dati, ti consigliamo di proteggere Account AWS le credenziali e configurare i singoli utenti con AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Suggeriamo, inoltre, di proteggere i dati nei seguenti modi:
+ Utilizza l’autenticazione a più fattori (MFA) con ogni account.
+ SSL/TLS Utilizzatelo per comunicare con AWS le risorse. È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Configura l'API e la registrazione delle attività degli utenti con AWS CloudTrail.
+ Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.
+ Utilizza servizi di sicurezza gestiti avanzati come Amazon Macie, che aiutano a scoprire e proteggere i dati sensibili archiviati in. Amazon S3
+ Se hai bisogno di moduli crittografici convalidati FIPS 140-2 per l'accesso AWS tramite un'interfaccia a riga di comando o un'API, utilizza un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il [Federal Information Processing Standard (FIPS) 140-2](https://aws.amazon.com/compliance/fips/).
Consigliamo di non inserire mai informazioni identificative sensibili, ad esempio i numeri di account dei clienti, in campi a formato libero come un campo **Nome**. Ciò include quando lavori ROSA o Servizi AWS utilizzi la console, l'API o. AWS CLI AWS SDKs Tutti i dati che inserisci ROSA o altri servizi potrebbero essere raccolti per essere inclusi nei registri di diagnostica. Quando fornisci un URL a un server esterno, non includere informazioni sulle credenziali nell'URL per convalidare la tua richiesta a tale server.
**Topics**
+ [Crittografia dei dati](data-protection-encryption.md)
# Protezione dei dati tramite crittografia
La protezione dei dati si riferisce alla protezione dei dati in transito (mentre viaggiano da e verso ROSA) e a riposo (mentre sono archiviati su dischi nei data AWS center).
Servizio Red Hat OpenShift su AWS fornisce un accesso sicuro a Amazon Elastic Block Store (Amazon EBS) volumi di storage collegati alle Amazon EC2 istanze per il piano di ROSA controllo, l'infrastruttura e i nodi di lavoro, nonché ai volumi persistenti Kubernetes per lo storage persistente. ROSA crittografa i dati di volume a riposo e in transito e utilizza AWS Key Management Service (AWS KMS) per proteggere i dati crittografati. Il servizio utilizza l'archiviazione del registro delle immagini dei container, che Amazon S3 per impostazione predefinita è crittografata a riposo.
**Importante**
ROSA Because è un servizio gestito AWS e Red Hat gestisce l'infrastruttura che ROSA utilizza. I clienti non devono tentare di chiudere manualmente le Amazon EC2 istanze ROSA utilizzate dalla AWS console o dalla CLI. Questa azione può portare alla perdita dei dati dei clienti.
## Crittografia dei dati per Amazon EBS volumi di archiviazione supportati
Servizio Red Hat OpenShift su AWS utilizza il framework Kubernetes persistent volume (PV) per consentire agli amministratori del cluster di fornire un cluster con storage persistente. I volumi persistenti, così come il piano di controllo, l'infrastruttura e i nodi di lavoro, sono supportati da Amazon Elastic Block Store (Amazon EBS) volumi di storage collegati alle istanze. Amazon EC2
Per i volumi e i nodi ROSA persistenti supportati da Amazon EBS, le operazioni di crittografia avvengono sui server che ospitano le istanze EC2, garantendo la sicurezza sia dei dati inattivi che dei dati in transito tra un'istanza e lo storage collegato. Per ulteriori informazioni, consulta la [Amazon EBS crittografia nella Guida](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption.html) per l'* Amazon EC2 utente*.
### Crittografia dei dati per il driver Amazon EBS CSI e il driver Amazon EFS CSI
ROSA per impostazione predefinita utilizza il Amazon EBS driver CSI per il provisioning dello storage. Amazon EBS Il driver Amazon EBS CSI e Amazon EBS CSI Driver Operator sono installati nel cluster per impostazione predefinita nel namespace. `openshift-cluster-csi-drivers` Il driver e l'operatore Amazon EBS CSI consentono di effettuare il provisioning dinamico di volumi persistenti e di creare istantanee di volume.
ROSA è anche in grado di effettuare il provisioning di volumi persistenti utilizzando il driver CSI e Amazon EFS CSI Driver Operator. Amazon EFS Il Amazon EFS driver e l'operatore consentono inoltre di condividere i dati del file system tra i pod o con altre applicazioni all'interno o all'esterno di Kubernetes.
I dati di volume sono protetti in transito sia per il driver CSI che per il driver Amazon EBS CSI. Amazon EFS Per maggiori informazioni, consulta [Using Container Storage Interface (CSI)](https://access.redhat.com/documentation/en-us/red_hat_openshift_service_on_aws/4/html/storage/using-container-storage-interface-csi) nella documentazione di Red Hat.
**Importante**
Durante il provisioning dinamico di volumi ROSA persistenti utilizzando il driver Amazon EFS CSI, nella valutazione delle autorizzazioni del file system, Amazon EFS considera l'ID utente, l'ID di gruppo (GID) e il gruppo secondario IDs del punto di accesso. Amazon EFS sostituisce l'utente e il gruppo IDs sui file con l'utente e il gruppo sul punto di accesso e ignora il client IDs NFS. IDs Di conseguenza, ignora Amazon EFS silenziosamente le impostazioni. `fsGroup` ROSA non è in grado di sostituire i GIDs file utilizzando. `fsGroup` Qualsiasi pod in grado di accedere a un punto di Amazon EFS accesso montato può accedere a qualsiasi file sul volume. Per ulteriori informazioni, vedete [Lavorare con i punti di Amazon EFS accesso](https://docs.aws.amazon.com/efs/latest/ug/efs-access-points.html) nella *Guida Amazon EFS per l'utente*.
### crittografia etcd
ROSA offre la possibilità di abilitare la crittografia dei valori `etcd` chiave all'interno del `etcd` volume durante la creazione del cluster, aggiungendo un ulteriore livello di crittografia. Una volta `etcd` crittografato, si verificherà un sovraccarico di prestazioni aggiuntivo di circa il 20%. Ti consigliamo di abilitare la `etcd` crittografia solo se la richiedi specificamente per il tuo caso d'uso. Per ulteriori informazioni, vedere la [crittografia etcd](https://access.redhat.com/documentation/en-us/red_hat_openshift_service_on_aws/4/html/introduction_to_rosa/policies-and-service-definition#rosa-sdpolicy-etcd-encryption_rosa-service-definition) nella definizione del ROSA servizio.
### Gestione delle chiavi
ROSA utilizza KMS keys per gestire in modo sicuro i volumi di dati del piano di controllo, dell'infrastruttura e dei lavoratori e i volumi persistenti per le applicazioni dei clienti. Durante la creazione del cluster, è possibile scegliere di utilizzare la chiave AWS gestita predefinita KMS key fornita da Amazon EBS o specificare la propria chiave gestita dal cliente. Per ulteriori informazioni, consulta [Crittografia dei dati tramite KMS](data-protection-key-management.md).
## Crittografia dei dati per il registro delle immagini integrato
ROSA fornisce un registro di immagini del contenitore integrato per archiviare, recuperare e condividere le immagini dei contenitori tramite Amazon S3 bucket storage. Il registro è configurato e gestito dall' OpenShift Image Registry Operator. Fornisce agli utenti una out-of-the-box soluzione per gestire le immagini che eseguono i loro carichi di lavoro e funziona sulla base dell'infrastruttura cluster esistente. Per ulteriori informazioni, consultate [Registry](https://docs.redhat.com/en/documentation/red_hat_openshift_service_on_aws/4/html/registry/index) nella documentazione di Red Hat.
ROSA offre registri di immagini pubblici e privati. Per le applicazioni aziendali, consigliamo di utilizzare un registro privato per proteggere le immagini dall'utilizzo da parte di utenti non autorizzati. Per proteggere i dati del registro quando sono inattivi, per impostazione predefinita ROSA utilizza la crittografia lato server con chiavi Amazon S3 gestite (SSE-S3). Questa operazione non richiede alcuna azione da parte dell'utente ed è offerta senza costi aggiuntivi. *Per ulteriori informazioni, vedere [Protezione dei dati mediante la crittografia lato server con chiavi di crittografia Amazon S3 gestite (SSE-S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html) nella Guida per l'utente. Amazon S3 *
ROSA utilizza il protocollo Transport Layer Security (TLS) per proteggere i dati in transito da e verso il registro delle immagini. Per ulteriori informazioni, consultate [Registry](https://docs.redhat.com/en/documentation/red_hat_openshift_service_on_aws/4/html/registry/index) nella documentazione di Red Hat.
## Riservatezza del traffico Internet
Servizio Red Hat OpenShift su AWS usa Amazon Virtual Private Cloud (Amazon VPC) per creare confini tra le risorse del ROSA cluster e controllare il traffico tra queste, la rete locale e Internet. Per ulteriori informazioni sulla Amazon VPC sicurezza, consulta la sezione [Privacy del traffico Internet Amazon VPC nella Guida](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html) per l'* Amazon VPC utente*.
All'interno del VPC, puoi configurare ROSA i cluster per utilizzare un server proxy HTTP o HTTPS per negare l'accesso diretto a Internet. Se sei un amministratore del cluster, puoi anche definire politiche di rete a livello di pod che limitino il traffico di rete ai pod del cluster. ROSA Per ulteriori informazioni, consulta [Sicurezza dell'infrastruttura in ROSA](infrastructure-security.md).
# Crittografia dei dati tramite KMS
ROSA utilizza AWS KMS per gestire in modo sicuro le chiavi per i dati crittografati. I volumi del piano di controllo, dell'infrastruttura e dei nodi di lavoro sono crittografati per impostazione predefinita utilizzando la funzionalità AWS gestita KMS key fornita da Amazon EBS. Questo KMS key ha l'alias`aws/ebs`. Anche i volumi persistenti che utilizzano la classe di archiviazione gp3 predefinita vengono crittografati di default utilizzando questo. KMS key
ROSA I cluster appena creati sono configurati per utilizzare la classe di archiviazione gp3 predefinita per crittografare i volumi persistenti. I volumi persistenti creati utilizzando qualsiasi altra classe di archiviazione vengono crittografati solo se la classe di archiviazione è configurata per essere crittografata. Per maggiori informazioni sulle classi di storage ROSA predefinite, consultate [Configurazione dello storage persistente nella documentazione di](https://access.redhat.com/documentation/en-us/red_hat_openshift_service_on_aws/4/html/storage/configuring-persistent-storage#persistent-storage-aws) Red Hat.
Durante la creazione del cluster, è possibile scegliere di crittografare i volumi persistenti presenti nel cluster utilizzando la chiave Amazon EBS fornita di default, oppure specificare una soluzione simmetrica gestita dal cliente. KMS key*Per ulteriori informazioni sulla creazione di chiavi, consulta [Creazione di chiavi KMS di crittografia simmetrica](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) nella Guida per gli sviluppatori. AWS KMS *
È inoltre possibile crittografare i volumi persistenti per singoli contenitori all'interno di un cluster definendo un. KMS key Ciò è utile quando si dispone di linee guida esplicite di conformità e sicurezza durante la distribuzione in. AWS Per maggiori informazioni, [consulta Encrypting container persistent volumes on AWS with KMS key a nella documentazione di](https://access.redhat.com/documentation/en-us/red_hat_openshift_service_on_aws/4/html/storage/configuring-persistent-storage#aws-container-persistent-volumes-encrypt_persistent-storage-aws) Red Hat.
I seguenti punti devono essere considerati quando si crittografano volumi persistenti utilizzando i propri: KMS keys
+ Quando utilizzi la crittografia KMS con la tua KMS key, la chiave deve esistere nello Regione AWS stesso del cluster.
+ La creazione e l'utilizzo di una soluzione personalizzata KMS keys comportano un costo. Per ulteriori informazioni, consultare [Prezzi di AWS Key Management Service](https://aws.amazon.com/kms/pricing/).