• La AWS Systems Manager CloudWatch dashboard non sarà più disponibile dopo il 30 aprile 2026. I clienti possono continuare a utilizzare la CloudWatch console Amazon per visualizzare, creare e gestire le proprie CloudWatch dashboard Amazon, proprio come fanno oggi. Per ulteriori informazioni, consulta la [documentazione di Amazon CloudWatch Dashboard](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html).
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Protezione dei dati in AWS Systems Manager
La protezione dei dati si riferisce alla protezione dei dati *in transito* (mentre viaggiano da e versoSystems Manager) e quando sono *inattivi* (mentre sono archiviati nei data AWS center).
Il modello di [responsabilità AWS condivisa (modello](https://aws.amazon.com/compliance/shared-responsibility-model/) di ) si applica alla protezione dei dati inAWS Systems Manager. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i Cloud AWS. L’utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. L’utente è inoltre responsabile della configurazione della protezione e delle attività di gestione per i Servizi AWS utilizzati. Per ulteriori informazioni sulla privacy dei dati, consulta [Domande frequenti sulla privacy dei dati](https://aws.amazon.com/compliance/data-privacy-faq/) . Per informazioni sulla protezione dei dati in Europa, consulta il [General Data Protection Regulation (GDPR) Center](https://aws.amazon.com/compliance/gdpr-center/).
Ai fini della protezione dei dati, ti consigliamo di proteggere Account AWS le credenziali e di configurare i singoli utenti con AWS IAM Identity Center or AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Suggeriamo, inoltre, di proteggere i dati nei seguenti modi:
+ Utilizza l’autenticazione a più fattori (MFA) con ogni account.
+ SSL/TLS Da utilizzare per comunicare con AWS le risorse. È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Configura l'API e la registrazione delle attività degli utenti con AWS CloudTrail. Per informazioni sull'utilizzo dei CloudTrail percorsi per acquisire AWS le attività, consulta [Lavorare con i CloudTrail percorsi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) nella *Guida per l'AWS CloudTrail utente*.
+ Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.
+ Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.
+ Se hai bisogno di moduli crittografici convalidati FIPS 140-3 per accedere AWS tramite un'interfaccia a riga di comando o un'API, usa un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Ti consigliamo di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo **Nome**. Ciò include quando lavori o Servizi AWS utilizzi la console, l'API Systems Manager o gli SDK. AWS CLI AWS I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Quando si fornisce un URL a un server esterno, suggeriamo vivamente di non includere informazioni sulle credenziali nell’URL per convalidare la richiesta al server.
## Crittografia dei dati
### Crittografia dei dati a riposo
**Parametri di Parameter Store**
I tipi di parametri che è possibile creare in Parameter Store, uno strumento di AWS Systems Manager, includono `String`, `StringList` e `SecureString`.
Tutti i parametri, indipendentemente dal tipo, sono crittografati sia in transito che a riposo. In transito, i parametri vengono crittografati utilizzando Transport Layer Security (TLS), per creare una connessione HTTPS sicura per le richieste API. A riposo, vengono crittografati con un Chiave di proprietà di AWS in AWS Key Management Service (AWS KMS). Per ulteriori informazioni sulla Chiave di proprietà di AWS crittografia, consulta [Chiavi di proprietà di AWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk)la *Guida per AWS Key Management Service gli sviluppatori*.
Il `SecureString` tipo offre opzioni di crittografia aggiuntive ed è consigliato per tutti i dati sensibili. È possibile scegliere tra i seguenti tipi di chiavi AWS KMS per crittografare e decrittografare il valore di un parametro `SecureString`:
+ Il Chiave gestita da AWS per il tuo account
+ Una chiave gestita dal cliente (CMK) che hai creato nel tuo account
+ Un CMK in un altro Account AWS che è stato condiviso con te
Per ulteriori informazioni sulla AWS KMS crittografia, consulta la [Guida per gli AWS Key Management Service sviluppatori](https://docs.aws.amazon.com/kms/latest/developerguide/).
**Contenuto nei bucket S3**
Come parte delle tue operazioni Systems Manager, puoi scegliere di caricare o archiviare i dati in uno o più bucket Amazon Simple Storage Service (Amazon S3).
Per informazioni sulla crittografia bucket S3, consulta [Protezione dei dati tramite crittografia](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingEncryption.html) e [Protezione dei dati in Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/DataDurability.html) nella *Guida per gli sviluppatori Amazon Simple Storage Service*.
Di seguito sono riportati i tipi di dati che puoi caricare o che sono stati archiviati nei bucket S3 come parte delle attività Systems Manager:
+ L'output dei comandi inRun Command, uno strumento in AWS Systems Manager
+ Pacchetti inDistributor, uno strumento in AWS Systems Manager
+ Login per l'operazione di applicazione delle patchPatch Manager, accesso a uno strumento AWS Systems Manager
+ Patch ManagerElenchi di override delle patch
+ Script o Ansible playbook da eseguire in un flusso di lavoro di runbook in Automation, uno strumento in AWS Systems Manager
+ Chef InSpecprofili da utilizzare con le scansioni in Compliance, uno strumento in AWS Systems Manager
+ AWS CloudTrail registri
+ La cronologia delle sessioni accedeSession Manager, uno strumento accede AWS Systems Manager
+ Rapporti daExplorer, uno strumento in entrata AWS Systems Manager
+ OpsData daOpsCenter, uno strumento in AWS Systems Manager
+ AWS CloudFormation modelli da utilizzare con i flussi di lavoro di automazione
+ Dati di conformità da una scansione di sincronizzazione dei dati di una risorsa
+ Output delle richieste per creare o modificare l'associazione in State Manager, uno strumento di AWS Systems Manager nei nodi gestiti.
+ Documenti di Systems Manager personalizzati (documenti SSM) che è possibile eseguire utilizzando il AWS Documento SSM gestito `AWS-RunDocument`
**CloudWatch Registra i gruppi di log**
Come parte delle tue Systems Manager operazioni, puoi scegliere di trasmettere i dati a uno o più gruppi di log di Amazon CloudWatch Logs.
Per informazioni sulla crittografia dei gruppi di log di CloudWatch Logs, [consulta Encrypt log data in CloudWatch Logs using AWS Key Management Service nella *Amazon CloudWatch Logs* User](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/encrypt-log-data-kms.html) Guide.
Di seguito sono riportati i tipi di dati che potresti aver trasmesso in streaming a un gruppo di log di CloudWatch Logs come parte delle tue attività: Systems Manager
+ L'output dei comandi di Run Command
+ L'output degli script eseguiti utilizzando l'operazione `aws:executeScript` in un runbook Automation
+ Log della cronologia delle sessioni di Session Manager
+ I log da SSM Agent sui tuoi nodi gestiti
### Crittografia dei dati in transito
Consigliamo di utilizzare un protocollo di crittografia quale Transport Layer Security (TLS) per eseguire la crittografia dei dati sensibili in transito tra i client e i nodi.
Systems Manager fornisce il seguente supporto per la crittografia dei dati in transito.
**Connessioni agli endpoint dell'API Systems Manager**
Gli endpoint API di Systems Manager supportano solo connessioni protette tramite HTTPS. Quando gestisci Systems Manager le risorse con l' Console di gestione AWS AWS SDK o l'Systems ManagerAPI, tutte le comunicazioni vengono crittografate con Transport Layer Security (TLS). Per un elenco completo degli endpoint API, consulta [Endpoint del Servizio AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html) nella *Riferimenti generali di Amazon Web Services*.
**Istanze gestite**
AWS fornisce connettività sicura e privata tra le istanze Amazon Elastic Compute Cloud (Amazon EC2). Inoltre, crittografiamo automaticamente il traffico in transito tra istanze supportate nello stesso cloud privato virtuale (VPC o in VPC con peering, utilizzando algoritmi AEAD con crittografia a 256 bit. Tale funzione di crittografia utilizza le funzionalità di offload dell'hardware sottostante e non ha alcun impatto sulle prestazioni della rete. Le istanze supportate sono: C5n, G4, I3en, M5dn, M5n, P3dn, R5dn e R5n.
**Sessioni di Session Manager**
Per impostazione predefinita, Session Manager utilizza TLS 1.3 per crittografare i dati delle sessioni trasmessi tra i computer locali di utenti nell'account e le istanze EC2. Puoi anche scegliere di crittografare ulteriormente i dati in transito utilizzando uno AWS KMS key che è stato creato in. AWS KMS AWS KMS la crittografia è disponibile per e per `Standard_Stream` `InteractiveCommands` i tipi di `NonInteractiveCommands` sessione.
**Accesso a Run Command**
Per impostazione predefinita, l'accesso remoto ai nodi mediante Run Command è crittografato utilizzando TLS 1.3 e le richieste per creare una connessione sono firmate utilizzando SigV4.
## Riservatezza del traffico Internet
Puoi utilizzare Amazon Virtual Private Cloud (Amazon VPC) per creare delimitatori tra le risorse nei nodi gestiti e nel traffico di controllo fra di esse, la rete on-premises e Internet. Per i dettagli, consulta la sezione [Migliora la sicurezza delle istanze EC2 utilizzando gli endpoint VPC per Systems Manager](setup-create-vpc.md).
Per ulteriori informazioni sulla sicurezza di Amazon Virtual Private Cloud, consulta [Riservatezza del traffico Internet in Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html) nella *Guida per l'utente di Amazon VPC*.