# Crittografia dei dati a riposo [La crittografia dei dati a riposo](https://d1.awsstatic.com/whitepapers/AWS_Securing_Data_at_Rest_with_Encryption.pdf) è fondamentale per soddisfare la conformità alle normative e per garantire la protezione dei dati. Aiuta a garantire che i dati sensibili archiviati sui dischi non siano leggibili da utenti o applicazione senza una chiave valida. AWS offre diverse opzioni per la crittografia a riposo e la gestione delle chiavi di crittografia. Come, ad esempio, la possibilità di crittografare i dati arbitrari utilizzando il Kit SDK di crittografia AWS con una chiave di migrazione certificabile (CMK) creata e gestita in AWS KMS. I dati crittografati possono essere archiviati in modo sicuro a riposo e decrittografati solo da una parte che dispone delle autorizzazioni per accedere alla CMK. AWS CloudTrail ti consente di usufruire di dati riservati crittografati in busta, di gestire le autorizzazioni e la crittografia autenticata attraverso meccanismi di policy e di registrare le verifiche. Alcuni dei servizi di AWS Foundation offrono funzionalità di crittografia a riposo integrate, che permettono di crittografare i dati prima che vengano scritti su una risorsa di archiviazione non volatile. Ad esempio, è possibile crittografare volumi Amazon EBS e configurare bucket S3 per la crittografia lato server (SSE) usando la crittografia AES-256. Amazon S3 supporta anche la *crittografia lato client*, che consente di crittografare i dati prima di inviarli ad Amazon S3. Gli SDK AWS supportano la crittografia lato client, che semplifica le operazioni di crittografia e decrittografia degli oggetti. Amazon RDS supporta anche la crittografia dei dati trasparente (TDE). È possibile crittografare i dati negli archivi di istanze Amazon EC2 Linux utilizzando librerie Linux integrate. Questo metodo consente di crittografare i file in modo trasparente, proteggendo i dati riservati. Di conseguenza, le applicazioni che trattano i dati ignorano il livello di criptazione del disco. È possibile utilizzare due metodi per crittografare i file negli archivi di istanze: + **Crittografia a livello di disco**: consiste nella crittografia dell'intero disco, o di un blocco al suo interno, utilizzando una o più chiavi di crittografia. La crittografia del disco opera al di sotto del livello di file system, non si basa su un sistema operativo specifico e nasconde informazioni su directory e file come nome e dimensione. La crittografia del disco viene fornita, ad esempio, da Encrypting File System, un'estensione Microsoft di New Technology File System (NTFS) del sistema operativo Windows NT. + **Crittografia a livello di file system**: con questo metodo, vengono crittografati i file e le directory ma non l'intero disco o la partizione. La crittografia a livello di file system opera su file system ed è trasferibile da un sistema operativo all’altro. Per i [volumi di archiviazione di istanze SSD](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ssd-instance-store.html) NVMe (Non-Volatile Memory Express), *la crittografia a livello di disco* è l'opzione predefinita. I dati sull'archiviazione dell'istanza NVMe sono crittografati utilizzando un codice di cifratura a blocchi XTS-AES-256 implementato tramite un modulo hardware sull'istanza. Le chiavi crittografiche sono generate utilizzando il modulo hardware e sono univoche per ciascun dispositivo di storage dell'istanza NVMe. Quando l'istanza viene arrestata o terminata, tutte le chiavi crittografiche vengono distrutte e non possono essere ripristinate. Non è possibile utilizzare le proprie chiavi di crittografia.