Verschlüsselungsunterstützung für AWS Transit Gateway - Amazon VPC
Transit Gateway Gateway-Verschlüsselungsunterstützung und VPC-Verschlüsselungssteuerung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verschlüsselungsunterstützung für AWS Transit Gateway

Mit der Verschlüsselungsunterstützung auf dem Transit Gateway können Sie encryption-in-transit den gesamten an Ihr Transit Gateway VPCs angeschlossenen Datenverkehr durchsetzen. Wenn die Verschlüsselungsunterstützung auf dem TGW aktiviert ist, wird der Transit-Gateway-Verkehr zwischen den Transit-Gateway-Geräten verschlüsselt VPCs , die sich im Enforce-Modus befinden. Für den Datenverkehr VPCs , für den die Verschlüsselungssteuerung nicht aktiviert ist oder der sich im Überwachungsmodus befindet, verschlüsselt TGW garantiert den Datenverkehr bis zum TGW-Anhang in der VPC. Darüber hinaus hängt es von der Instance ab, an die der Traffic in der VPC gesendet wird.

Transit Gateway Gateway-Verschlüsselungsunterstützung und VPC-Verschlüsselungssteuerung

Mit Encryption Controls können Sie den Verschlüsselungsstatus der Verkehrsflüsse in ihrer VPC überprüfen und dann encryption-in-transit für den gesamten Datenverkehr in ihrer VPC durchsetzen. Wenn VPC EC durchgesetzt wird, werden alle Elastic Network Interfaces (ENI) in dieser VPC darauf beschränkt, nur Verbindungen zu Instances herzustellen, die AWS Nitro-Verschlüsselung unterstützen. Und nur AWS Dienste, die Daten während der Übertragung verschlüsseln, dürfen eine Verbindung zu EC-erzwungener VPC herstellen.

Um die Ende-zu-Ende-Verschlüsselung von Daten zwischen Daten VPCs über den TGW zu unterstützen, sollte für das an die VPC angeschlossene Transit-Gateway auch die Verschlüsselungsunterstützung aktiviert sein. Das Transit Gateway bietet Ihnen die Möglichkeit, encryption-in-transit Funktionen mithilfe von Instances mit AWS Nitro-Verschlüsselung zu aktivieren.

Sie können Verschlüsselungsunterstützung nur zu einem vorhandenen Transit-Gateway hinzufügen und nicht, während Sie eines erstellen. Wenn der TGW auf Encryption Support Enabled umgestellt wird, wird es keine Ausfallzeiten auf dem TGW oder den Anhängen geben. Die Migration ist nahtlos und transparent, ohne dass der Datenverkehr unterbrochen wird. Die Schritte zum Ändern eines Transit-Gateways, um Verschlüsselungsunterstützung hinzuzufügen, finden Sie unterÄndern eines Transit Gateways.

Voraussetzungen

Bevor Sie die Verschlüsselungsunterstützung auf einem Transit-Gateway aktivieren, stellen Sie sicher, dass:

  • Alle VPCs an das Transit-Gateway angeschlossenen Geräte müssen sich im Überwachungsmodus befinden

  • Das Transit-Gateway hat keine Connect-Anlagen

  • Das Transit-Gateway hat keine Peering-Anhänge

  • Das Transit-Gateway hat keine Netzwerkfirewall-Anhänge

  • Das Transit-Gateway hat keine VPN Concentrator-Anhänge

  • Für das Transit-Gateway sind keine Sicherheitsgruppenreferenzen aktiviert

  • Für das Transit-Gateway sind keine Multicast-Funktionen aktiviert

Anmerkung

Sie können die Verschlüsselungsunterstützung auf einem Transit Gateway aktivieren, um den Verkehr zwischen Ihnen zu verschlüsseln, bei VPCs denen die Verschlüsselungssteuerung aktiviert ist (entweder im Überwachungsmodus oder im Erzwingungsmodus). Um TGWs die Verschlüsselung auf vorhandenen Geräten zu aktivieren, die damit VPCs verbunden sind, müssen Sie VPC Encryption Controls im Überwachungsmodus in allen zugehörigen Dateien aktivieren, VPCs bevor Sie die Verschlüsselungsunterstützung auf dem TGW aktivieren. Sobald TGW Encryption Support aktiviert ist, können Sie die Option „Konformität“ in den Modus „ VPCs Erzwingen“ ändern. Unverbundene Benutzer VPCs , die sich im Erzwingungsmodus befinden, können über ein neues TGW verbunden werden, für das die Verschlüsselungsunterstützung aktiviert ist.

Status der Verschlüsselungsunterstützung

Ein Transit-Gateway kann einen der folgenden Verschlüsselungsstatus haben:

  • aktivieren — Das Transit-Gateway aktiviert gerade die Verschlüsselungsunterstützung. Es kann bis zu 14 Tage dauern, bis dieser Vorgang abgeschlossen ist.

  • aktiviert — Die Verschlüsselungsunterstützung ist auf dem Transit-Gateway aktiviert. Sie können VPC-Anlagen mit erzwungener Encryption Control erstellen.

  • Deaktivierung — Das Transit-Gateway ist dabei, die Verschlüsselungsunterstützung zu deaktivieren.

  • deaktiviert — Die Verschlüsselungsunterstützung ist auf dem Transit-Gateway deaktiviert.

Regeln für Dateianhänge in Transit Gateway

Wenn für ein Transit-Gateway die Verschlüsselungsunterstützung aktiviert ist, gelten die folgenden Verbindungsregeln:

  • Wenn der Verschlüsselungsstatus des Transit-Gateways aktiviert oder deaktiviert ist, können Sie Direct Connect-Anlagen, VPN-Anlagen und VPC-Anlagen erstellen, die sich nicht im Modus Encryption Control Enforced oder Enforced befinden.

  • Wenn der Verschlüsselungsstatus des Transit-Gateways aktiviert ist, können Sie VPC-, Direct Connect-Anlagen, VPN-Anlagen und VPC-Anlagen in jedem Encryption Control-Modus erstellen.

  • Wenn der Verschlüsselungsstatus des Transit-Gateways deaktiviert ist, können Sie keine neuen VPC-Anlagen mit erzwungener Verschlüsselungskontrolle erstellen.

  • Connect-Anlagen, Peering-Anlagen, Sicherheitsgruppenverweise und Multicast-Funktionen werden von Encryption Support nicht unterstützt.

Der Versuch, inkompatible Anhänge zu erstellen, schlägt mit einem API-Fehler fehl.