Soporte de cifrado para AWS Transit Gateway - Amazon VPC
Transit Gateway Encryption Support y control de cifrado de VPC

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Soporte de cifrado para AWS Transit Gateway

Los controles de cifrado le permiten auditar el estado de cifrado de los flujos de tráfico de la VPC y, a continuación, encryption-in-transit aplicarlo a todo el tráfico de la VPC. Cuando el control de cifrado de la VPC esté en modo obligatorio, todas las interfaces de red elásticas (ENI) de esa VPC estarán restringidas para conectarse únicamente a instancias con capacidad de cifrado de AWS Nitro; y solo los AWS servicios que cifran datos en tránsito podrán conectarse a la VPC forzada por Encryption Controls. Para obtener más información sobre los controles de cifrado de VPC, consulte esta documentación.

Transit Gateway Encryption Support y control de cifrado de VPC

El soporte de cifrado de Transit Gateway te permite controlar encryption-in-transit el tráfico entre VPCs conexiones a una Transit Gateway. Deberá activar manualmente Encryption Support en Transit Gateway mediante el modify-transit-gatewaycomando para cifrar el VPCs tráfico entre. Una vez activado, todo el tráfico atravesará los enlaces cifrados al 100% entre los VPCs que estén en modo Enforce (sin exclusiones) a través de Transit Gateway. También puedes conectarte VPCs si no tienes los controles de cifrado activados o si estás en modo Monitor a través de una Transit Gateway que tenga activado el soporte de cifrado. En este escenario, se garantiza que Transit Gateway cifra el tráfico hasta el adjunto de Transit Gateway en la VPC que no se ejecuta en modo obligatorio. Más allá de eso, depende de la instancia a la que se envía el tráfico en la VPC que no se ejecuta en modo de aplicación.

Solo puedes añadir soporte de cifrado a una pasarela de tránsito existente y no mientras estás creando una. A medida que la Transit Gateway pase al estado Encryption Support Enabled, no habrá tiempo de inactividad en la Transit Gateway ni en los archivos adjuntos. La migración es fluida y transparente, sin que se interrumpa el tráfico. Para conocer los pasos para modificar una pasarela de tránsito para añadir Encryption Support, consulteModificar un puerta de enlace de tránsito.

Requisitos

Antes de habilitar la compatibilidad con el cifrado en una pasarela de tránsito, asegúrese de que:

  • La pasarela de transporte público no tiene archivos adjuntos de Connect

  • La pasarela de transporte público no tiene archivos adjuntos de interconexión

  • La puerta de enlace de tránsito no tiene adjuntos de Network Firewall

  • La puerta de enlace de tránsito no tiene archivos adjuntos a un concentrador VPN

  • La pasarela de tránsito no tiene habilitadas las referencias a grupos de seguridad

  • La pasarela de tránsito no tiene habilitadas las funciones de multidifusión

Estados de Encryption Support

Una pasarela de tránsito puede tener uno de los siguientes estados de cifrado:

  • activación: la puerta de enlace de tránsito está habilitando el soporte de cifrado. Este proceso puede tardar hasta 14 días en completarse.

  • activado: la compatibilidad con el cifrado está habilitada en la pasarela de tránsito. Puede crear adjuntos de VPC con el control de cifrado aplicado.

  • inhabilitación: la pasarela de tránsito está inhabilitando la compatibilidad con el cifrado.

  • deshabilitado: el soporte de cifrado está deshabilitado en la pasarela de tránsito.

Reglas de anclaje de Transit Gateway

Cuando una pasarela de tránsito tiene habilitada la compatibilidad con el cifrado, se aplican las siguientes reglas de adjuntos:

  • Cuando el estado de cifrado de la puerta de enlace de tránsito esté activado o desactivado, puede crear adjuntos de Direct Connect, adjuntos de VPN y adjuntos de VPC que no estén en el modo obligatorio o obligatorio del Control de cifrado.

  • Cuando el estado de cifrado de la puerta de enlace de tránsito está habilitado, puede crear archivos adjuntos de VPC, archivos adjuntos de Direct Connect, archivos adjuntos de VPN y archivos adjuntos de VPC en cualquier modo de control de cifrado.

  • Cuando el estado de cifrado de la puerta de enlace de tránsito está deshabilitado, no puede crear nuevos adjuntos de VPC con el control de cifrado impuesto.

  • Encryption Support no admite los adjuntos de Connect, los adjuntos de interconexión, las referencias a grupos de seguridad y las funciones de multidifusión.

Si se intenta crear archivos adjuntos incompatibles, se producirá un error en la API.