Support de chiffrement pour AWS Transit Gateway - Amazon VPC
Support du chiffrement Transit Gateway et contrôle du chiffrement VPC

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Support de chiffrement pour AWS Transit Gateway

Le support de chiffrement sur Transit Gateway vous permet de l'appliquer encryption-in-transit à tout le trafic VPCs rattaché à votre Transit Gateway. Lorsque le support de chiffrement est activé sur le TGW, le trafic de la passerelle de transit est crypté entre ceux VPCs qui sont en mode Enforce. Le trafic vers VPCs lequel les contrôles de chiffrement ne sont pas activés ou qui sont en mode moniteur est assuré que TGW cryptera le trafic jusqu'à la pièce jointe TGW dans le VPC. Au-delà de cela, cela dépend de l'instance vers laquelle le trafic est envoyé dans le VPC.

Support du chiffrement Transit Gateway et contrôle du chiffrement VPC

Encryption Controls vous permet d'auditer l'état de chiffrement des flux de trafic dans leur VPC, puis de l'appliquer encryption-in-transit à l'ensemble du trafic sur leur VPC. Lorsque le VPC EC sera appliqué, toutes les interfaces réseau élastiques (ENI) de ce VPC ne pourront être associées qu'aux instances compatibles avec le chiffrement AWS Nitro ; et seuls les AWS services qui chiffrent les données en transit seront autorisés à se connecter au VPC imposé par EC.

Pour prendre en charge le chiffrement de bout en VPCs bout des données entre le TGW, le support de chiffrement doit également être activé sur la passerelle de transit attachée au VPC. Transit Gateway vous offre la possibilité d'activer des encryption-in-transit fonctionnalités en utilisant des instances compatibles avec le chiffrement AWS Nitro.

Vous ne pouvez ajouter la prise en charge du chiffrement qu'à une passerelle de transit existante, et non pendant que vous en créez une. Lorsque le TGW passe à Encryption Support Enabled, il n'y aura aucune interruption de service sur le TGW ou sur les pièces jointes. La migration est fluide et transparente, sans perte de trafic. Pour les étapes à suivre pour modifier une passerelle de transit afin d'ajouter le support de chiffrement, voirModifier une passerelle de transit.

Prérequis

Avant d'activer le support de chiffrement sur une passerelle de transit, assurez-vous que :

  • Tous les VPCs éléments connectés à la passerelle de transit doivent être en mode moniteur

  • La passerelle de transit ne possède pas de pièces jointes Connect

  • La passerelle de transit ne possède pas de pièces jointes Peering

  • La passerelle de transit ne possède pas de pièces jointes Network Firewall

  • La passerelle de transit ne possède pas de pièces jointes au concentrateur VPN

  • Les références de groupe de sécurité ne sont pas activées sur la passerelle de transit

  • Les fonctionnalités de multidiffusion ne sont pas activées sur la passerelle de transit

Note

Vous pouvez activer le Support de chiffrement sur un Transit Gateway pour chiffrer le trafic entre vos appareils VPCs dont les contrôles de chiffrement sont activés (en mode Monitor ou en mode Enforce). Pour activer le chiffrement sur les appareils existants TGWs qui VPCs y sont attachés, vous devez activer les contrôles de chiffrement VPC en mode moniteur dans tous les appareils associés VPCs avant d'activer le Support de chiffrement sur le TGW. Une fois que TGW Encryption Support est activé, vous pouvez passer en mode Conformité VPCs en mode Enforce. Les personnes non connectées VPCs qui sont en mode Enforce peuvent être connectées via un nouveau TGW dont le support de chiffrement est activé.

Support du chiffrement : États

Une passerelle de transit peut avoir l'un des états de chiffrement suivants :

  • activation - La passerelle de transit est en train d'activer la prise en charge du chiffrement. Ce processus peut prendre jusqu'à 14 jours.

  • activé - La prise en charge du chiffrement est activée sur la passerelle de transit. Vous pouvez créer des pièces jointes VPC en appliquant le contrôle du chiffrement.

  • désactivation : la passerelle de transit est en train de désactiver la prise en charge du chiffrement.

  • désactivé - La prise en charge du chiffrement est désactivée sur la passerelle de transit.

Règles de fixation du Transit Gateway

Lorsque la prise en charge du chiffrement est activée sur une passerelle de transit, les règles de pièces jointes suivantes s'appliquent :

  • Lorsque l'état de chiffrement de la passerelle de transit est activé ou désactivé, vous pouvez créer des pièces jointes Direct Connect, des pièces jointes VPN et des pièces jointes VPC qui ne sont pas en mode Encryption Control appliqué ou en mode d'application.

  • Lorsque l'état de chiffrement de la passerelle de transit est activé, vous pouvez créer des pièces jointes VPC, Direct Connect, VPN et VPC dans n'importe quel mode de contrôle du chiffrement.

  • Lorsque l'état de chiffrement de la passerelle de transit est désactivé, vous ne pouvez pas créer de nouvelles pièces jointes VPC avec le contrôle de chiffrement appliqué.

  • Connect les pièces jointes, les pièces jointes de peering, les références aux groupes de sécurité et les fonctionnalités de multidiffusion ne sont pas prises en charge par le support de chiffrement.

Toute tentative de création de pièces jointes incompatibles échouera avec une erreur d'API.