Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
AWS Site-to-Site VPN options d'authentification du tunnel
Vous pouvez utiliser des clés ou des certificats pré-partagés pour authentifier les points de terminaison de votre tunnel Site-to-Site VPN.
Clés prépartagées
Une clé pré-partagée (PSK) est l'option d'authentification par défaut pour les tunnels Site-to-Site VPN. Lorsque vous créez un tunnel, vous pouvez soit spécifier votre propre PSK, soit autoriser AWS à en générer un automatiquement pour vous. Le PSK est stocké selon l'une des méthodes suivantes :
-
Directement dans le service Site-to-Site VPN. Pour de plus amples informations, veuillez consulter AWS Site-to-Site VPN dispositifs de passerelle client.
-
AWS Secrets Manager Pour une sécurité renforcée. Pour plus d'informations sur l'utilisation de Secrets Manager pour stocker un PSK, consultezFonctionnalités de sécurité améliorées grâce à Secrets Manager.
La chaîne PSK est ensuite utilisée lors de la configuration de votre dispositif de passerelle client.
Certificat privé de AWS Private Certificate Authority
Si vous ne souhaitez pas utiliser de clés prépartagées, vous pouvez utiliser un certificat privé provenant de AWS Private Certificate Authority pour authentifier votre VPN.
Vous devez créer un certificat privé à partir d'une autorité de certification subordonnée à l'aide d' AWS Private Certificate Authority (Autorité de certification privée AWS). Pour signer l'autorité de certification subordonnée ACM, vous pouvez utiliser une autorité de certification racine ACM ou une autorité de certification externe. Pour de plus amples informations sur la création d'un certificat privé, veuillez consulter Création et gestion d'une autorité de certification privée dans le Guide de l'utilisateur AWS Private Certificate Authority .
Vous devez créer un rôle lié à un service pour générer et utiliser le certificat du AWS côté du point de terminaison du tunnel Site-to-Site VPN. Pour de plus amples informations, veuillez consulter Rôles liés à un service pour le VPN Site-to-Site.
Note
Pour faciliter les rotations de certification fluides, tout certificat doté de la même chaîne d'autorité de certification que celle initialement spécifiée dans l'appel d'CreateCustomerGatewayAPI est suffisant pour établir une connexion VPN.
Si vous ne spécifiez pas l'adresse IP de votre périphérique de passerelle client, nous ne vérifions pas l'adresse IP. Cette opération vous permet de déplacer le périphérique de passerelle client vers une adresse IP différente sans avoir à reconfigurer la connexion VPN.
Site-to-Site Le VPN effectue la vérification de la chaîne de certificats sur le certificat de la passerelle client lorsque vous créez un certificat VPN. Outre les contrôles d'autorité de certification et de validité de base, le Site-to-Site VPN vérifie si les extensions X.509 sont présentes, notamment l'identifiant de clé d'autorité, l'identifiant de clé d'objet et les contraintes de base.
