Dukungan Enkripsi untuk AWS Transit Gateway - Amazon VPC
Dukungan Enkripsi Transit Gateway dan Kontrol Enkripsi VPC

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Dukungan Enkripsi untuk AWS Transit Gateway

Dukungan Enkripsi pada Transit Gateway memungkinkan Anda menerapkan encryption-in-transit semua lalu lintas yang VPCs terpasang pada Gateway Transit Anda. Ketika dukungan Enkripsi diaktifkan pada TGW, lalu lintas gateway transit akan dienkripsi antara VPCs yang berada dalam mode Enforce. Lalu lintas VPCs yang tidak mengaktifkan Kontrol Enkripsi, atau dalam mode Monitor, TGW dijamin untuk mengenkripsi lalu lintas hingga lampiran TGW di VPC. Di luar itu, itu tergantung pada contoh lalu lintas dikirim ke dalam VPC.

Dukungan Enkripsi Transit Gateway dan Kontrol Enkripsi VPC

Kontrol Enkripsi memungkinkan Anda untuk mengaudit status enkripsi arus lalu lintas di VPC mereka dan kemudian menegakkan encryption-in-transit semua lalu lintas di VPC mereka. Ketika VPC EC diberlakukan, semua Antarmuka Jaringan Elastis (ENI) dalam VPC tersebut akan dibatasi untuk dilampirkan hanya ke instans yang mampu enkripsi AWS Nitro; dan hanya AWS layanan yang mengenkripsi data dalam perjalanan yang akan diizinkan untuk dilampirkan ke VPC yang diberlakukan EC.

Untuk mendukung enkripsi data ujung ke ujung antara VPCs melalui TGW, gateway transit yang dilampirkan ke VPC juga harus mengaktifkan Encryption Support. Transit gateway memberi Anda opsi untuk mengaktifkan encryption-in-transit kemampuan dengan menggunakan instance berkemampuan enkripsi AWS Nitro.

Anda hanya dapat menambahkan dukungan enkripsi ke gateway transit yang ada dan tidak saat Anda membuatnya. Saat TGW bertransisi ke Encryption Support Enabled, tidak akan ada downtime pada TGW atau lampiran. Migrasi mulus dan transparan tanpa lalu lintas yang dijatuhkan. Untuk langkah-langkah mengubah gateway transit untuk menambahkan Encryption Support, lihatMemodifikasi gateway transit.

Persyaratan

Sebelum mengaktifkan dukungan enkripsi pada gateway transit, pastikan bahwa:

  • Semua yang VPCs terpasang pada gateway transit harus dalam mode monitor

  • Gateway transit tidak memiliki lampiran Connect

  • Gerbang transit tidak memiliki lampiran Peering

  • Gateway transit tidak memiliki lampiran Network Firewall

  • Gateway transit tidak memiliki lampiran VPN Concentrator

  • Gateway transit tidak mengaktifkan referensi grup keamanan

  • Gateway transit tidak mengaktifkan fitur Multicast

catatan

Anda dapat mengaktifkan Dukungan Enkripsi di Transit Gateway untuk mengenkripsi lalu lintas di antara Anda VPCs yang memiliki kontrol enkripsi diaktifkan (baik dalam mode Monitor atau mode penerapan). Untuk mengaktifkan enkripsi TGWs yang ada yang telah VPCs melekat padanya, Anda perlu mengaktifkan Kontrol Enkripsi VPC di Mode Monitor di semua yang terkait VPCs sebelum mengaktifkan Dukungan Enkripsi di TGW. Setelah TGW Encryption Support diaktifkan, Anda kemudian dapat memodifikasi compliant VPCs ke mode Enforce. Tidak terhubung VPCs yang berada dalam mode penegakan dapat dihubungkan melalui TGW baru yang memiliki dukungan enkripsi diaktifkan.

Status Dukungan Enkripsi

Gateway transit dapat memiliki salah satu status enkripsi berikut:

  • mengaktifkan - Gateway transit sedang dalam proses mengaktifkan dukungan enkripsi. Proses ini bisa memakan waktu hingga 14 hari untuk menyelesaikannya.

  • diaktifkan - Dukungan enkripsi diaktifkan pada gateway transit. Anda dapat membuat lampiran VPC dengan Kontrol Enkripsi diberlakukan.

  • menonaktifkan - Gateway transit sedang dalam proses menonaktifkan dukungan Enkripsi.

  • dinonaktifkan - Dukungan enkripsi dinonaktifkan pada gateway transit.

Aturan lampiran Transit Gateway

Jika gateway transit mengaktifkan dukungan Enkripsi, aturan lampiran berikut berlaku:

  • Saat status enkripsi gateway transit diaktifkan atau dinonaktifkan, Anda dapat membuat lampiran Direct Connect, lampiran VPN, dan lampiran VPC yang tidak dalam mode Encryption Control yang diberlakukan atau ditegakkan.

  • Saat status enkripsi gateway transit diaktifkan, Anda dapat membuat lampiran VPC, Direct Connect, lampiran VPN, dan lampiran VPC dalam mode Kontrol Enkripsi apa pun.

  • Ketika status enkripsi gateway transit dinonaktifkan, Anda tidak dapat membuat lampiran VPC baru dengan kontrol Enkripsi diberlakukan.

  • Connect attachment, peering attachment, referensi grup keamanan, dan fitur multicast tidak didukung dengan Encryption Support.

Mencoba membuat lampiran yang tidak kompatibel akan gagal dengan kesalahan API.