Supporto alla crittografia per AWS Transit Gateway - Amazon VPC
Supporto per la crittografia Transit Gateway e controllo della crittografia VPC

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Supporto alla crittografia per AWS Transit Gateway

L'Encryption Support on Transit Gateway consente encryption-in-transit di applicare tutto il traffico VPCs collegato al Transit Gateway. Quando il supporto per la crittografia è abilitato sul TGW, il traffico del gateway di transito verrà crittografato tra coloro VPCs che sono in modalità Enforce. Traffico verso il quale non sono attivati i controlli di crittografia o VPCs che è in modalità Monitor, TGW ha la garanzia di crittografare il traffico fino all'allegato TGW nel VPC. Inoltre, dipende dall'istanza a cui viene inviato il traffico nel VPC.

Supporto per la crittografia Transit Gateway e controllo della crittografia VPC

Encryption Controls consente di verificare lo stato di crittografia dei flussi di traffico nel VPC e quindi applicarlo encryption-in-transit per tutto il traffico sul VPC. Quando verrà applicato VPC EC, tutte le Elastic Network Interface (ENI) in quel VPC potranno collegarsi solo alle istanze con funzionalità di crittografia AWS Nitro; e solo i AWS servizi che crittografano i dati in transito potranno collegarsi al VPC applicato dalla CE.

Per supportare la crittografia end-to-end dei dati VPCs tramite il TGW, anche il gateway di transito collegato al VPC deve avere abilitato l'Encryption Support. Transit gateway offre la possibilità di abilitare le encryption-in-transit funzionalità utilizzando istanze con funzionalità di crittografia AWS Nitro.

Puoi aggiungere il supporto per la crittografia solo a un gateway di transito esistente e non durante la creazione di uno. Man mano che il TGW passerà a Encryption Support Enabled, non ci saranno tempi di inattività sul TGW o sugli allegati. La migrazione è semplice e trasparente senza interruzioni di traffico. Per i passaggi per modificare un gateway di transito per aggiungere Encryption Support, vedereModificare un gateway di transito.

Requisiti

Prima di abilitare il supporto per la crittografia su un gateway di transito, assicuratevi che:

  • Tutti i VPCs dispositivi collegati al gateway di transito devono essere in modalità di monitoraggio

  • Il gateway di transito non dispone di allegati Connect

  • Il gateway di transito non dispone di allegati Peering

  • Il gateway di transito non dispone di allegati Network Firewall

  • Il gateway di transito non dispone di allegati VPN Concentrator

  • Il gateway di transito non ha i riferimenti ai gruppi di sicurezza abilitati

  • Il gateway di transito non ha le funzionalità Multicast abilitate

Nota

È possibile abilitare Encryption Support su un Transit Gateway per crittografare il traffico tra utenti VPCs che hanno i controlli di crittografia attivati (in modalità Monitor o Enforce). Per abilitare la crittografia sugli elementi esistenti TGWs VPCs collegati, è necessario abilitare i controlli di crittografia VPC in modalità Monitor in tutti gli ambienti associati VPCs prima di abilitare Encryption Support sul TGW. Una volta abilitato TGW Encryption Support, è possibile modificare la conformità VPCs in modalità Enforce. I dispositivi non connessi VPCs che sono in modalità Enforce possono essere collegati tramite un nuovo TGW con supporto di crittografia abilitato.

Stati di Encryption Support

Un gateway di transito può avere uno dei seguenti stati di crittografia:

  • attivazione: il gateway di transito sta abilitando il supporto per la crittografia. Il completamento di questo processo può richiedere fino a 14 giorni.

  • abilitato: il supporto per la crittografia è abilitato sul gateway di transito. È possibile creare allegati VPC con Encryption Control Enforced.

  • disabilitazione: il gateway di transito sta disabilitando il supporto per la crittografia.

  • disabilitato: il supporto per la crittografia è disabilitato sul gateway di transito.

Regole di collegamento del Transit Gateway

Quando un gateway di transito ha il supporto per la crittografia abilitato, si applicano le seguenti regole per gli allegati:

  • Quando lo stato di crittografia del gateway di transito è abilitato o disabilitato, è possibile creare allegati Direct Connect, allegati VPN e allegati VPC non in modalità Encryption Control applicata o applicata.

  • Quando lo stato di crittografia del gateway di transito è abilitato, è possibile creare VPC, allegati Direct Connect, allegati VPN e allegati VPC in qualsiasi modalità di Encryption Control.

  • Quando lo stato di crittografia del gateway di transito è disabilitato, non è possibile creare nuovi allegati VPC con il controllo di crittografia applicato.

  • Gli allegati Connect, gli allegati di peering, i riferimenti ai gruppi di sicurezza e le funzionalità multicast non sono supportati con Encryption Support.

Il tentativo di creare allegati incompatibili fallirà e verrà generato un errore API.