AWS Transit Gateway の暗号化サポート - Amazon VPC
Transit Gateway 暗号化のサポートと VPC 暗号化コントロール

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Transit Gateway の暗号化サポート

暗号化コントロールを使用すると、VPC 内のトラフィックフローの暗号化ステータスを監査し、VPC 内のすべてのトラフィックに対してencryption-in-transitを適用できます。VPC 暗号化コントロールが強制モードの場合、その VPC 内のすべての Elastic Network Interface (ENI) は AWS Nitro 暗号化対応インスタンスにのみアタッチするように制限され、転送中のデータを暗号化する AWS サービスのみが暗号化コントロール強制 VPC にアタッチできます。VPC 暗号化コントロールの詳細については、このドキュメントを参照してください。

Transit Gateway 暗号化のサポートと VPC 暗号化コントロール

Transit Gateway での暗号化サポートを使用すると、Transit Gateway にアタッチされた VPCs 間のトラフィックに対してencryption-in-transitを適用できます。VPCs 間のトラフィックを暗号化するには、modify-transit-gateway コマンドを使用して Transit Gateway で暗号化サポートを手動でアクティブ化する必要があります。有効にすると、すべてのトラフィックは、Transit Gateway を介して強制モード (除外なし) の VPCs 間の 100% 暗号化されたリンクを通過します。暗号化コントロールが有効になっていない VPCs を接続することもできます。このシナリオでは、Transit Gateway は、強制モードで実行されていない VPC の Transit Gateway アタッチメントまでのトラフィックを暗号化することが保証されます。さらに、トラフィックが強制モードで実行されていない VPC で送信されるインスタンスによって異なります。

暗号化サポートは既存のトランジットゲートウェイにのみ追加でき、作成中は追加できません。Transit Gateway が Encryption Support Enabled 状態に移行すると、Transit Gateway またはアタッチメントにダウンタイムはありません。移行はシームレスで透過的であり、トラフィックはドロップされません。トランジットゲートウェイを変更して暗号化サポートを追加する手順については、「」を参照してくださいTransit Gateway の変更

要件

トランジットゲートウェイで暗号化サポートを有効にする前に、以下を確認してください。

  • トランジットゲートウェイに Connect アタッチメントがない

  • トランジットゲートウェイにピアリングアタッチメントがない

  • トランジットゲートウェイに Network Firewall アタッチメントがない

  • トランジットゲートウェイに VPN コンセントレータアタッチメントがない

  • トランジットゲートウェイでセキュリティグループ参照が有効になっていない

  • トランジットゲートウェイでマルチキャスト機能が有効になっていない

暗号化サポートの状態

トランジットゲートウェイは、次のいずれかの暗号化状態を持つことができます。

  • enabling - トランジットゲートウェイは暗号化サポートを有効に中です。このプロセスが完了するまでに最大 14 日かかる場合があります。

  • enabled - トランジットゲートウェイで暗号化サポートが有効になっています。暗号化コントロールが適用された VPC アタッチメントを作成できます。

  • disabling - Transit Gateway は Encryption サポートを無効化中です。

  • 無効 - トランジットゲートウェイで暗号化のサポートは無効になっています。

Transit Gateway アタッチメントルール

Transit Gateway で Encryption サポートが有効になっている場合、次のアタッチメントルールが適用されます。

  • トランジットゲートウェイの暗号化状態が有効化または無効化されている場合、暗号化コントロールの強制モードまたは強制モードではない Direct Connect アタッチメント、VPN アタッチメント、VPC アタッチメントを作成できます。

  • トランジットゲートウェイの暗号化状態を有効にすると、任意の暗号化制御モードで VPC、Direct Connect アタッチメント、VPN アタッチメント、VPC アタッチメントを作成できます。

  • トランジットゲートウェイの暗号化状態が無効になっている場合、暗号化コントロールが適用された新しい VPC アタッチメントを作成することはできません。

  • 接続アタッチメント、ピアリングアタッチメント、セキュリティグループリファレンス、およびマルチキャスト機能は、暗号化サポートではサポートされていません。

互換性のない添付ファイルを作成しようとすると、API エラーで失敗します。