AWS Transit Gateway の暗号化サポート - Amazon VPC
Transit Gateway 暗号化のサポートと VPC 暗号化コントロール

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Transit Gateway の暗号化サポート

Transit Gateway での暗号化サポートを使用すると、Transit Gateway にアタッチされた VPCs 上のすべてのトラフィックに対してencryption-in-transitを適用できます。TGW で暗号化サポートが有効になっている場合、トランジットゲートウェイトラフィックは強制モードVPCs 間で暗号化されます。暗号化コントロールが有効になっていないか、モニターモードになっている VPCs へのトラフィックは、VPC の TGW アタッチメントまでのトラフィックを暗号化することが保証されます。さらに、トラフィックが VPC 内の に送信されるインスタンスによって異なります。

Transit Gateway 暗号化のサポートと VPC 暗号化コントロール

暗号化コントロールを使用すると、VPC 内のトラフィックフローの暗号化ステータスを監査し、VPC 上のすべてのトラフィックに対してencryption-in-transitを適用できます。VPC EC が強制される場合、その VPC 内のすべての Elastic Network Interface (ENI) は AWS Nitro 暗号化対応インスタンスにのみアタッチするように制限され、転送中のデータを暗号化する AWS サービスのみが EC 強制 VPC にアタッチできます。

TGW を介した VPCs 間のデータのエンドツーエンドの暗号化をサポートするには、VPC にアタッチされたトランジットゲートウェイで暗号化サポートも有効になっている必要があります。トランジットゲートウェイには、 AWS Nitro encryption-in-transit暗号化機能を有効にするオプションがあります。

暗号化サポートは既存のトランジットゲートウェイにのみ追加でき、作成中は追加できません。TGW が Encryption Support Enabled に移行すると、TGW またはアタッチメントにダウンタイムはありません。移行はシームレスで透過的であり、トラフィックはドロップされません。トランジットゲートウェイを変更して暗号化サポートを追加する手順については、「」を参照してくださいTransit Gateway の変更

要件

トランジットゲートウェイで暗号化サポートを有効にする前に、以下を確認してください。

  • Transit Gateway にアタッチされたすべての VPCsはモニターモードである必要があります

  • トランジットゲートウェイに Connect アタッチメントがない

  • トランジットゲートウェイにピアリングアタッチメントがない

  • トランジットゲートウェイに Network Firewall アタッチメントがない

  • トランジットゲートウェイに VPN コンセントレータアタッチメントがない

  • トランジットゲートウェイでセキュリティグループ参照が有効になっていない

  • トランジットゲートウェイでマルチキャスト機能が有効になっていない

注記

Transit Gateway で暗号化サポートを有効にして、暗号化コントロールが有効になっていVPCs 間のトラフィックを暗号化できます (モニターモードまたは強制モード)。VPCs がアタッチされている既存の TGWs で暗号化を有効にするには、TGW で暗号化サポートを有効にする前に、関連するすべての VPC でモニタリングモードで VPCs 暗号化制御を有効にする必要があります。TGW 暗号化サポートを有効にすると、準拠 VPCs を強制モードに変更できます。強制モードの未接続 VPCs は、暗号化サポートが有効になっている新しい TGW を介して接続できます。

暗号化サポートの状態

トランジットゲートウェイは、次のいずれかの暗号化状態を持つことができます。

  • enabling - トランジットゲートウェイは暗号化サポートを有効に中です。このプロセスが完了するまでに最大 14 日かかる場合があります。

  • enabled - トランジットゲートウェイで暗号化サポートが有効になっています。暗号化コントロールが適用された VPC アタッチメントを作成できます。

  • disabling - Transit Gateway は Encryption サポートを無効化中です。

  • 無効 - トランジットゲートウェイで暗号化のサポートは無効になっています。

Transit Gateway アタッチメントルール

Transit Gateway で Encryption サポートが有効になっている場合、次のアタッチメントルールが適用されます。

  • トランジットゲートウェイの暗号化状態が有効化または無効化されている場合、暗号化コントロールの強制モードまたは強制モードではない Direct Connect アタッチメント、VPN アタッチメント、VPC アタッチメントを作成できます。

  • トランジットゲートウェイの暗号化状態を有効にすると、任意の暗号化制御モードで VPC、Direct Connect アタッチメント、VPN アタッチメント、VPC アタッチメントを作成できます。

  • トランジットゲートウェイの暗号化状態が無効になっている場合、暗号化コントロールが適用された新しい VPC アタッチメントを作成することはできません。

  • 接続アタッチメント、ピアリングアタッチメント、セキュリティグループリファレンス、およびマルチキャスト機能は、暗号化サポートではサポートされていません。

互換性のない添付ファイルを作成しようとすると、API エラーで失敗します。