Suporte de criptografia para AWS Transit Gateway - Amazon VPC
Suporte à criptografia do Transit Gateway e controle de criptografia VPC

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Suporte de criptografia para AWS Transit Gateway

O suporte à criptografia no Transit Gateway permite que você encryption-in-transit aplique todo o tráfego VPCs conectado ao Transit Gateway. Quando o suporte à criptografia está ativado no TGW, o tráfego do gateway de trânsito será criptografado entre aqueles VPCs que estão no modo Enforce. O tráfego para VPCs o qual não tem controles de criptografia ativados ou está no modo Monitor, o TGW tem a garantia de criptografar o tráfego até o anexo do TGW na VPC. Além disso, depende da instância para a qual o tráfego está sendo enviado na VPC.

Suporte à criptografia do Transit Gateway e controle de criptografia VPC

Os controles de criptografia permitem que você audite o status de criptografia dos fluxos de tráfego em sua VPC e, em seguida, aplique encryption-in-transit para todo o tráfego em sua VPC. Quando a VPC EC for aplicada, todas as interfaces de rede elástica (ENI) nessa VPC ficarão restritas à conexão somente a instâncias com capacidade de criptografia AWS Nitro; e somente AWS serviços que criptografam dados em trânsito poderão se conectar à VPC aplicada pela EC.

Para oferecer suporte à criptografia de ponta a ponta dos dados VPCs por meio do TGW, o gateway de trânsito conectado à VPC também deve ter o Encryption Support ativado. O Transit Gateway oferece a opção de ativar encryption-in-transit recursos usando instâncias com capacidade de criptografia AWS Nitro.

Você só pode adicionar suporte à criptografia a um gateway de trânsito existente e não ao criar um. À medida que o TGW fizer a transição para o Encryption Support Enabled, não haverá tempo de inatividade no TGW ou nos anexos. A migração é perfeita e transparente, sem perda de tráfego. Para obter as etapas para modificar um gateway de trânsito para adicionar o Encryption Support, consulteModificar um gateway de trânsito.

Requisitos

Antes de ativar o suporte à criptografia em um gateway de trânsito, certifique-se de que:

  • Todos VPCs conectados ao gateway de trânsito devem estar no modo monitor

  • O gateway de trânsito não tem anexos Connect

  • O gateway de trânsito não tem anexos de emparelhamento

  • O gateway de trânsito não tem anexos do Firewall de Rede

  • O gateway de trânsito não tem anexos do VPN Concentrator

  • O gateway de trânsito não tem referências de grupos de segurança habilitadas

  • O gateway de trânsito não tem recursos de multicast habilitados

nota

Você pode habilitar o Encryption Support em um Transit Gateway para criptografar o tráfego entre seus VPCs que têm controles de criptografia ativados (no modo Monitor ou no modo Force). Para habilitar a criptografia em dispositivos existentes TGWs que estejam VPCs conectados a ela, você precisa ativar os controles de criptografia de VPC no modo de monitor em todos os associados VPCs antes de ativar o Encryption Support no TGW. Depois que o TGW Encryption Support estiver ativado, você poderá modificar a conformidade VPCs para o modo Enforce. Os desconectados VPCs que estão no modo obrigatório podem ser conectados por meio de um novo TGW com suporte à criptografia ativado.

Estados do Encryption Support

Um gateway de trânsito pode ter um dos seguintes estados de criptografia:

  • ativação - O gateway de trânsito está habilitando o suporte à criptografia. Esse processo pode levar até 14 dias para ser concluído.

  • ativado - O suporte à criptografia está ativado no gateway de trânsito. Você pode criar anexos de VPC com o controle de criptografia aplicado.

  • desativando - O gateway de trânsito está desativando o suporte à criptografia.

  • desativado - O suporte à criptografia está desativado no gateway de trânsito.

Regras de anexação do Transit Gateway

Quando um gateway de trânsito tem o suporte à criptografia ativado, as seguintes regras de anexo se aplicam:

  • Quando o estado de criptografia do Transit Gateway está ativado ou desativado, você pode criar anexos do Direct Connect, anexos VPN e anexos de VPC que não estejam no modo obrigatório ou obrigatório do Controle de Criptografia.

  • Quando o estado de criptografia do gateway de trânsito está ativado, você pode criar anexos VPC, Direct Connect, VPN e VPC em qualquer modo de controle de criptografia.

  • Quando o estado de criptografia do gateway de trânsito está desativado, você não pode criar novos anexos de VPC com o controle de criptografia aplicado.

  • Os anexos do Connect, os anexos de emparelhamento, as referências de grupos de segurança e os recursos de multicast não são compatíveis com o Encryption Support.

A tentativa de criar anexos incompatíveis falhará com um erro de API.