Suporte de criptografia para AWS Transit Gateway - Amazon VPC
Suporte à criptografia do Transit Gateway e controle de criptografia VPC

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Suporte de criptografia para AWS Transit Gateway

O Encryption Controls permite que você audite o status de criptografia dos fluxos de tráfego em sua VPC e, em seguida, aplique encryption-in-transit para todo o tráfego dentro da VPC. Quando o VPC Encryption Control estiver no modo obrigatório, todas as interfaces de rede elástica (ENI) nessa VPC estarão restritas a serem anexadas somente a instâncias com capacidade de criptografia AWS Nitro; e somente AWS serviços que criptografam dados em trânsito poderão se conectar à VPC aplicada pelo Encryption Controls. Para obter mais informações sobre os controles de criptografia de VPC, consulte esta documentação.

Suporte à criptografia do Transit Gateway e controle de criptografia VPC

O suporte à criptografia no Transit Gateway permite que você imponha encryption-in-transit o tráfego entre VPCs conectados a um Transit Gateway. Você precisará ativar manualmente o Encryption Support no Transit Gateway usando o modify-transit-gatewaycomando para criptografar o tráfego entre o. VPCs Uma vez ativado, todo o tráfego atravessará links 100% criptografados entre os VPCs que estão no modo Enforce (sem exclusões) por meio do Transit Gateway. Você também pode se conectar sem VPCs os Controles de Criptografia ativados ou no modo Monitor por meio de um Transit Gateway que tenha o Encryption Support ativado. Nesse cenário, é garantido que o Transit Gateway criptografe o tráfego até o anexo do Transit Gateway na VPC, não sendo executado no modo obrigatório. Além disso, depende da instância para a qual o tráfego está sendo enviado na VPC e não está sendo executada no modo obrigatório.

Você só pode adicionar suporte à criptografia a um gateway de trânsito existente e não ao criar um. À medida que o Transit Gateway fizer a transição para o estado Encryption Support Enabled, não haverá tempo de inatividade no Transit Gateway ou nos anexos. A migração é perfeita e transparente, sem perda de tráfego. Para obter as etapas para modificar um gateway de trânsito para adicionar o Encryption Support, consulteModificar um gateway de trânsito.

Requisitos

Antes de ativar o suporte à criptografia em um gateway de trânsito, certifique-se de que:

  • O gateway de trânsito não tem anexos Connect

  • O gateway de trânsito não tem anexos de emparelhamento

  • O gateway de trânsito não tem anexos do Firewall de Rede

  • O gateway de trânsito não tem anexos do VPN Concentrator

  • O gateway de trânsito não tem referências de grupos de segurança habilitadas

  • O gateway de trânsito não tem recursos de multicast habilitados

Estados do Encryption Support

Um gateway de trânsito pode ter um dos seguintes estados de criptografia:

  • habilitação - O gateway de trânsito está habilitando o suporte à criptografia. Esse processo pode levar até 14 dias para ser concluído.

  • ativado - O suporte à criptografia está ativado no gateway de trânsito. Você pode criar anexos de VPC com o Controle de Criptografia aplicado.

  • desativando - O gateway de trânsito está desativando o suporte à criptografia.

  • desativado - O suporte à criptografia está desativado no gateway de trânsito.

Regras de anexação do Transit Gateway

Quando um gateway de trânsito tem o suporte à criptografia ativado, as seguintes regras de anexo se aplicam:

  • Quando o estado de criptografia do Transit Gateway está ativado ou desativado, você pode criar anexos do Direct Connect, anexos VPN e anexos de VPC que não estejam no modo obrigatório ou obrigatório do Controle de Criptografia.

  • Quando o estado de criptografia do gateway de trânsito está ativado, você pode criar anexos VPC, Direct Connect, VPN e VPC em qualquer modo de controle de criptografia.

  • Quando o estado de criptografia do gateway de trânsito está desativado, você não pode criar novos anexos de VPC com o controle de criptografia aplicado.

  • Os anexos do Connect, os anexos de emparelhamento, as referências de grupos de segurança e os recursos de multicast não são compatíveis com o Encryption Support.

A tentativa de criar anexos incompatíveis falhará com um erro de API.