As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Suporte de criptografia para AWS Transit Gateway
Os controles de criptografia permitem que você audite o status de criptografia dos fluxos de tráfego em sua VPC e, em seguida, aplique a criptografia em trânsito para todo o tráfego dentro da VPC. Quando o VPC Encryption Control estiver no modo obrigatório, todas as interfaces de rede elástica (ENI) nessa VPC estarão restritas a serem anexadas somente a instâncias com capacidade de criptografia AWS Nitro; e somente AWS serviços que criptografam dados em trânsito poderão se conectar à VPC aplicada pelo Encryption Controls. [Para obter mais informações sobre os controles de criptografia de VPC, consulte esta documentação.](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-encryption-controls.html)
## Suporte à criptografia do Transit Gateway e controle de criptografia VPC
O suporte à criptografia no Transit Gateway permite que você aplique a criptografia em trânsito para o tráfego entre VPCs conectadas a um Transit Gateway. Você precisará ativar manualmente o Encryption Support no Transit Gateway usando o comando [modify-transit-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-transit-gateway.html) para criptografar o tráfego entre as VPCs. Depois de ativado, todo o tráfego atravessará links 100% criptografados entre VPCs que estão no modo Enforce (sem exclusões) por meio do Transit Gateway. Você também pode conectar VPCs que não tenham os controles de criptografia ativados ou que estejam no modo Monitor por meio de um Transit Gateway com o Encryption Support ativado. Nesse cenário, é garantido que o Transit Gateway criptografe o tráfego até o anexo do Transit Gateway na VPC, não sendo executado no modo obrigatório. Além disso, depende da instância para a qual o tráfego está sendo enviado na VPC e não está sendo executada no modo obrigatório.
Você só pode adicionar suporte à criptografia a um gateway de trânsito existente e não ao criar um. À medida que o Transit Gateway fizer a transição para o estado Encryption Support Enabled, não haverá tempo de inatividade no Transit Gateway ou nos anexos. A migração é perfeita e transparente, sem perda de tráfego. Para obter as etapas para modificar um gateway de trânsito para adicionar o Encryption Support, consulte[Modificar um gateway de trânsito](tgw-modifying.md#tgw-modifying.title).
### Requisitos
Antes de ativar o suporte à criptografia em um gateway de trânsito, certifique-se de que:
+ O gateway de trânsito não tem anexos Connect
+ O gateway de trânsito não tem anexos de emparelhamento
+ O gateway de trânsito não tem anexos do Firewall de Rede
+ O gateway de trânsito não tem anexos do VPN Concentrator
+ O gateway de trânsito não tem anexos do Client VPN
+ O gateway de trânsito não tem referências de grupos de segurança habilitadas
+ O gateway de trânsito não tem recursos de multicast habilitados
### Estados do Encryption Support
Um gateway de trânsito pode ter um dos seguintes estados de criptografia:
+ **habilitação** - O gateway de trânsito está habilitando o suporte à criptografia. Esse processo pode levar até 14 dias para ser concluído.
+ **ativado** - O suporte à criptografia está ativado no gateway de trânsito. Você pode criar anexos de VPC com o Controle de Criptografia aplicado.
+ **desativando** - O gateway de trânsito está desativando o suporte à criptografia.
+ **desativado** - O suporte à criptografia está desativado no gateway de trânsito.
### Regras de anexação do Transit Gateway
Quando um gateway de trânsito tem o suporte à criptografia ativado, as seguintes regras de anexo se aplicam:
+ Quando o estado de criptografia do Transit Gateway está **ativado** ou **desativado**, você pode criar anexos do Direct Connect, anexos VPN e anexos de VPC que não estejam no modo obrigatório ou obrigatório do Controle de Criptografia.
+ Quando o estado de criptografia do gateway de trânsito está **ativado**, você pode criar anexos VPC, Direct Connect, VPN e VPC em qualquer modo de controle de criptografia.
+ Quando o estado de criptografia do gateway de trânsito está **desativado**, você não pode criar novos anexos de VPC com o controle de criptografia aplicado.
+ Anexos Connect, anexos de Peering, anexos de Firewall de Rede, anexos de VPN Concentrator, anexos de Client VPN, referências de grupos de segurança e recursos multicast não são compatíveis com o Encryption Support.
A tentativa de criar anexos incompatíveis falhará com um erro de API.