本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Transit Gateway 的加密支援
傳輸閘道上的加密支援可讓您對連接到傳輸閘道VPCs 上的所有流量強制執行encryption-in-transit。在 TGW 上啟用加密支援時,傳輸閘道流量會在處於強制執行模式VPCs 之間加密。未開啟加密控制或處於監控模式VPCs 流量,保證 TGW 會將流量加密至 VPC 中的 TGW 連接。除此之外,它取決於流量在 VPC 中傳送到的執行個體。
傳輸閘道加密支援和 VPC 加密控制
加密控制可讓您稽核其 VPC 中流量的加密狀態,然後針對其 VPC 上的所有流量強制執行encryption-in-transit。強制執行 VPC EC 時,該 VPC 中的所有彈性網路界面 (ENI) 將限制為僅連接至具有 AWS Nitro 加密功能的執行個體;且僅允許加密傳輸中資料 AWS 的服務連接到 EC 強制執行的 VPC。
若要透過 TGW 支援 VPCs 之間的端對端資料加密,連接至 VPC 的傳輸閘道也應啟用加密支援。傳輸閘道可讓您選擇使用支援 AWS Nitro encryption-in-transit加密功能。
您只能將加密支援新增至現有的傳輸閘道,而不能在建立時新增加密支援。隨著 TGW 轉換為已啟用加密支援,TGW 或附件不會有停機時間。遷移是無縫且透明的,不會捨棄任何流量。如需修改傳輸閘道以新增加密支援的步驟,請參閱 修改傳輸閘道。
要求
在傳輸閘道上啟用加密支援之前,請確定:
-
連接至傳輸閘道的所有 VPCs 必須處於監控模式
-
傳輸閘道沒有 Connect 連接
-
傳輸閘道沒有對等連接
-
傳輸閘道沒有 Network Firewall 附件
-
傳輸閘道沒有 VPN 集中器連接
-
傳輸閘道未啟用安全群組參考
-
傳輸閘道未啟用多點傳送功能
注意
您可以在傳輸閘道上啟用加密支援,以加密已開啟加密控制的 VPCs 之間的流量 (監控模式或強制執行模式)。若要在已連接 VPCs TGWs 上啟用加密,您需要在所有相關 VPC 中以監控模式啟用 VPCs 加密控制,才能在 TGW 上啟用加密支援。啟用 TGW 加密支援後,您可以將合規 VPCs修改為強制執行模式。處於強制模式的未連線 VPCs 可以透過啟用加密支援的新 TGW 進行連線。
加密支援狀態
傳輸閘道可以具有下列其中一個加密狀態:
-
啟用 - 傳輸閘道正在啟用加密支援。此程序最多可能需要 14 天才能完成。
-
已啟用 - 在傳輸閘道上啟用加密支援。您可以在強制執行加密控制的情況下建立 VPC 連接。
-
停用 - 傳輸閘道正在停用加密支援。
-
已停用 - 在傳輸閘道上停用加密支援。
Transit Gateway 連接規則
當傳輸閘道啟用加密支援時,適用下列附件規則:
-
當傳輸閘道加密狀態啟用或停用時,您可以建立 Direct Connect 連接、VPN 連接和不在加密控制強制執行或強制執行模式中的 VPC 連接。
-
啟用傳輸閘道加密狀態時,您可以在任何加密控制模式中建立 VPC、Direct Connect 連接、VPN 連接和 VPC 連接。
-
當傳輸閘道加密狀態停用時,您無法在強制執行加密控制的情況下建立新的 VPC 連接。
-
Encryption Support 不支援連線附件、對等互連附件、安全群組參考和多點傳送功能。
嘗試建立不相容的附件將會失敗並出現 API 錯誤。
