本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Transit Gateway 的加密支援
加密控制可讓您稽核 VPC 中流量流程的加密狀態,然後強制執行 VPC 內所有流量的encryption-in-transit。當 VPC 加密控制處於強制執行模式時,該 VPC 中的所有彈性網路界面 (ENI) 將限制為僅連接至支援 AWS Nitro 加密的執行個體;而且僅允許加密傳輸中資料 AWS 的服務連接到加密控制強制執行的 VPC。如需 VPC 加密控制的詳細資訊,請參閱本文件。
傳輸閘道加密支援和 VPC 加密控制
傳輸閘道上的加密支援可讓您針對連接到傳輸閘道VPCs 之間的流量強制執行encryption-in-transit。您需要使用 modify-transit-gateway 命令在 Transit Gateway 上手動啟用加密支援,以加密 VPCs之間的流量。啟用後,所有流量將透過 Transit Gateway 在處於強制模式 (無排除) VPCs 之間周遊 100% 加密連結。您也可以透過啟用加密支援的傳輸閘道,連接未開啟加密控制或處於監控模式的 VPCs。在此案例中,Transit Gateway 保證會加密 VPC 中未在強制模式下執行之 Transit Gateway 附件的流量。除此之外,它取決於流量在 VPC 中傳送到的執行個體,而不是在強制執行模式下執行。
您只能將加密支援新增至現有的傳輸閘道,而不能在建立時新增。當 Transit Gateway 轉換為已啟用加密支援狀態時,傳輸閘道或附件上不會有停機時間。遷移是無縫且透明的,不會捨棄任何流量。如需修改傳輸閘道以新增加密支援的步驟,請參閱 修改傳輸閘道。
要求
在傳輸閘道上啟用加密支援之前,請確定:
-
傳輸閘道沒有 Connect 連接
-
傳輸閘道沒有對等連接
-
傳輸閘道沒有 Network Firewall 附件
-
傳輸閘道沒有 VPN 集中器連接
-
傳輸閘道未啟用安全群組參考
-
傳輸閘道未啟用多點傳送功能
加密支援狀態
傳輸閘道可以具有下列其中一個加密狀態:
-
啟用 - 傳輸閘道正在啟用加密支援。此程序最多可能需要 14 天才能完成。
-
已啟用 - 在傳輸閘道上啟用加密支援。您可以在強制執行加密控制的情況下建立 VPC 連接。
-
停用 - 傳輸閘道正在停用加密支援。
-
已停用 - 在傳輸閘道上停用加密支援。
Transit Gateway 連接規則
當傳輸閘道啟用加密支援時,適用下列附件規則:
-
當傳輸閘道加密狀態為啟用或停用時,您可以建立 Direct Connect 連接、VPN 連接和不在加密控制強制執行或強制執行模式中的 VPC 連接。
-
啟用傳輸閘道加密狀態時,您可以在任何加密控制模式中建立 VPC、Direct Connect 連接、VPN 連接和 VPC 連接。
-
當傳輸閘道加密狀態停用時,您無法在強制執行加密控制的情況下建立新的 VPC 連接。
-
Encryption Support 不支援連線附件、對等附件、安全群組參考和多點傳送功能。
嘗試建立不相容的附件將會失敗並出現 API 錯誤。
