在专用连接上开始使用 Macsec - Amazon Direct Connect
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在专用连接上开始使用 Macsec

以下任务可帮助您熟悉Amazon Direct Connect专用连接。

按照以下步骤创建与 MacSec 支持的连接,然后将 CKN/CAK 对与连接关联。

Macsec 先决条件

在专用连接上配置 MacSec 之前,请完成以下任务。

  • 为 MacSec 私有密钥创建一个 CKN/CAK 对。

    您可以使用开放标准工具创建对。该货币对必须满足第 4 步:配置本地路由器

  • Macsec 在专用连接上可用于某些Amazon Direct Connect合作伙伴。有关哪些信息Amazon Direct Connect合作伙伴支持 Macsec,请参阅Amazon Direct Connect

  • 确保连接端部有支持 MacSec 的设备。

服务相关角色

Amazon Direct Connect使用Amazon Identity and Access Management(IAM)服务相关角色。服务相关角色是一种独特类型的 IAM 角色,它与 Amazon Direct Connect 直接相关。服务相关角色是由 Amazon Direct Connect 预定义的,并包含该服务代表您调用其他 Amazon 服务所需的所有权限。服务相关角色使 Amazon Direct Connect 的设置更轻松,因为您不必手动添加必要的权限。Amazon Direct Connect 定义其服务相关角色的权限,除非另行定义,否则仅 Amazon Direct Connect 可以代入其角色。定义的权限包括信任策略和权限策略,以及不能附加到任何其他 IAM 实体的权限策略。有关更多信息,请参阅 将服务相关角色用于 Amazon Direct Connect

MacSec 预共享的 CKN /CAK 关键注意事项

Amazon Direct Connect使用Amazon与连接或 LAG 关联的预共享密钥的托管 CMK。Secrets Manager 将预共享的 CKN 和 CAK 对存储为秘密管理器的根密钥加密的密钥。有关更多信息,请参阅 。Amazon托管 CMK中的Amazon Key Management Service开发人员指南

存储的密钥按设计是只读的,但您可以使用AmazonSecrets Manager 控制台或 API。计划删除时,无法读取 CKN,这可能会影响您的网络连接。发生这种情况时,我们应用以下规则:

  • 如果连接处于挂起状态,我们将解除 CKN 与连接的关联。

  • 如果连接处于可用状态,我们会通过电子邮件通知连接所有者。如果您在 30 天内未采取任何操作,我们将解除 CKN 与您的连接相关联。

当我们将最后一个 CKN 与您的连接断开关联并且连接加密模式设置为 “必须加密” 时,我们将模式设置为 “应该 _crypt” 以防止数据包突然丢失。

第 1 步:创建 连接

要开始使用 Macsec,必须在创建专用连接时打开该功能。有关更多信息,请参阅 创建 连接

(可选)步骤 2:创建链接聚合组 (LAG)

如果您使用多个连接进行冗余,则可以创建支持 MacSec 的 LAG。有关更多信息,请参阅 Macsec 注意事项创建 LAG

第 3 步:将 CKN/CAK 与连接或 LAG 关联

创建支持 MacSec 的连接或 LAG 后,您需要将 CKN/CAK 与连接关联。有关更多信息,请参阅以下章节之一:

第 4 步:配置本地路由器

使用 MacSec 私有密钥更新您的本地路由器。本地路由器上的 Macsec 私有密钥和Amazon Direct Connect位置必须匹配。有关更多信息,请参阅 下载路由器配置文件

第 5 步:(可选)删除 CKN/CAK 与连接或 LAG 之间的关联

如果需要删除 MacSec 密钥和连接或 LAG 之间的关联,请参阅以下内容之一: