Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅 中国的 Amazon Web Services 服务入门 (PDF)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

开始在专用连接上使用 macSec

以下任务可帮助您熟悉在Amazon Direct Connect专用连接上的 MacSec。

按照以下步骤创建支持 MacSec 的连接，然后将 CKN/CAK 对与该连接关联。

MacSec 先决

在在专用连接上配置 MacSec 前，请完成以下任务：

服务相关角色

Amazon Direct Connect 使用 Amazon Identity and Access Management (IAM) 服务相关角色。服务相关角色是一种独特类型的 IAM 角色，它与 Amazon Direct Connect 直接相关。服务相关角色是由 Amazon Direct Connect 预定义的，并包含该服务代表您调用其他 Amazon 服务所需的所有权限。服务相关角色使 Amazon Direct Connect 的设置更轻松，因为您不必手动添加必要的权限。Amazon Direct Connect 定义其服务相关角色的权限，除非另行定义，否则仅 Amazon Direct Connect 可以代入其角色。定义的权限包括信任策略和权限策略，以及不能附加到任何其它 IAM 实体的权限策略。有关更多信息，请参阅DirecConnect：

macSec 预共享 CKN/CAK 关键注意事项

Amazon Direct Connect使用Amazon托管 CMK 来存储与连接或 LAG 关联的预共享密钥。Secrets Manager 将您预共享的 CKN 和 CAK 对存储为密钥，由密钥管理器的根密钥加密。有关更多信息，请参阅Amazon Key Management Service开发者指南中的Amazon托管 CMK。

存储的密钥在设计上是只读的，但您可以使用 SAmazon ecrets Manager 控制台或 API 安排七到三十天的删除。当您安排删除时，无法读取 CKN，这可能会影响您的网络连接。发生这种情况时，我们会应用以下规则：

当我们取消最后一个 CKN 与您的连接的关联并将连接加密模式设置为 “必须加密” 时，我们会将模式设置为 “should_encrypt” 以防止突然丢失数据包。

第 1 步：创建连接

要开始使用 macSec，必须在创建专用连接时开启该功能。有关更多信息，请参阅使用Conect 向导创建连接：

（可选）步骤 2：创建链路聚合组 (LAG)

如果您使用多个连接来实现冗余，则可以创建支持 macSec 的 LAG。有关更多信息，请参阅 MacSec 注意事项 和 创建 LAG。

步骤 3：将 CKN/CAK 与连接或 LAG 相关联

创建支持 macSec 的连接或 LAG 后，需要将 CKN/CAK 与连接相关联。有关更多信息，请参阅以下章节之一：

步骤 4：配置本地路由器

使用 macSec 密钥更新您的本地路由器。本地路由器上的 macSec 密钥必须与该Amazon Direct Connect位置的 macSec 密钥相匹配。有关更多信息，请参阅下载路由器配置文件：

步骤 5：（可选）移除 CKN/CAK 与连接或 LAG 之间的关联

如果您需要删除 MacSec 密钥与连接或 LAG 之间的关联，可以查看下列操作之一：