本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
T Amazon ransit Gateway 的加密支持
Transit Gateway 上的加密支持允许你 encryption-in-transit对 VPCs连接到 Transit Gateway 的所有流量强制执行。在 TGW 上启用加密支持后,将对处于强制模式的传输网关流量进行 VPCs 加密。未开启加密控制或处于监控模式的流量,TGW 一定会加密直到 VPC 中 TGW 连接的流量。 VPCs 除此之外,它还取决于流量在 VPC 中发送到的实例。
Transit Gateway 加密支持和 VPC 加密控制
加密控制允许您审核其 VPC 中流量流的加密状态,然后 encryption-in-transit对其 VPC 上的所有流量强制执行加密状态。强制执行 VPC EC 后,该 VPC 中的所有弹性网络接口 (ENI) 都只能连接到支持 Amazon Nitro 加密的实例;并且只有对传输中的数据进行加密的 Amazon 服务才能连接到 EC 强制使用的 VPC。
为了支持 VPCs 通过 TGW 对数据进行端到端加密,连接到 VPC 的传输网关还应启用 Encryption Support。Transit Gateway 为您提供了使用支持 Amazon Nitro 加密的实例启用 encryption-in-transit功能的选项。
您只能为现有的公交网关添加加密支持,而不能在创建公交网关时添加加密支持。当 TGW 过渡到 Encryption Support Enabled 时,TGW 或附件将不会出现停机时间。迁移是无缝和透明的,不会丢弃任何流量。有关修改传输网关以添加 Encryption Support 的步骤,请参阅修改中转网关。
要求
在对传输网关启用加密支持之前,请确保:
-
所有 VPCs 连接到传输网关的设备都必须处于监控模式
-
公交网关没有 Connect 附件
-
公交网关没有对等连接附件
-
传输网关没有 Network Firewall 附件
-
传输网关没有 VPN 集中器附件
-
传输网关未启用安全组引用
-
传输网关未启用多播功能
注意
您可以在 Transit Gateway 上启用 Encryption Support VPCs ,以加密开启加密控制(在监控模式或强制模式下)之间的流量进行加密。要对已 VPCs 连接的现有设备启用加密 TGWs ,您需要在 TGW 上启用 Encryption Support VPCs 之前,在所有关联的监控模式下启用 VPC 加密控制。启用 TGW Encryption S upport 后,您可以 VPCs 将兼容模式修改为 “强制” 模式。处于强制模式 VPCs 的未连接可以通过启用加密支持的新型 TGW 进行连接。
加密 Support 状态
传输网关可以具有以下加密状态之一:
-
启用-传输网关正在启用加密支持。此过程最多可能需要 14 天才能完成。
-
已启用-传输网关已启用加密支持。您可以在强制执行加密控制的情况下创建 VPC 附件。
-
禁用-传输网关正在禁用加密支持。
-
已禁用-传输网关上已禁用加密支持。
Transit Gateway 的
当传输网关启用了加密支持时,以下连接规则适用:
-
当传输网关加密状态为启用或禁用时,您可以创建未处于加密控制强制或强制模式的 Direct Connect 附件、VPN 附件和 VPC 附件。
-
启用传输网关加密状态后,您可以在任何加密控制模式下创建 VPC、Direct Connect 附件、VPN 附件和 VPC 附件。
-
当传输网关加密状态为禁用时,您无法在强制加密控制的情况下创建新的 VPC 附件。
-
加密支持(Encryption Support)不支持 Connect 附件、对等连接附件、安全组引用和多播功能。
尝试创建不兼容的附件将失败,并出现 API 错误。