Verschlüsselungsunterstützung für AWS Transit Gateway - Amazon VPC
Transit Gateway Gateway-Verschlüsselungsunterstützung und VPC-Verschlüsselungssteuerung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verschlüsselungsunterstützung für AWS Transit Gateway

Mit Encryption Controls können Sie den Verschlüsselungsstatus der Verkehrsflüsse in Ihrer VPC überprüfen und dann encryption-in-transit für den gesamten Datenverkehr innerhalb der VPC durchsetzen. Wenn sich VPC Encryption Control im Erzwingungsmodus befindet, sind alle Elastic Network Interfaces (ENI) in dieser VPC darauf beschränkt, nur Instances anzuhängen, die AWS Nitro-Verschlüsselung unterstützen. Und nur AWS Dienste, die Daten während der Übertragung verschlüsseln, dürfen sich an Encryption Controls Enforced VPC anhängen. Weitere Informationen zu VPC Encryption Controls finden Sie in dieser Dokumentation.

Transit Gateway Gateway-Verschlüsselungsunterstützung und VPC-Verschlüsselungssteuerung

Mit der Verschlüsselungsunterstützung auf dem Transit Gateway können Sie encryption-in-transit den Datenverkehr zwischen Verbindungen VPCs zu einem Transit Gateway durchsetzen. Sie müssen die Verschlüsselungsunterstützung auf dem Transit Gateway manuell aktivieren, indem Sie den modify-transit-gatewayBefehl zum Verschlüsseln des Datenverkehrs zwischen den VPCs verwenden. Nach der Aktivierung wird der gesamte Datenverkehr zu 100% verschlüsselte Verbindungen zwischen Personen VPCs , die sich im Erzwingungsmodus (ohne Ausschlüsse) befinden, über das Transit Gateway übertragen. Sie können auch über ein Transit Gateway, für VPCs das Encryption Support aktiviert ist, eine Verbindung herstellen, für die Encryption Controls nicht aktiviert ist oder die sich im Überwachungsmodus befinden. In diesem Szenario wird garantiert, dass Transit Gateway den Verkehr bis zum Transit Gateway Gateway-Anhang in der VPC verschlüsselt, die nicht im Erzwingungsmodus läuft. Darüber hinaus hängt es von der Instanz ab, an die der Datenverkehr in der VPC gesendet wird, die nicht im Erzwingungsmodus läuft.

Sie können Verschlüsselungsunterstützung nur zu einem vorhandenen Transit-Gateway hinzufügen und nicht, während Sie eines erstellen. Wenn das Transit Gateway in den Status Encryption Support Enabled übergeht, wird es keine Ausfallzeiten auf dem Transit Gateway oder den Anhängen geben. Die Migration ist nahtlos und transparent, ohne dass der Datenverkehr unterbrochen wird. Die Schritte zum Ändern eines Transit-Gateways, um Verschlüsselungsunterstützung hinzuzufügen, finden Sie unterÄndern eines Transit Gateways.

Voraussetzungen

Bevor Sie die Verschlüsselungsunterstützung auf einem Transit-Gateway aktivieren, stellen Sie sicher, dass:

  • Das Transit-Gateway hat keine Connect-Anlagen

  • Das Transit-Gateway hat keine Peering-Anhänge

  • Das Transit-Gateway hat keine Netzwerkfirewall-Anhänge

  • Das Transit-Gateway hat keine VPN Concentrator-Anhänge

  • Für das Transit-Gateway sind keine Sicherheitsgruppenreferenzen aktiviert

  • Für das Transit-Gateway sind keine Multicast-Funktionen aktiviert

Status der Verschlüsselungsunterstützung

Ein Transit-Gateway kann einen der folgenden Verschlüsselungsstatus haben:

  • aktivieren — Das Transit-Gateway aktiviert gerade die Verschlüsselungsunterstützung. Es kann bis zu 14 Tage dauern, bis dieser Vorgang abgeschlossen ist.

  • aktiviert — Die Verschlüsselungsunterstützung ist auf dem Transit-Gateway aktiviert. Sie können VPC-Anlagen mit erzwungener Encryption Control erstellen.

  • Deaktivierung — Das Transit-Gateway ist dabei, die Verschlüsselungsunterstützung zu deaktivieren.

  • deaktiviert — Die Verschlüsselungsunterstützung ist auf dem Transit-Gateway deaktiviert.

Regeln für Dateianhänge in Transit Gateway

Wenn für ein Transit-Gateway die Verschlüsselungsunterstützung aktiviert ist, gelten die folgenden Verbindungsregeln:

  • Wenn der Verschlüsselungsstatus des Transit-Gateways aktiviert oder deaktiviert ist, können Sie Direct Connect-Anlagen, VPN-Anlagen und VPC-Anlagen erstellen, die sich nicht im Modus Encryption Control Enforced oder Enforced befinden.

  • Wenn der Verschlüsselungsstatus des Transit-Gateways aktiviert ist, können Sie VPC-, Direct Connect-Anlagen, VPN-Anlagen und VPC-Anlagen in jedem Encryption Control-Modus erstellen.

  • Wenn der Verschlüsselungsstatus des Transit-Gateways deaktiviert ist, können Sie keine neuen VPC-Anlagen mit erzwungener Verschlüsselungskontrolle erstellen.

  • Connect-Anlagen, Peering-Anlagen, Sicherheitsgruppenverweise und Multicast-Funktionen werden von Encryption Support nicht unterstützt.

Der Versuch, inkompatible Anhänge zu erstellen, schlägt mit einem API-Fehler fehl.