Support de chiffrement pour AWS Transit Gateway - Amazon VPC
Support du chiffrement Transit Gateway et contrôle du chiffrement VPC

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Support de chiffrement pour AWS Transit Gateway

Encryption Controls vous permet d'auditer l'état de chiffrement des flux de trafic dans votre VPC, puis de l'appliquer encryption-in-transit à l'ensemble du trafic au sein du VPC. Lorsque le contrôle de chiffrement VPC est en mode d'application, toutes les interfaces réseau élastiques (ENI) de ce VPC ne pourront être associées qu'aux instances compatibles avec le chiffrement AWS Nitro ; et seuls les AWS services qui chiffrent les données en transit seront autorisés à se connecter au VPC imposé par Encryption Controls. Pour plus d'informations sur les contrôles de chiffrement VPC, consultez cette documentation.

Support du chiffrement Transit Gateway et contrôle du chiffrement VPC

Le support de chiffrement sur Transit Gateway vous permet de renforcer encryption-in-transit le trafic entre les entités VPCs rattachées à une passerelle de transit. Vous devrez activer manuellement le Support de chiffrement sur le Transit Gateway à l'aide de la modify-transit-gatewaycommande permettant de chiffrer le trafic entre les VPCs. Une fois activé, tout le trafic traversera des liens chiffrés à 100 % entre ceux VPCs qui sont en mode Enforce (sans exclusions) via le Transit Gateway. Vous pouvez également vous connecter VPCs si les contrôles de chiffrement ne sont pas activés ou si vous êtes en mode Monitor via un Transit Gateway sur lequel le support de chiffrement est activé. Dans ce scénario, il est garanti que Transit Gateway cryptera le trafic jusqu'à la pièce jointe Transit Gateway dans le VPC qui ne fonctionne pas en mode forcé. Au-delà de cela, cela dépend de l'instance à laquelle le trafic est envoyé dans le VPC qui ne fonctionne pas en mode Enforce.

Vous ne pouvez ajouter la prise en charge du chiffrement qu'à une passerelle de transit existante, et non pendant que vous en créez une. Lorsque le Transit Gateway passe à l'état Encryption Support Enabled, il n'y aura aucune interruption de service sur le Transit Gateway ou sur les pièces jointes. La migration est fluide et transparente, aucun trafic n'étant perdu. Pour les étapes à suivre pour modifier une passerelle de transit afin d'ajouter le support de chiffrement, voirModifier une passerelle de transit.

Exigences

Avant d'activer la prise en charge du chiffrement sur une passerelle de transit, assurez-vous que :

  • La passerelle de transit ne possède pas de pièces jointes Connect

  • La passerelle de transit ne possède pas de pièces jointes Peering

  • La passerelle de transit ne possède pas de pièces jointes Network Firewall

  • La passerelle de transit ne possède pas de pièces jointes au concentrateur VPN

  • Les références de groupe de sécurité ne sont pas activées sur la passerelle de transit

  • Les fonctionnalités de multidiffusion ne sont pas activées sur la passerelle de transit

Support du chiffrement : États

Une passerelle de transit peut avoir l'un des états de chiffrement suivants :

  • activation - La passerelle de transit est en train d'activer la prise en charge du chiffrement. Ce processus peut prendre jusqu'à 14 jours.

  • activé - La prise en charge du chiffrement est activée sur la passerelle de transit. Vous pouvez créer des pièces jointes VPC en appliquant le contrôle du chiffrement.

  • désactivation : la passerelle de transit est en train de désactiver la prise en charge du chiffrement.

  • désactivé - La prise en charge du chiffrement est désactivée sur la passerelle de transit.

Règles de fixation du Transit Gateway

Lorsque la prise en charge du chiffrement est activée sur une passerelle de transit, les règles de pièces jointes suivantes s'appliquent :

  • Lorsque l'état de chiffrement de la passerelle de transit est activé ou désactivé, vous pouvez créer des pièces jointes Direct Connect, des pièces jointes VPN et des pièces jointes VPC qui ne sont pas en mode Encryption Control appliqué ou en mode d'application.

  • Lorsque l'état de chiffrement de la passerelle de transit est activé, vous pouvez créer des pièces jointes VPC, Direct Connect, VPN et VPC dans n'importe quel mode de contrôle du chiffrement.

  • Lorsque l'état de chiffrement de la passerelle de transit est désactivé, vous ne pouvez pas créer de nouvelles pièces jointes VPC avec le contrôle de chiffrement appliqué.

  • Connect les pièces jointes, les pièces jointes de peering, les références aux groupes de sécurité et les fonctionnalités de multidiffusion ne sont pas prises en charge par le support de chiffrement.

Toute tentative de création de pièces jointes incompatibles échouera avec une erreur d'API.