Supporto per la crittografia per AWS Transit Gateway - Amazon VPC
Supporto per la crittografia Transit Gateway e controllo della crittografia VPC

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Supporto per la crittografia per AWS Transit Gateway

Encryption Controls ti consente di controllare lo stato di crittografia dei flussi di traffico nel tuo VPC e quindi applicarlo encryption-in-transit per tutto il traffico all'interno del VPC. Quando VPC Encryption Control è in modalità di applicazione, tutte le Elastic Network Interface (ENI) in quel VPC potranno essere collegate solo alle istanze con funzionalità di crittografia AWS Nitro; solo i AWS servizi che crittografano i dati in transito potranno collegarsi al VPC applicato da Encryption Controls. Per ulteriori informazioni sui controlli di crittografia VPC, consulta questa documentazione.

Supporto per la crittografia Transit Gateway e controllo della crittografia VPC

L'Encryption Support on Transit Gateway consente di imporre encryption-in-transit il traffico tra dispositivi VPCs collegati a un Transit Gateway. Sarà necessario attivare manualmente Encryption Support sul Transit Gateway utilizzando il modify-transit-gatewaycomando per crittografare il traffico tra i VPCs. Una volta abilitato, tutto il traffico attraverserà collegamenti crittografati al 100% tra VPCs quelli in modalità Enforce (senza esclusioni) attraverso il Transit Gateway. Puoi anche connetterti VPCs che non hanno i controlli di crittografia attivati o che sono in modalità Monitor tramite un Transit Gateway con Encryption Support abilitato. In questo scenario è garantito che Transit Gateway crittografa il traffico fino all'allegato Transit Gateway nel VPC non in esecuzione in modalità enforce. Inoltre, dipende dall'istanza a cui viene inviato il traffico nel VPC che non è in esecuzione in modalità enforce.

È possibile aggiungere il supporto per la crittografia solo a un gateway di transito esistente e non durante la creazione. Man mano che Transit Gateway passa allo stato Encryption Support Enabled, non si verificheranno tempi di inattività sul Transit Gateway o sugli allegati. La migrazione è semplice e trasparente senza interruzioni di traffico. Per i passaggi per modificare un gateway di transito per aggiungere Encryption Support, vedereModificare un gateway di transito.

Requisiti

Prima di abilitare il supporto per la crittografia su un gateway di transito, assicuratevi che:

  • Il gateway di transito non dispone di allegati Connect

  • Il gateway di transito non dispone di allegati Peering

  • Il gateway di transito non dispone di allegati Network Firewall

  • Il gateway di transito non dispone di allegati VPN Concentrator

  • Il gateway di transito non ha i riferimenti ai gruppi di sicurezza abilitati

  • Il gateway di transito non ha le funzionalità Multicast abilitate

Stati di Encryption Support

Un gateway di transito può avere uno dei seguenti stati di crittografia:

  • attivazione: il gateway di transito sta abilitando il supporto per la crittografia. Il completamento di questo processo può richiedere fino a 14 giorni.

  • abilitato: il supporto per la crittografia è abilitato sul gateway di transito. È possibile creare allegati VPC con Encryption Control Enforced.

  • disabilitazione: il gateway di transito sta disabilitando il supporto per la crittografia.

  • disabilitato: il supporto per la crittografia è disabilitato sul gateway di transito.

Regole di collegamento del Transit Gateway

Quando un gateway di transito ha il supporto per la crittografia abilitato, si applicano le seguenti regole per gli allegati:

  • Quando lo stato di crittografia del gateway di transito è abilitato o disabilitato, è possibile creare allegati Direct Connect, allegati VPN e allegati VPC non in modalità Encryption Control applicata o applicata.

  • Quando lo stato di crittografia del gateway di transito è abilitato, è possibile creare VPC, allegati Direct Connect, allegati VPN e allegati VPC in qualsiasi modalità di Encryption Control.

  • Quando lo stato di crittografia del gateway di transito è disabilitato, non è possibile creare nuovi allegati VPC con il controllo di crittografia applicato.

  • Gli allegati Connect, gli allegati di peering, i riferimenti ai gruppi di sicurezza e le funzionalità multicast non sono supportati con Encryption Support.

Il tentativo di creare allegati incompatibili fallirà e verrà generato un errore API.