Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Passerelles de transport en commun dans AWS Transit Gateway
<a name="tgw-transit-gateways"></a>

Une passerelle de transit vous permet de connecter VPCs des connexions VPN et d'acheminer le trafic entre elles. Une passerelle de transit fonctionne de part en part Comptes AWS, et vous pouvez l'utiliser AWS RAM pour partager votre passerelle de transit avec d'autres comptes. Une fois que vous avez partagé une passerelle de transit avec une autre Compte AWS, le titulaire du compte peut l'associer VPCs à votre passerelle de transit. Un utilisateur de l'un des comptes peut supprimer l'attachement à tout moment.

Vous pouvez activer la multicast sur une passerelle de transit, puis créer un domaine multicast de passerelle de transit qui autorise l'envoi du trafic multicast à partir de votre source multicast vers des membres de groupe multicast sur des attachements de VPC que vous associez au domaine.

Chaque VPC ou attachement VPN est associé à une seule table de routage. Cette table de routage commande le prochain saut pour le trafic venant de cet attachement de ressource. Une table de routage à l'intérieur de la passerelle de transit autorise à la fois IPv6 CIDRs les cibles IPv4 ou. Les cibles sont VPCs les connexions VPN. Lorsque vous attachez un VPC ou créez une connexion VPN sur la passerelle de transit, l'attachement est associé à la table de routage par défaut de la passerelle de transit.

Vous pouvez créer d'autres tables de routage à l'intérieur de la passerelle de transit et modifier l'association de VPC ou de VPN avec ces tables de routage. Vous pouvez ainsi segmenter votre réseau. Par exemple, vous pouvez VPCs associer le développement à une table de routage et la production VPCs à une autre table de routage. Cela vous permet de créer des réseaux isolés au sein d'une passerelle de transit, de la même manière que le routage et le transfert virtuels (VRFs) dans les réseaux traditionnels.

Les passerelles de transit prennent en charge le routage dynamique et statique entre les connexions connectées VPCs et les connexions VPN. Vous pouvez activer ou désactiver la propagation du routage pour chaque attachement. Les pièces jointes du concentrateur VPN prennent uniquement en charge le routage BGP (dynamique). Les attachements d'appairage de passerelle de transit prennent uniquement en charge le routage statique. Vous pouvez faire pointer les itinéraires des tables de routage des passerelles de transit vers l'attachement d'appairage pour acheminer le trafic entre les passerelles de transit homologues.

Vous pouvez éventuellement associer un IPv4 ou plusieurs blocs IPv6 CIDR à votre passerelle de transit. Spécifiez une adresse IP à partir du bloc d'adresse CIDR lorsque vous établissez un pair Transit Gateway Connect pour un [attachement Transit Gateway Connect](tgw-connect.md). Vous pouvez associer n'importe quelle plage d'adresses IP publiques ou privées, sauf les adresses de la plage d'adresses `169.254.0.0/16`, et des plages qui se chevauchent avec des adresses de vos attachements VPC et des réseaux sur site. Pour plus d'informations sur les blocs IPv6 CIDR IPv4 et les blocs CIDR, consultez la section [Adressage IP](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html) dans le guide de l'*utilisateur Amazon VPC.*

**Topics**
+ [Créer une passerelle de transit](create-tgw.md)
+ [Afficher une passerelle de transit](view-tgws.md)
+ [Gérer les balises des passerelles de transit](tgw-tagging.md)
+ [Modifier une passerelle de transit](tgw-modifying.md)
+ [Accepter un partage de ressources](share-accept-tgw.md)
+ [Accepter un attachement partagé](acccept-tgw-attach.md)
+ [Supprimer une passerelle de transit](delete-tgw.md)
+ [Support en matière de chiffrement](tgw-encryption-support.md)

# Création d'une passerelle de transit dans AWS Transit Gateway
<a name="create-tgw"></a>

Lorsque vous créez une passerelle de transit, nous créons une table de routage de la passerelle de transit par défaut et nous l'utilisons comme table de routage d'association et table de routage de propagation par défaut. Si vous choisissez de ne pas créer la table de routage de la passerelle de transit par défaut, vous pouvez en créer une ultérieurement. Pour plus d'informations sur les routes et les tables de routage, consultez [Routage](how-transit-gateways-work.md#tgw-routing-overview).

**Note**  
Si vous souhaitez activer la prise en charge du chiffrement sur une passerelle de transit, vous ne pouvez pas l'activer lors de la création de la passerelle. Une fois que vous avez créé la passerelle de transit et qu'elle est dans l'état disponible, vous pouvez la modifier pour activer la prise en charge du chiffrement. Pour de plus amples informations, veuillez consulter [Support de chiffrement pour AWS Transit Gateway](tgw-encryption-support.md).

**Pour créer une passerelle de transit à l'aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Passerelles de transit**.

1. Choisissez **Create transit gateway** (Créer une passerelle de transit).

1. Pour la **Name tag (Balise nom)**, saisissez éventuellement un nom pour la passerelle de transit. Un nom permet d'identifier plus facilement une passerelle au sein d'une liste de passerelles. Lorsque vous ajouter une **Balise Nom**, une balise est créée avec une clé de **Nom** et avec une valeur égale à la valeur saisie.

1. Pour **Description**, saisissez éventuellement une description pour la passerelle de transit .

1. Pour **Amazon side Autonomous System Number (ASN)**, laissez la valeur par défaut pour utiliser l'ASN par défaut ou saisissez l'ASN privé de votre passerelle de transit. Il doit s'agir de l'ASN correspondant au AWS côté d'une session BGP (Border Gateway Protocol).

   La plage est comprise entre 64512 et 65534 pour 16 bits. ASNs

   La plage est comprise entre 4200000000 et 4294967294 pour 32 bits. ASNs

   Si vous avez un déploiement multi-régions, nous vous recommandons d'utiliser un seul ASN pour chacune de vos passerelles de transit.

1.  Pour le **support DNS**, sélectionnez cette option si vous avez besoin que le VPC transforme les noms d'hôtes IPv4 DNS publics en IPv4 adresses privées lorsqu'ils sont demandés par des instances d'un autre VPC connecté à la passerelle de transit.

1. Pour **la prise en charge du référencement des groupes de sécurité**, activez cette fonctionnalité pour référencer un groupe de sécurité VPCs attaché à une passerelle de transit. Pour plus d'informations sur le référencement des groupes de sécurité, consultez[Référencement des groupes de sécurité](tgw-vpc-attachments.md#vpc-attachment-security).

1. Pour **VPN ECMP support** (Prise en charge du protocole de VPN ECMP), sélectionnez cette option si vous avez besoin d'une prise en charge du routage ECMP (Equal Cost Multipath) entre des tunnels VPN. Si les connexions annoncent la même chose CIDRs, le trafic est réparti de manière égale entre elles.

   Lorsque vous sélectionnez cette option, l'ASN BGP annoncé, puis les attributs BGP tels que le chemin AS-Path, doivent être identiques.
**Note**  
Pour utiliser l'ECMP, vous devez créer une connexion VPN qui utilise le routage dynamique. Les connexions VPN qui utilisent le routage statique ne prennent pas en charge l'ECMP.

1. Pour **Default route table association** (Association de table de routage par défaut), sélectionnez cette option pour associer automatiquement les réseaux de transit par passerelle avec la table de routage par défaut pour la passerelle de transit.

1. Pour **Default route table propagation** (Propagation de table de routage par défaut), sélectionnez cette option pour propager automatiquement les réseaux de transit par passerelle vers la table de routage par défaut pour la passerelle de transit.

1. (Facultatif) Pour utiliser la passerelle de transit comme routeur pour du trafic de multicast, sélectionnez **Multicast support** (Support multicast).

1. (Facultatif) Dans la section **Configure-cross-account des options de partage**, choisissez d'**accepter automatiquement les pièces jointes partagées**. Si cette option est activée, les pièces jointes sont automatiquement acceptées. Dans le cas contraire, vous devez accepter ou rejeter les demandes de pièces jointes.

   Pour **Auto accept shared attachments** (Accepter automatiquement les attachements partagés), sélectionnez cette option pour accepter automatiquement les attachements entre comptes.

1. (Facultatif) Pour les **blocs CIDR de passerelle de transit**, spécifiez un IPv4 ou plusieurs blocs IPv6 CIDR pour votre passerelle de transit. 

   Vous pouvez spécifier un bloc CIDR de taille /24 ou plus (par exemple, /23 ou /22) pour IPv4, ou un bloc CIDR de taille /64 ou plus (par exemple, /63 ou /62) pour. IPv6 Vous pouvez associer n'importe quelle plage d'adresses IP publiques ou privées, sauf les adresses de la plage 169.254.0.0/16, et des plages qui se chevauchent avec les adresses de vos attachements VPC et des réseaux sur site.
**Note**  
Les blocs CIDR de passerelle de transit sont utilisés si vous configurez des pièces jointes Connect (GRE) ou VPNs PrivateIP. Transit Gateway attribue IPs aux points de terminaison du tunnel (GRE/PrivateIP VPN) de cette plage.

1. Choisissez **Create transit gateway** (Créer une passerelle de transit).

**Pour créer une passerelle de transit à l'aide du AWS CLI**  
Utilisez la commande [create-transit-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway.html).

# Afficher les informations relatives aux passerelles de AWS transit dans Transit Gateway
<a name="view-tgws"></a>

Consultez n'importe laquelle de vos passerelles de transport en commun.

**Pour afficher une passerelle de transit à l'aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Passerelles de transit**. Les détails de la passerelle de transit sont affichés sous la liste des passerelles sur la page.

**Pour consulter une passerelle de transit à l'aide du AWS CLI**  
Utilisez la commande [describe-transit-gateways](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateways.html).

# Gérez les balises de passerelle de AWS transit dans Transit Gateway
<a name="tgw-tagging"></a>

Ajoutez des balises à vos ressources pour les organiser et les identifier, par exemple selon leur but, leur propriétaire ou leur environnement. Vous pouvez ajouter plusieurs balises à chaque passerelle de transit. Les clés de balise doivent être uniques pour chaque passerelle de transit. Si vous ajoutez une balise avec une clé qui est déjà associée à la passerelle de transit, la valeur de cette balise sera mise à jour. Pour plus d'informations, consultez la section [Marquage de vos EC2 ressources Amazon](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html).

**Ajouter des balises à une passerelle de transit à l'aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Passerelles de transit**.

1. Choisissez la passerelle de transit pour laquelle vous souhaitez ajouter ou modifier des balises.

1. Choisissez l'onglet **Tags** (Balises) dans la partie inférieure de la page.

1. Choisissez **Gérer les balises**.

1. Choisissez **Add new tag** (Ajouter une nouvelle balise).

1. Saisissez une **clé** et une **valeur** pour la balise.

1. Choisissez **Enregistrer**.

# Modifier une passerelle de transit dans AWS Transit Gateway
<a name="tgw-modifying"></a>

Vous pouvez modifier les options de configuration d'une passerelle de transit. Lorsque vous modifiez une passerelle de transit, les pièces jointes de passerelle de transit existantes ne subissent aucune interruption de service.

Vous ne pouvez pas modifier une passerelle de transit qui a été partagée avec vous.

Vous ne pouvez pas supprimer un bloc d’adresse CIDR pour la passerelle de transit si l’une des adresses IP est actuellement utilisée pour un [pair Connect](tgw-connect.md).

**Note**  
Les passerelles de transit sur lesquelles le Support de chiffrement est activé peuvent être connectées à l' VPCs aide de contrôles de chiffrement en mode surveillance ou application, ou à celles pour VPCs lesquelles les contrôles de chiffrement ne sont pas activés. VPCs qui ont des contrôles de chiffrement en mode Enforce peuvent UNIQUEMENT être connectés aux passerelles de transit sur lesquelles le Support de chiffrement est activé.   
Pour en savoir plus, consultez [Support de chiffrement pour AWS Transit Gateway](tgw-encryption-support.md).

**Pour modifier une passerelle de transit**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Passerelles de transit**.

1. Choisissez la passerelle de transit à modifier.

1. Choisissez **Actions**,**Modify transit gateway** (Modifier la passerelle de transit).

1. Modifiez les options selon vos besoins, puis choisissez **Modify transit gateway (Modifier la passerelle de transit)**. 

**Pour modifier votre passerelle de transit à l'aide du AWS CLI**  
Utilisez la commande [modify-transit-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-transit-gateway.html).

# Accepter un partage de ressources AWS Transit Gateway à l'aide de la AWS Resource Access Manager console
<a name="share-accept-tgw"></a>

Si vous avez été ajouté à un partage de ressource, vous recevez une invitation à rejoindre le partage de ressource. Vous devez accepter le partage des ressources via la console AWS Resource Access Manager (AWS RAM) avant de pouvoir accéder aux ressources partagées.

**Pour accepter un partage de ressources**

1. Ouvrez la AWS RAM console à l'adresse [https://console.aws.amazon.com/ram/](https://console.aws.amazon.com/ram/).

1. Dans le volet de navigation, choisissez **Shared with me (Partagé avec moi)**, **Resource shares (Partages de ressources)**.

1. Sélectionnez le partage de ressources.

1. Sélectionnez **Accepter un partage de ressource**.

1. Pour afficher la passerelle de transit partagée, ouvrez la page **Transit Gateways (Passerelles de transit)** dans la console Amazon VPC.

# Accepter une pièce jointe partagée dans AWS Transit Gateway
<a name="acccept-tgw-attach"></a>

Si vous n'avez pas activé la fonctionnalité d'**acceptation automatique des pièces jointes partagées** lorsque vous avez créé votre passerelle de transit, vous devez accepter manuellement les pièces jointes entre comptes (partagées) à l'aide de la console Amazon VPC ou de la AWS CLI.

**Pour accepter manuellement un attachement partagé**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Attachements de passerelle de transit**.

1. Sélectionnez l'attachement de la passerelle de transit en attente d'acceptation.

1. Choisissez **Actions**, **Accept transit gateway attachment** (Accepter le réseau de transit par passerelle).

**Pour accepter une pièce jointe partagée à l'aide du AWS CLI**  
Utilisez la commande [accept-transit-gateway-vpc-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/accept-transit-gateway-vpc-attachment.html).

# Supprimer une passerelle de transit dans AWS Transit Gateway
<a name="delete-tgw"></a>

Vous ne pouvez pas supprimer une passerelle de transit avec des attachements existants. Vous devez d'abord supprimer tous les attachements avant de supprimer une passerelle de transit.

**Pour supprimer une passerelle de transit à l'aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Choisissez la passerelle de transit à supprimer.

1. Choisissez **Actions**, **Delete transit gateway** (Supprimer la passerelle de transit). Saisissez **delete** et choisissez **Delete** (Supprimer) pour confirmer la suppression.

**Pour supprimer une passerelle de transit à l'aide du AWS CLI**  
Utilisez la commande [delete-transit-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway.html).

# Support de chiffrement pour AWS Transit Gateway
<a name="tgw-encryption-support"></a>

Encryption Controls vous permet d'auditer l'état de chiffrement des flux de trafic dans votre VPC, puis de l'appliquer encryption-in-transit à l'ensemble du trafic au sein du VPC. Lorsque le contrôle du chiffrement VPC est en mode d'application, toutes les interfaces réseau élastiques (ENI) de ce VPC ne pourront être associées qu'aux instances compatibles avec le chiffrement AWS Nitro ; et seuls les AWS services qui chiffrent les données en transit seront autorisés à se connecter au VPC imposé par Encryption Controls. [Pour plus d'informations sur les contrôles de chiffrement VPC, consultez cette documentation.](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-encryption-controls.html) 

## Support du chiffrement Transit Gateway et contrôle du chiffrement VPC
<a name="tgw-encryption-support-overview"></a>

Le support de chiffrement sur Transit Gateway vous permet de renforcer encryption-in-transit le trafic entre les entités VPCs rattachées à une passerelle de transit. Vous devrez activer manuellement le Support de chiffrement sur le Transit Gateway à l'aide de la [modify-transit-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-transit-gateway.html)commande permettant de chiffrer le trafic entre les VPCs. Une fois activé, tout le trafic traversera des liens chiffrés à 100 % entre ceux VPCs qui sont en mode Enforce (sans exclusions) via le Transit Gateway. Vous pouvez également vous connecter VPCs si les contrôles de chiffrement ne sont pas activés ou si vous êtes en mode Monitor via un Transit Gateway sur lequel le support de chiffrement est activé. Dans ce scénario, il est garanti que Transit Gateway cryptera le trafic jusqu'à la pièce jointe Transit Gateway dans le VPC qui ne fonctionne pas en mode forcé. Au-delà de cela, cela dépend de l'instance à laquelle le trafic est envoyé dans le VPC qui ne fonctionne pas en mode Enforce.

Vous ne pouvez ajouter la prise en charge du chiffrement qu'à une passerelle de transit existante, et non pendant que vous en créez une. Lorsque le Transit Gateway passe à l'état Encryption Support Enabled, il n'y aura aucune interruption de service sur le Transit Gateway ou sur les pièces jointes. La migration est fluide et transparente, aucun trafic n'étant perdu. Pour les étapes à suivre pour modifier une passerelle de transit afin d'ajouter le support de chiffrement, voir[Modifier une passerelle de transit](tgw-modifying.md#tgw-modifying.title).

### Exigences
<a name="tgw-encryption-support-requirements"></a>

Avant d'activer la prise en charge du chiffrement sur une passerelle de transit, assurez-vous que :
+ La passerelle de transit ne possède pas de pièces jointes Connect
+ La passerelle de transit ne possède pas de pièces jointes Peering
+ La passerelle de transit ne possède pas de pièces jointes Network Firewall
+ La passerelle de transit ne possède pas de pièces jointes au concentrateur VPN
+ Les références de groupe de sécurité ne sont pas activées sur la passerelle de transit
+ Les fonctionnalités de multidiffusion ne sont pas activées sur la passerelle de transit

### Support du chiffrement : États
<a name="tgw-encryption-support-states"></a>

Une passerelle de transit peut avoir l'un des états de chiffrement suivants :
+ **activation** - La passerelle de transit est en train d'activer la prise en charge du chiffrement. Ce processus peut prendre jusqu'à 14 jours.
+ **activé** - La prise en charge du chiffrement est activée sur la passerelle de transit. Vous pouvez créer des pièces jointes VPC en appliquant le contrôle du chiffrement.
+ **désactivation** : la passerelle de transit est en train de désactiver la prise en charge du chiffrement.
+ **désactivé** - La prise en charge du chiffrement est désactivée sur la passerelle de transit.

### Règles de fixation du Transit Gateway
<a name="tgw-encryption-support-attachments"></a>

Lorsque la prise en charge du chiffrement est activée sur une passerelle de transit, les règles de pièces jointes suivantes s'appliquent :
+ Lorsque l'état de chiffrement de la passerelle de transit est **activé** ou **désactivé**, vous pouvez créer des pièces jointes Direct Connect, des pièces jointes VPN et des pièces jointes VPC qui ne sont pas en mode Encryption Control appliqué ou en mode d'application.
+ Lorsque l'état de chiffrement de la passerelle de transit est **activé**, vous pouvez créer des pièces jointes VPC, Direct Connect, VPN et VPC dans n'importe quel mode de contrôle du chiffrement.
+ Lorsque l'état de chiffrement de la passerelle de transit est **désactivé**, vous ne pouvez pas créer de nouvelles pièces jointes VPC avec le contrôle de chiffrement appliqué.
+ Connect les pièces jointes, les pièces jointes de peering, les références aux groupes de sécurité et les fonctionnalités de multidiffusion ne sont pas prises en charge par le support de chiffrement.

Toute tentative de création de pièces jointes incompatibles échouera avec une erreur d'API.