Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Collaborez avec AWS Transit Gateway
<a name="working-with-transit-gateways"></a>

Vous pouvez utiliser des passerelles de transit à l'aide de la console Amazon VPC ou de la AWS CLI. Pour plus d'informations sur l'activation et la gestion de la prise en charge du chiffrement pour votre passerelle de transit, consultez[Support de chiffrement pour AWS Transit Gateway](tgw-encryption-support.md).

**Topics**
+ [Passerelles de transport en commun partagées](#transit-gateway-share)
+ [Passerelles de transit](tgw-transit-gateways.md)
+ [Attachements VPC](tgw-vpc-attachments.md)
+ [Accessoires pour fonctions réseau](tgw-nf-fw.md)
+ [Attachements VPN](tgw-vpn-attachments.md)
+ [Pièces jointes du concentrateur VPN](tgw-vpn-concentrator-attachments.md)
+ [Attachements d'une passerelle de transit à une passerelle Direct Connect](tgw-dcg-attachments.md)
+ [Attachement d'appairage](tgw-peering.md)
+ [Attachements Connect et pairs Connect](tgw-connect.md)
+ [Tables de routage de passerelle de transit](tgw-route-tables.md)
+ [Tables de stratégie de passerelle de transit](tgw-policy-tables.md)
+ [Multicast sur les passerelles de transit](tgw-multicast-overview.md)
+ [Allocation flexible des coûts](metering-policy.md)

## Passerelles de transport en commun partagées
<a name="transit-gateway-share"></a>

Vous pouvez utiliser AWS Resource Access Manager (RAM) pour partager une passerelle de transit pour les pièces jointes VPC entre différents comptes ou au sein de votre organisation dans. AWS Organizations Le RAM doit être activé et les ressources doivent être partagées avec une organisation. Pour de plus amples informations, veuillez consulter [Activer le partage de ressources avec AWS Organizations](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs) dans le *Guide de l'utilisateur AWS RAM *. 

### Considérations
<a name="transit-gateway-considerations"></a>

Lorsque vous souhaitez partager une passerelle de transit, prenez en compte les éléments suivants. 
+  Une AWS Site-to-Site VPN pièce jointe doit être créée dans le AWS compte propriétaire de la passerelle de transit.
+  Une pièce jointe à une passerelle Direct Connect utilise une association de passerelle de transit et peut se trouver dans le même AWS compte que la passerelle Direct Connect ou dans un compte différent de celui de la passerelle Direct Connect.

Par défaut, les utilisateurs ne sont pas autorisés à créer ou à modifier AWS RAM des ressources. Pour autoriser les utilisateurs à créer ou à modifier des ressources et à exécuter des tâches, vous devez créer des politiques IAM qui autorisent les utilisateurs à utiliser des actions d’API et des ressources spécifiques. Vous devez ensuite attacher ces stratégies aux utilisateurs ou aux groupes IAM ayant besoin de ces autorisations. 

Seul le propriétaire d'une ressource peut effectuer les opérations suivantes :
+ Créer un partage de ressources.
+ Mettre à jour un partage de ressources.
+ Afficher un partage de ressources.
+ Afficher les ressources partagées par votre compte sur tous les partages de ressources.
+ Afficher les mandataires avec qui vous partagez vos ressources sur tous les partages de ressources. L'affichage des mandataires avec qui vous effectuez un partage vous permet de déterminer qui a accès à vos ressources partagées.
+ Supprimer un partage de ressources.
+ Exécutez toutes les tables de routage des passerelles de transit, des pièces jointes aux passerelles de transit et des passerelles de transit APIs.

Vous pouvez effectuer les opérations suivantes sur les ressources partagées avec vous :
+ Accepter ou refuser une invitation de partage de ressource.
+ Afficher un partage de ressources.
+ Afficher les ressources partagées auxquelles vous avez accès.
+ Afficher une liste de tous les mandataires qui partagent des ressources avec vous. Vous pouvez voir les ressources et les partages de ressources qu'ils ont partagés avec vous.
+ Vous pouvez exécuter l'API `DescribeTransitGateways`.
+ Exécutez le APIs qui crée et décrit les pièces jointes, par exemple `CreateTransitGatewayVpcAttachment` et`DescribeTransitGatewayVpcAttachments`, dans leur VPCs.
+ Quitter un partage de ressources.

Lorsqu'une passerelle de transit est partagée avec vous, vous ne pouvez pas créer, modifier ou supprimer ses tables de routage de passerelle de transit, ni ses propagations et associations de tables de routage de passerelle de transit.

Lorsque vous créez une passerelle de transit, elle est créé dans la zone de disponibilité mappée à votre compte et est indépendante des autres comptes. Lorsque la passerelle de transit et les entités d’attachement se trouvent dans des comptes différents, utilisez l'ID de zone de disponibilité pour identifier de façon unique et cohérente la zone de disponibilité. Par exemple, use1-az1 est un identifiant AZ pour la région us-east-1 et correspond au même emplacement dans chaque compte. AWS 

### Annuler le partage d’une passerelle de transit
<a name="transit-gateway-unshare"></a>

Lorsque le propriétaire du partage annule le partage de la passerelle de transit, les règles suivantes s'appliquent :
+ L’attachement de la passerelle de transit reste fonctionnelle.
+ Le compte partagé ne peut pas décrire la passerelle de transit.
+ Le propriétaire de la passerelle de transit et le propriétaire du partage peuvent supprimer l’attachement de la passerelle de transit.

Lorsqu'une passerelle de transit n'est plus partagée avec un autre AWS compte, ou si le AWS compte avec lequel la passerelle de transit est partagée est supprimé de l'organisation, la passerelle de transit elle-même n'est pas affectée.

### Sous-réseaux partagés
<a name="transit-gateway-shared-subnets"></a>

Un propriétaire de VPC peut attacher une passerelle de transit à un sous-réseau VPC partagé. Les participants ne le peuvent pas. Le trafic provenant des ressources des participants peut utiliser les attachements en fonction des routes définies sur le sous-réseau VPC partagé par le propriétaire du VPC.

Pour plus d'informations, consultez [Partager votre VPC avec d'autres comptes](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html) dans le *Guide de l'utilisateur Amazon VPC*.

# Passerelles de transport en commun dans AWS Transit Gateway
<a name="tgw-transit-gateways"></a>

Une passerelle de transit vous permet de connecter VPCs des connexions VPN et d'acheminer le trafic entre elles. Une passerelle de transit fonctionne de part en part Comptes AWS, et vous pouvez l'utiliser AWS RAM pour partager votre passerelle de transit avec d'autres comptes. Une fois que vous avez partagé une passerelle de transit avec une autre Compte AWS, le titulaire du compte peut l'associer VPCs à votre passerelle de transit. Un utilisateur de l'un des comptes peut supprimer l'attachement à tout moment.

Vous pouvez activer la multicast sur une passerelle de transit, puis créer un domaine multicast de passerelle de transit qui autorise l'envoi du trafic multicast à partir de votre source multicast vers des membres de groupe multicast sur des attachements de VPC que vous associez au domaine.

Chaque VPC ou attachement VPN est associé à une seule table de routage. Cette table de routage commande le prochain saut pour le trafic venant de cet attachement de ressource. Une table de routage à l'intérieur de la passerelle de transit autorise à la fois IPv6 CIDRs les cibles IPv4 ou. Les cibles sont VPCs les connexions VPN. Lorsque vous attachez un VPC ou créez une connexion VPN sur la passerelle de transit, l'attachement est associé à la table de routage par défaut de la passerelle de transit.

Vous pouvez créer d'autres tables de routage à l'intérieur de la passerelle de transit et modifier l'association de VPC ou de VPN avec ces tables de routage. Vous pouvez ainsi segmenter votre réseau. Par exemple, vous pouvez VPCs associer le développement à une table de routage et la production VPCs à une autre table de routage. Cela vous permet de créer des réseaux isolés au sein d'une passerelle de transit, de la même manière que le routage et le transfert virtuels (VRFs) dans les réseaux traditionnels.

Les passerelles de transit prennent en charge le routage dynamique et statique entre les connexions connectées VPCs et les connexions VPN. Vous pouvez activer ou désactiver la propagation du routage pour chaque attachement. Les pièces jointes du concentrateur VPN prennent uniquement en charge le routage BGP (dynamique). Les attachements d'appairage de passerelle de transit prennent uniquement en charge le routage statique. Vous pouvez faire pointer les itinéraires des tables de routage des passerelles de transit vers l'attachement d'appairage pour acheminer le trafic entre les passerelles de transit homologues.

Vous pouvez éventuellement associer un IPv4 ou plusieurs blocs IPv6 CIDR à votre passerelle de transit. Spécifiez une adresse IP à partir du bloc d'adresse CIDR lorsque vous établissez un pair Transit Gateway Connect pour un [attachement Transit Gateway Connect](tgw-connect.md). Vous pouvez associer n'importe quelle plage d'adresses IP publiques ou privées, sauf les adresses de la plage d'adresses `169.254.0.0/16`, et des plages qui se chevauchent avec des adresses de vos attachements VPC et des réseaux sur site. Pour plus d'informations sur les blocs IPv6 CIDR IPv4 et les blocs CIDR, consultez la section [Adressage IP](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html) dans le guide de l'*utilisateur Amazon VPC.*

**Topics**
+ [Créer une passerelle de transit](create-tgw.md)
+ [Afficher une passerelle de transit](view-tgws.md)
+ [Gérer les balises des passerelles de transit](tgw-tagging.md)
+ [Modifier une passerelle de transit](tgw-modifying.md)
+ [Accepter un partage de ressources](share-accept-tgw.md)
+ [Accepter un attachement partagé](acccept-tgw-attach.md)
+ [Supprimer une passerelle de transit](delete-tgw.md)
+ [Support en matière de chiffrement](tgw-encryption-support.md)

# Création d'une passerelle de transit dans AWS Transit Gateway
<a name="create-tgw"></a>

Lorsque vous créez une passerelle de transit, nous créons une table de routage de la passerelle de transit par défaut et nous l'utilisons comme table de routage d'association et table de routage de propagation par défaut. Si vous choisissez de ne pas créer la table de routage de la passerelle de transit par défaut, vous pouvez en créer une ultérieurement. Pour plus d'informations sur les routes et les tables de routage, consultez [Routage](how-transit-gateways-work.md#tgw-routing-overview).

**Note**  
Si vous souhaitez activer la prise en charge du chiffrement sur une passerelle de transit, vous ne pouvez pas l'activer lors de la création de la passerelle. Une fois que vous avez créé la passerelle de transit et qu'elle est dans l'état disponible, vous pouvez la modifier pour activer la prise en charge du chiffrement. Pour de plus amples informations, veuillez consulter [Support de chiffrement pour AWS Transit Gateway](tgw-encryption-support.md).

**Pour créer une passerelle de transit à l'aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Passerelles de transit**.

1. Choisissez **Create transit gateway** (Créer une passerelle de transit).

1. Pour la **Name tag (Balise nom)**, saisissez éventuellement un nom pour la passerelle de transit. Un nom permet d'identifier plus facilement une passerelle au sein d'une liste de passerelles. Lorsque vous ajouter une **Balise Nom**, une balise est créée avec une clé de **Nom** et avec une valeur égale à la valeur saisie.

1. Pour **Description**, saisissez éventuellement une description pour la passerelle de transit .

1. Pour **Amazon side Autonomous System Number (ASN)**, laissez la valeur par défaut pour utiliser l'ASN par défaut ou saisissez l'ASN privé de votre passerelle de transit. Il doit s'agir de l'ASN correspondant au AWS côté d'une session BGP (Border Gateway Protocol).

   La plage est comprise entre 64512 et 65534 pour 16 bits. ASNs

   La plage est comprise entre 4200000000 et 4294967294 pour 32 bits. ASNs

   Si vous avez un déploiement multi-régions, nous vous recommandons d'utiliser un seul ASN pour chacune de vos passerelles de transit.

1.  Pour le **support DNS**, sélectionnez cette option si vous avez besoin que le VPC transforme les noms d'hôtes IPv4 DNS publics en IPv4 adresses privées lorsqu'ils sont demandés par des instances d'un autre VPC connecté à la passerelle de transit.

1. Pour **la prise en charge du référencement des groupes de sécurité**, activez cette fonctionnalité pour référencer un groupe de sécurité VPCs attaché à une passerelle de transit. Pour plus d'informations sur le référencement des groupes de sécurité, consultez[Référencement des groupes de sécurité](tgw-vpc-attachments.md#vpc-attachment-security).

1. Pour **VPN ECMP support** (Prise en charge du protocole de VPN ECMP), sélectionnez cette option si vous avez besoin d'une prise en charge du routage ECMP (Equal Cost Multipath) entre des tunnels VPN. Si les connexions annoncent la même chose CIDRs, le trafic est réparti de manière égale entre elles.

   Lorsque vous sélectionnez cette option, l'ASN BGP annoncé, puis les attributs BGP tels que le chemin AS-Path, doivent être identiques.
**Note**  
Pour utiliser l'ECMP, vous devez créer une connexion VPN qui utilise le routage dynamique. Les connexions VPN qui utilisent le routage statique ne prennent pas en charge l'ECMP.

1. Pour **Default route table association** (Association de table de routage par défaut), sélectionnez cette option pour associer automatiquement les réseaux de transit par passerelle avec la table de routage par défaut pour la passerelle de transit.

1. Pour **Default route table propagation** (Propagation de table de routage par défaut), sélectionnez cette option pour propager automatiquement les réseaux de transit par passerelle vers la table de routage par défaut pour la passerelle de transit.

1. (Facultatif) Pour utiliser la passerelle de transit comme routeur pour du trafic de multicast, sélectionnez **Multicast support** (Support multicast).

1. (Facultatif) Dans la section **Configure-cross-account des options de partage**, choisissez d'**accepter automatiquement les pièces jointes partagées**. Si cette option est activée, les pièces jointes sont automatiquement acceptées. Dans le cas contraire, vous devez accepter ou rejeter les demandes de pièces jointes.

   Pour **Auto accept shared attachments** (Accepter automatiquement les attachements partagés), sélectionnez cette option pour accepter automatiquement les attachements entre comptes.

1. (Facultatif) Pour les **blocs CIDR de passerelle de transit**, spécifiez un IPv4 ou plusieurs blocs IPv6 CIDR pour votre passerelle de transit. 

   Vous pouvez spécifier un bloc CIDR de taille /24 ou plus (par exemple, /23 ou /22) pour IPv4, ou un bloc CIDR de taille /64 ou plus (par exemple, /63 ou /62) pour. IPv6 Vous pouvez associer n'importe quelle plage d'adresses IP publiques ou privées, sauf les adresses de la plage 169.254.0.0/16, et des plages qui se chevauchent avec les adresses de vos attachements VPC et des réseaux sur site.
**Note**  
Les blocs CIDR de passerelle de transit sont utilisés si vous configurez des pièces jointes Connect (GRE) ou VPNs PrivateIP. Transit Gateway attribue IPs aux points de terminaison du tunnel (GRE/PrivateIP VPN) de cette plage.

1. Choisissez **Create transit gateway** (Créer une passerelle de transit).

**Pour créer une passerelle de transit à l'aide du AWS CLI**  
Utilisez la commande [create-transit-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway.html).

# Afficher les informations relatives aux passerelles de AWS transit dans Transit Gateway
<a name="view-tgws"></a>

Consultez n'importe laquelle de vos passerelles de transport en commun.

**Pour afficher une passerelle de transit à l'aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Passerelles de transit**. Les détails de la passerelle de transit sont affichés sous la liste des passerelles sur la page.

**Pour consulter une passerelle de transit à l'aide du AWS CLI**  
Utilisez la commande [describe-transit-gateways](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateways.html).

# Gérez les balises de passerelle de AWS transit dans Transit Gateway
<a name="tgw-tagging"></a>

Ajoutez des balises à vos ressources pour les organiser et les identifier, par exemple selon leur but, leur propriétaire ou leur environnement. Vous pouvez ajouter plusieurs balises à chaque passerelle de transit. Les clés de balise doivent être uniques pour chaque passerelle de transit. Si vous ajoutez une balise avec une clé qui est déjà associée à la passerelle de transit, la valeur de cette balise sera mise à jour. Pour plus d'informations, consultez la section [Marquage de vos EC2 ressources Amazon](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html).

**Ajouter des balises à une passerelle de transit à l'aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Passerelles de transit**.

1. Choisissez la passerelle de transit pour laquelle vous souhaitez ajouter ou modifier des balises.

1. Choisissez l'onglet **Tags** (Balises) dans la partie inférieure de la page.

1. Choisissez **Gérer les balises**.

1. Choisissez **Add new tag** (Ajouter une nouvelle balise).

1. Saisissez une **clé** et une **valeur** pour la balise.

1. Choisissez **Enregistrer**.

# Modifier une passerelle de transit dans AWS Transit Gateway
<a name="tgw-modifying"></a>

Vous pouvez modifier les options de configuration d'une passerelle de transit. Lorsque vous modifiez une passerelle de transit, les pièces jointes de passerelle de transit existantes ne subissent aucune interruption de service.

Vous ne pouvez pas modifier une passerelle de transit qui a été partagée avec vous.

Vous ne pouvez pas supprimer un bloc d’adresse CIDR pour la passerelle de transit si l’une des adresses IP est actuellement utilisée pour un [pair Connect](tgw-connect.md).

**Note**  
Les passerelles de transit sur lesquelles le Support de chiffrement est activé peuvent être connectées à l' VPCs aide de contrôles de chiffrement en mode surveillance ou application, ou à celles pour VPCs lesquelles les contrôles de chiffrement ne sont pas activés. VPCs qui ont des contrôles de chiffrement en mode Enforce peuvent UNIQUEMENT être connectés aux passerelles de transit sur lesquelles le Support de chiffrement est activé.   
Pour en savoir plus, consultez [Support de chiffrement pour AWS Transit Gateway](tgw-encryption-support.md).

**Pour modifier une passerelle de transit**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Passerelles de transit**.

1. Choisissez la passerelle de transit à modifier.

1. Choisissez **Actions**,**Modify transit gateway** (Modifier la passerelle de transit).

1. Modifiez les options selon vos besoins, puis choisissez **Modify transit gateway (Modifier la passerelle de transit)**. 

**Pour modifier votre passerelle de transit à l'aide du AWS CLI**  
Utilisez la commande [modify-transit-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-transit-gateway.html).

# Accepter un partage de ressources AWS Transit Gateway à l'aide de la AWS Resource Access Manager console
<a name="share-accept-tgw"></a>

Si vous avez été ajouté à un partage de ressource, vous recevez une invitation à rejoindre le partage de ressource. Vous devez accepter le partage des ressources via la console AWS Resource Access Manager (AWS RAM) avant de pouvoir accéder aux ressources partagées.

**Pour accepter un partage de ressources**

1. Ouvrez la AWS RAM console à l'adresse [https://console.aws.amazon.com/ram/](https://console.aws.amazon.com/ram/).

1. Dans le volet de navigation, choisissez **Shared with me (Partagé avec moi)**, **Resource shares (Partages de ressources)**.

1. Sélectionnez le partage de ressources.

1. Sélectionnez **Accepter un partage de ressource**.

1. Pour afficher la passerelle de transit partagée, ouvrez la page **Transit Gateways (Passerelles de transit)** dans la console Amazon VPC.

# Accepter une pièce jointe partagée dans AWS Transit Gateway
<a name="acccept-tgw-attach"></a>

Si vous n'avez pas activé la fonctionnalité d'**acceptation automatique des pièces jointes partagées** lorsque vous avez créé votre passerelle de transit, vous devez accepter manuellement les pièces jointes entre comptes (partagées) à l'aide de la console Amazon VPC ou de la AWS CLI.

**Pour accepter manuellement un attachement partagé**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Attachements de passerelle de transit**.

1. Sélectionnez l'attachement de la passerelle de transit en attente d'acceptation.

1. Choisissez **Actions**, **Accept transit gateway attachment** (Accepter le réseau de transit par passerelle).

**Pour accepter une pièce jointe partagée à l'aide du AWS CLI**  
Utilisez la commande [accept-transit-gateway-vpc-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/accept-transit-gateway-vpc-attachment.html).

# Supprimer une passerelle de transit dans AWS Transit Gateway
<a name="delete-tgw"></a>

Vous ne pouvez pas supprimer une passerelle de transit avec des attachements existants. Vous devez d'abord supprimer tous les attachements avant de supprimer une passerelle de transit.

**Pour supprimer une passerelle de transit à l'aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Choisissez la passerelle de transit à supprimer.

1. Choisissez **Actions**, **Delete transit gateway** (Supprimer la passerelle de transit). Saisissez **delete** et choisissez **Delete** (Supprimer) pour confirmer la suppression.

**Pour supprimer une passerelle de transit à l'aide du AWS CLI**  
Utilisez la commande [delete-transit-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway.html).

# Support de chiffrement pour AWS Transit Gateway
<a name="tgw-encryption-support"></a>

Encryption Controls vous permet d'auditer l'état de chiffrement des flux de trafic dans votre VPC, puis de l'appliquer encryption-in-transit à l'ensemble du trafic au sein du VPC. Lorsque le contrôle du chiffrement VPC est en mode d'application, toutes les interfaces réseau élastiques (ENI) de ce VPC ne pourront être associées qu'aux instances compatibles avec le chiffrement AWS Nitro ; et seuls les AWS services qui chiffrent les données en transit seront autorisés à se connecter au VPC imposé par Encryption Controls. [Pour plus d'informations sur les contrôles de chiffrement VPC, consultez cette documentation.](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-encryption-controls.html) 

## Support du chiffrement Transit Gateway et contrôle du chiffrement VPC
<a name="tgw-encryption-support-overview"></a>

Le support de chiffrement sur Transit Gateway vous permet de renforcer encryption-in-transit le trafic entre les entités VPCs rattachées à une passerelle de transit. Vous devrez activer manuellement le Support de chiffrement sur le Transit Gateway à l'aide de la [modify-transit-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-transit-gateway.html)commande permettant de chiffrer le trafic entre les VPCs. Une fois activé, tout le trafic traversera des liens chiffrés à 100 % entre ceux VPCs qui sont en mode Enforce (sans exclusions) via le Transit Gateway. Vous pouvez également vous connecter VPCs si les contrôles de chiffrement ne sont pas activés ou si vous êtes en mode Monitor via un Transit Gateway sur lequel le support de chiffrement est activé. Dans ce scénario, il est garanti que Transit Gateway cryptera le trafic jusqu'à la pièce jointe Transit Gateway dans le VPC qui ne fonctionne pas en mode forcé. Au-delà de cela, cela dépend de l'instance à laquelle le trafic est envoyé dans le VPC qui ne fonctionne pas en mode Enforce.

Vous ne pouvez ajouter la prise en charge du chiffrement qu'à une passerelle de transit existante, et non pendant que vous en créez une. Lorsque le Transit Gateway passe à l'état Encryption Support Enabled, il n'y aura aucune interruption de service sur le Transit Gateway ou sur les pièces jointes. La migration est fluide et transparente, aucun trafic n'étant perdu. Pour les étapes à suivre pour modifier une passerelle de transit afin d'ajouter le support de chiffrement, voir[Modifier une passerelle de transit](tgw-modifying.md#tgw-modifying.title).

### Exigences
<a name="tgw-encryption-support-requirements"></a>

Avant d'activer la prise en charge du chiffrement sur une passerelle de transit, assurez-vous que :
+ La passerelle de transit ne possède pas de pièces jointes Connect
+ La passerelle de transit ne possède pas de pièces jointes Peering
+ La passerelle de transit ne possède pas de pièces jointes Network Firewall
+ La passerelle de transit ne possède pas de pièces jointes au concentrateur VPN
+ Les références de groupe de sécurité ne sont pas activées sur la passerelle de transit
+ Les fonctionnalités de multidiffusion ne sont pas activées sur la passerelle de transit

### Support du chiffrement : États
<a name="tgw-encryption-support-states"></a>

Une passerelle de transit peut avoir l'un des états de chiffrement suivants :
+ **activation** - La passerelle de transit est en train d'activer la prise en charge du chiffrement. Ce processus peut prendre jusqu'à 14 jours.
+ **activé** - La prise en charge du chiffrement est activée sur la passerelle de transit. Vous pouvez créer des pièces jointes VPC en appliquant le contrôle du chiffrement.
+ **désactivation** : la passerelle de transit est en train de désactiver la prise en charge du chiffrement.
+ **désactivé** - La prise en charge du chiffrement est désactivée sur la passerelle de transit.

### Règles de fixation du Transit Gateway
<a name="tgw-encryption-support-attachments"></a>

Lorsque la prise en charge du chiffrement est activée sur une passerelle de transit, les règles de pièces jointes suivantes s'appliquent :
+ Lorsque l'état de chiffrement de la passerelle de transit est **activé** ou **désactivé**, vous pouvez créer des pièces jointes Direct Connect, des pièces jointes VPN et des pièces jointes VPC qui ne sont pas en mode Encryption Control appliqué ou en mode d'application.
+ Lorsque l'état de chiffrement de la passerelle de transit est **activé**, vous pouvez créer des pièces jointes VPC, Direct Connect, VPN et VPC dans n'importe quel mode de contrôle du chiffrement.
+ Lorsque l'état de chiffrement de la passerelle de transit est **désactivé**, vous ne pouvez pas créer de nouvelles pièces jointes VPC avec le contrôle de chiffrement appliqué.
+ Connect les pièces jointes, les pièces jointes de peering, les références aux groupes de sécurité et les fonctionnalités de multidiffusion ne sont pas prises en charge par le support de chiffrement.

Toute tentative de création de pièces jointes incompatibles échouera avec une erreur d'API.

# Pièces jointes Amazon VPC dans Transit Gateway AWS
<a name="tgw-vpc-attachments"></a>

Une pièce jointe Amazon Virtual Private Cloud (VPC) à une passerelle de transit vous permet d'acheminer le trafic vers et depuis un ou plusieurs sous-réseaux VPC. Lorsque vous attachez un VPC à une passerelle de transit, vous devez spécifier un sous-réseau depuis chaque zone de disponibilité que la passerelle de transit va utiliser pour acheminer le trafic. Les sous-réseaux spécifiés servent de points d'entrée et de sortie pour le trafic de passerelle de transit. Le trafic ne peut atteindre les ressources des autres sous-réseaux de la même zone de disponibilité que si les sous-réseaux rattachés à la passerelle de transit ont des itinéraires appropriés configurés dans leurs tables de routage pointant vers les sous-réseaux cibles.

**Restrictions**
+ Lorsque vous attachez un VPC à une passerelle de transit, les ressources des zones de disponibilité où il n'existe pas d'attachement de passerelle de transit ne peuvent pas atteindre celle-ci. 
**Note**  
Dans les zones de disponibilité comportant des pièces jointes à une passerelle de transit, le trafic est uniquement transféré vers la passerelle de transit à partir des sous-réseaux spécifiques associés à la pièce jointe. S'il existe un itinéraire vers la passerelle de transit dans une table de routage de sous-réseau, le trafic est transféré vers la passerelle de transit uniquement lorsque la passerelle de transit possède une pièce jointe dans un sous-réseau de la même zone de disponibilité et que la table de routage du sous-réseau de pièces jointes contient les itinéraires appropriés vers la destination prévue du trafic au sein du VPC.
+ Une passerelle de transit ne prend pas en charge la résolution DNS pour les noms DNS personnalisés des configurations VPCs associées à l'aide de zones hébergées privées dans Amazon Route 53. Pour configurer la résolution des noms pour les zones hébergées privées pour toutes les personnes VPCs rattachées à une passerelle de transit, consultez la section [Gestion DNS centralisée du cloud hybride avec Amazon Route 53 et AWS Transit Gateway](https://aws.amazon.com/blogs/networking-and-content-delivery/centralized-dns-management-of-hybrid-cloud-with-amazon-route-53-and-aws-transit-gateway/).
+ Une passerelle de transit ne prend pas en charge le routage entre deux VPCs adresses identiques CIDRs, ou si un CIDR d'une plage chevauche un CIDR d'un VPC rattaché. Si vous attachez un VPC à une passerelle de transit et que son CIDR est identique ou chevauche le CIDR d'un autre VPC déjà attaché à la passerelle de transit, les itinéraires du VPC nouvellement attaché ne sont pas propagés vers la table de routage de la passerelle de transit.
+ Vous ne pouvez pas créer de pièce jointe pour un sous-réseau de VPC résidant dans une zone locale. Toutefois, vous pouvez configurer votre réseau de sorte que les sous-réseaux de la zone locale puissent se connecter à une passerelle de transit via la zone de disponibilité parente. Pour plus d'informations, consultez [Connexion des sous-réseaux de la zone locale à une passerelle de transit](https://docs.aws.amazon.com/vpc/latest/userguide/Extend_VPCs.html#connect-local-zone-tgw).
+ Vous ne pouvez pas créer de pièce jointe à une passerelle de transit en utilisant IPv6 uniquement des sous-réseaux. Les sous-réseaux attachés aux passerelles de transit doivent également prendre en charge IPv4 les adresses.
+ Une passerelle de transit doit avoir au moins un attachement VPC avant de pouvoir être ajoutée à une table de routage.

## Exigences relatives aux tables de routage pour les pièces jointes VPC
<a name="vpc-attachment-routing-requirements"></a>

Les pièces jointes VPC de la passerelle de transit nécessitent des configurations de table de routage spécifiques pour fonctionner correctement :
+ **Tables de routage du sous-réseau de pièces jointes** : les sous-réseaux associés à la passerelle de transit doivent comporter des entrées de table de routage pour toutes les destinations du VPC qui doivent être accessibles via la passerelle de transit. Cela inclut les routes vers d'autres sous-réseaux, les passerelles Internet, les passerelles NAT et les points de terminaison VPC.
+ **Tables de routage des sous-réseaux cibles** : les sous-réseaux contenant des ressources qui doivent communiquer via la passerelle de transit doivent avoir des itinéraires pointant vers la passerelle de transit pour le trafic de retour vers des destinations externes.
+ **Trafic VPC local** : l'attachement à une passerelle de transit n'active pas automatiquement la communication entre les sous-réseaux au sein d'un même VPC. Les règles de routage VPC standard s'appliquent, et la route locale (VPC CIDR) doit être présente dans les tables de routage pour les communications intra-VPC.

**Note**  
Le fait que des itinéraires soient configurés dans des sous-réseaux sans rattachement au sein de la même zone de disponibilité n'active pas le flux de trafic. Seuls les sous-réseaux spécifiques associés à l'attachement de la passerelle de transit peuvent servir de entry/exit points pour le trafic de la passerelle de transit.

## Cycle de vie des attachements VPC
<a name="vpc-attachment-lifecycle"></a>

Un attachement VPC passe par différentes étapes, à partir du lancement de la demande. Vous pouvez être amené à effectuer des actions à chaque étape. À la fin de son cycle de vie, l'attachement du VPC reste visible dans la Amazon Virtual Private Cloud Console et dans l'API ou la sortie de la ligne de commande, pendant une période déterminée. 

Le diagramme suivant montre les états par lesquels qu'un attachement peut passer dans une configuration de compte unique ou une configuration inter-comptes pour laquelle l' **acceptation automatique des attachements partagés** est activée.

![\[Cycle de vie des attachements VPC\]](http://docs.aws.amazon.com/fr_fr/vpc/latest/tgw/images/vpc-attachment-lifecycle.png)

+ **En attente** : une demande d'attachement VPC a été lancée et est en processus de mise en service. À ce stade, l'attachement peut échouer, ou peut aller à `available`.
+ **Échec** : une demande d'attachement VPC échoue. À ce stade, l'attachement VPC va à `failed`.
+ **Échec** : la demande de l'attachement VPC a échoué. Dans cet état, il ne peut pas être supprimé. L'attachement VPC défaillant reste visible pendant 2 heures, puis n'est plus visible.
+ **Disponible** : l'attachement VPC est disponible et le trafic peut circuler entre le VPC et la passerelle de transit. A ce stade, l'attachement peut aller à `modifying`, ou aller à `deleting`.
+ **Suppression** : attachement VPC en cours de suppression. A ce stade, l'attachement peut aller à `deleted`.
+ **Supprimé** : un attachement VPC `available` a été supprimé. Dans cet état, l'attachement VPC ne peut pas être modifié. L'attachement VPC reste visible pendant 2 heures, puis n'est plus visible.
+ **Modification** : une demande a été faite pour modifier les propriétés de l'attachement VPC. A ce stade, l'attachement peut aller à `available`, ou aller à `rolling back`.
+ **Retour arrière** : la demande de modification de l'attachement VPC ne peut pas être complétée et le système annule toutes les modifications qui ont été apportées. A ce stade, l'attachement peut aller à `available`.

Le diagramme suivant montre les états par lesquels qu'un attachement peut passer dans une configuration inter-comptes pour laquelle l' **acceptation automatique des attachements partagés** est désactivée.

![\[Cycle de vie d'un attachement VPC multi-comptes sur lequel l'acceptation automatique des attachements partagés est désactivée\]](http://docs.aws.amazon.com/fr_fr/vpc/latest/tgw/images/vpc-attachment-lifecycle-cross-account.png)

+ **Acceptation en attente** : La demande d'attachement VPC est en attente d'acceptation. À ce stade, l'attachement peut aller à `pending`,à `rejecting`, ou à `deleting`.
+ **Rejet** : attachement VPC en train d'être rejeté. A ce stade, l'attachement peut aller à `rejected`.
+ **Rejeté** : un attachement VPC `pending acceptance` a été rejeté. Dans cet état, l'attachement VPC ne peut pas être modifié. L'attachement VPC reste visible pendant 2 heures, puis n'est plus visible.
+ **En attente** : la demande d'attachement VPC a été acceptée et est en processus de mise en service. À ce stade, l'attachement peut échouer, ou peut aller à `available`.
+ **Échec** : une demande d'attachement VPC échoue. À ce stade, l'attachement VPC va à `failed`.
+ **Échec** : la demande de l'attachement VPC a échoué. Dans cet état, il ne peut pas être supprimé. L'attachement VPC défaillant reste visible pendant 2 heures, puis n'est plus visible.
+ **Disponible** : l'attachement VPC est disponible et le trafic peut circuler entre le VPC et la passerelle de transit. A ce stade, l'attachement peut aller à `modifying`, ou aller à `deleting`.
+ **Suppression** : attachement VPC en cours de suppression. A ce stade, l'attachement peut aller à `deleted`.
+ **Supprimé** : un attachement VPC `available` ou `pending acceptance` a été supprimé. Dans cet état, l'attachement VPC ne peut pas être modifié. L'attachement VPC reste visible 2 heures, puis n'est plus visible.
+ **Modification** : une demande a été faite pour modifier les propriétés de l'attachement VPC. A ce stade, l'attachement peut aller à `available`, ou aller à `rolling back`.
+ **Retour arrière** : la demande de modification de l'attachement VPC ne peut pas être complétée et le système annule toutes les modifications qui ont été apportées. A ce stade, l'attachement peut aller à `available`.

## Mode Appliance
<a name="tgw-appliancemode"></a>

Si vous envisagez de configurer une appliance réseau dynamique dans votre VPC, vous pouvez activer la prise en charge du mode appliance pour la pièce jointe VPC dans laquelle se trouve l'appliance lorsque vous créez une pièce jointe. Cela garantit que AWS Transit Gateway utilise la même zone de disponibilité pour cet attachement VPC pendant toute la durée de vie du flux de trafic entre une source et une destination. Cela permet également à une passerelle de transit d'envoyer du trafic vers n'importe quelle zone de disponibilité du VPC, à condition qu'il existe une association de sous-réseau dans cette zone. Bien que le mode appliance ne soit pris en charge que sur les pièces jointes VPC, le flux réseau peut provenir de tout autre type de connexion de passerelle de transit, y compris les pièces jointes VPC, VPN et Connect. Le mode appliance fonctionne également pour les flux réseau dont les sources et les destinations sont différentes Régions AWS. Les flux réseau peuvent potentiellement être rééquilibrés entre différentes zones de disponibilité si vous n'activez pas initialement le mode appliance, mais que vous modifiez ultérieurement la configuration des pièces jointes pour l'activer. Vous pouvez activer ou désactiver le mode appliance à l'aide de la console, de la ligne de commande ou de l'API.

Le mode appliance dans AWS Transit Gateway optimise le routage du trafic en tenant compte des zones de disponibilité source et de destination lors de la détermination du chemin à travers un VPC en mode appliance. Cette approche améliore l'efficacité et réduit le temps de latence. Le comportement varie en fonction de la configuration spécifique et des modèles de trafic. Voici des exemples de scénarios.

### Scénario 1 : routage du trafic dans une zone de disponibilité via le VPC de l'appliance
<a name="tgw-appliancemode-scenario-1"></a>

Lorsque le trafic circule de la zone de disponibilité source us-east-1a vers la zone de disponibilité de destination us-east-1a, avec des pièces jointes VPC en mode appliance à la fois dans us-east-1a et us-east-1b, Transit Gateway sélectionne une interface réseau parmi us-east-1a au sein du VPC de l'appliance. Cette zone de disponibilité est maintenue pendant toute la durée du flux de trafic entre la source et la destination.

### Scénario 2 : routage du trafic des zones d'interdisponibilité via le VPC de l'appliance
<a name="tgw-appliancemode-scenario-2"></a>

Pour le trafic circulant de la zone de disponibilité source us-east-1a vers la zone de disponibilité de destination us-east-1b, avec des pièces jointes VPC en mode appliance dans us-east-1a et us-east-1b, Transit Gateway utilise un algorithme de hachage de flux pour sélectionner us-east-1a ou us-east-1b dans le VPC de l'appliance. La zone de disponibilité choisie est utilisée de manière cohérente pendant toute la durée de vie du flux.

### Scénario 3 : routage du trafic via un VPC de l'appliance sans données de zone de disponibilité
<a name="tgw-appliancemode-scenario-3"></a>

Lorsque le trafic provient de la zone de disponibilité source us-east-1a vers une destination sans informations de zone de disponibilité (par exemple, le trafic lié à Internet), avec des pièces jointes VPC en mode appliance dans us-east-1a et us-east-1b, Transit Gateway sélectionne une interface réseau parmi us-east-1a au sein du VPC de l'appliance.

### Scénario 4 : routage du trafic via un VPC d'appliance dans une zone de disponibilité distincte de la source ou de la destination
<a name="tgw-appliancemode-scenario-4"></a>

Lorsque le trafic circule de la zone de disponibilité source us-east-1a vers la zone de disponibilité de destination us-east-1b, avec des pièces jointes VPC en mode appliance dans différentes zones de disponibilité, par exemple us-east-1c et us-east-1d, Transit Gateway utilise un algorithme de hachage de flux pour sélectionner us-east-1c ou us-east-1d dans le VPC de l'appliance. La zone de disponibilité choisie est utilisée de manière cohérente pendant toute la durée de vie du flux.

**Note**  
Le mode appliance n'est pris en charge que pour les pièces jointes VPC. Assurez-vous que la propagation de routage est activée pour une table de routage associée à une pièce jointe VPC de l'appliance.

## Référencement des groupes de sécurité
<a name="vpc-attachment-security"></a>

Vous pouvez utiliser cette fonctionnalité pour simplifier la gestion des groupes de sécurité et le contrôle du instance-to-instance trafic entre VPCs eux qui sont attachés à la même passerelle de transit. Vous ne pouvez faire référence à des groupes de sécurité que dans les règles entrantes. Les règles de sécurité sortantes ne prennent pas en charge le référencement des groupes de sécurité. Aucun coût supplémentaire n'est associé à l'activation ou à l'utilisation du référencement des groupes de sécurité.

La prise en charge du référencement des groupes de sécurité peut être configurée à la fois pour les passerelles de transit et pour les pièces jointes VPC des passerelles de transit et ne fonctionnera que si elle a été activée à la fois pour une passerelle de transit et ses pièces jointes VPC.

### Limitations
<a name="vpc-attachment-security-limits"></a>

Les limitations suivantes s'appliquent lors de l'utilisation du référencement de groupes de sécurité avec une pièce jointe VPC. 
+ Le référencement des groupes de sécurité n'est pas pris en charge sur les connexions d'appairage des passerelles de transit. Les deux VPCs doivent être rattachés à la même passerelle de transit.
+ Le référencement des groupes de sécurité n'est pas pris en charge pour les pièces jointes VPC dans la zone de disponibilité use1-az3.
+ Le référencement des groupes de sécurité n'est pas pris en charge pour les points de PrivateLink terminaison. Nous vous recommandons d'utiliser des règles de sécurité basées sur le CIDR IP comme alternative.
+ Le référencement des groupes de sécurité fonctionne pour Elastic File System (EFS) tant qu'une règle de groupe de sécurité autorisant toutes les sorties est configurée pour les interfaces EFS du VPC. 
+ Pour la connectivité des zones locales via une passerelle de transit, seules les zones locales suivantes sont prises en charge : us-east-1-atl-2a, us-east-1-dfw-2a, us-east-1-iah-2a, us-west-2-lax-1a, us-west-2-lax-1b, us-east-1-mia-2a, us-east-1-chi-2a et us-west-2-phx-2a.
+ Nous recommandons de désactiver cette fonctionnalité au niveau de l'attachement au VPC VPCs pour les sous-réseaux situés dans des zones Local AWS , Outposts et Wavelength Zones non pris en charge AWS , car cela pourrait entraîner une interruption de service. 
+ Si vous disposez d'un VPC d'inspection, le référencement des groupes de sécurité via la passerelle de transit ne fonctionne pas sur Gateway AWS Load Balancer ou sur un Network Firewall. AWS 

**Topics**
+ [Exigences relatives aux tables de routage pour les pièces jointes VPC](#vpc-attachment-routing-requirements)
+ [Cycle de vie des attachements VPC](#vpc-attachment-lifecycle)
+ [Mode Appliance](#tgw-appliancemode)
+ [Référencement des groupes de sécurité](#vpc-attachment-security)
+ [Création d'une pièce jointe VPC](create-vpc-attachment.md)
+ [Modifier une pièce jointe VPC](modify-vpc-attachment.md)
+ [Modifier les balises de pièce jointe VPC](modify-vpc-attachment-tag.md)
+ [Afficher une pièce jointe VPC](view-vpc-attachment.md)
+ [Supprimer un attachement de VPC](delete-vpc-attachment.md)
+ [Mettre à jour les règles entrantes des groupes de sécurité](tgw-sg-updates-update.md)
+ [Identifier les groupes de sécurité référencés](tgw-sg-updates-identify.md)
+ [Supprimer les règles de groupe de sécurité obsolètes](tgw-sg-updates-stale.md)
+ [Résoudre les problèmes liés aux attachements VPC](transit-gateway-vpc-attach-troubleshooting.md)

# Création d'une pièce jointe VPC dans Transit Gateway AWS
<a name="create-vpc-attachment"></a>

**Pour créer un attachement de VPC à l'aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Attachements de passerelle de transit**.

1. Choisissez **Create transit gateway attachment** (Créer un réseau de transit par passerelle).

1. Pour **Name tag** (Balise nom), saisissez éventuellement un nom pour réseau de transit par passerelle.

1. Pour **Transit gateway ID** (ID de la passerelle de transit), choisissez la passerelle de transit pour l'attachement. Vous pouvez choisir une passerelle de transit que vous possédez ou une qui a été partagée avec vous.

1. Pour **Attachment type** (Type d'attachement), choisissez **VPC**.

1. Choisissez si vous souhaitez activer le **support DNS**, le **IPv6support** et le **support en mode appliance**.

   Si le mode appliance est choisi, le flux de trafic entre une source et une destination utilise la même zone de disponibilité pour l'attachement VPC pendant toute la durée de vie de ce flux.

1. Choisissez d'activer ou non la prise en **charge du référencement des groupes de sécurité**. Activez cette fonctionnalité pour référencer un groupe de sécurité VPCs attaché à une passerelle de transit. Pour plus d'informations sur le référencement des groupes de sécurité, consultez[Référencement des groupes de sécurité](tgw-vpc-attachments.md#vpc-attachment-security). 

1. Choisissez d'activer ou non **IPv6le Support**.

1. Pour **VPC ID (ID de VPC)**, choisissez le VPC à attacher à la passerelle de transit.

   Ce VPC doit avoir au moins un sous-réseau associé.

1. Pour **Sous-réseau IDs**, sélectionnez un sous-réseau pour chaque zone de disponibilité à utiliser par la passerelle de transit pour acheminer le trafic. Vous devez sélectionner au moins un sous-réseau. Vous pouvez sélectionner un seul sous-réseau par zone de disponibilité.

1. Choisissez **Create transit gateway attachment** (Créer un attachement de la passerelle de transit).

**Pour créer une pièce jointe VPC à l'aide du AWS CLI**  
Utilisez la commande [create-transit-gateway-vpc-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-vpc-attachment.html).

# Modifier une pièce jointe VPC dans Transit Gateway AWS
<a name="modify-vpc-attachment"></a>

**Pour afficher vos attachements de VPC à l'aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Attachements de passerelle de transit**.

1. Sélectionnez l'attachement VPC, puis choisissez **Actions**, **Modify transit gateway attachment** (Modifier le réseau de transit par passerelle).

1. Activez ou désactivez l'une des options suivantes :
   + **Prise en charge du DNS**
   + **IPv6 soutien**
   + **Prise en charge du mode appliance**

1. Pour ajouter ou supprimer un sous-réseau de la pièce jointe, cochez ou décochez la case correspondant à l'**ID de sous-réseau** que vous souhaitez ajouter ou supprimer.
**Note**  
L'ajout ou la modification d'un sous-réseau de pièces jointes VPC peut avoir un impact sur le trafic de données lorsque la pièce jointe est en état de modification.

1. Pour pouvoir référencer un groupe de sécurité VPCs attaché à une passerelle de transit, sélectionnez **Support de référencement des groupes de sécurité**. Pour plus d'informations sur le référencement des groupes de sécurité, consultez[Référencement des groupes de sécurité](tgw-vpc-attachments.md#vpc-attachment-security). 
**Note**  
Si vous désactivez le référencement de groupes de sécurité pour une passerelle de transit existante, il sera désactivé sur toutes les pièces jointes VPC. 

1. Choisissez **Modify transit gateway attachment** (Modifier le réseau de transit par passerelle). 

**Pour modifier vos pièces jointes VPC à l'aide du AWS CLI**  
Utilisez la commande [modify-transit-gateway-vpc-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-transit-gateway-vpc-attachment.html).

# Modifier les balises de pièce jointe d'un VPC dans Transit Gateway AWS
<a name="modify-vpc-attachment-tag"></a>

**Pour afficher vos balises d'attachement de VPC à l'aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Attachements de passerelle de transit**.

1. Sélectionnez l'attachement VPC, puis choisissez **Actions**, **Manage tags** (Gérer les balises).

1. [Ajouter une balise] Choisissez **Ajouter une nouvelle balise** et procédez comme suit :
   + Pour **Clé**, saisissez le nom de la clé.
   + Pour **Valeur**, saisissez la valeur de la clé.

1. [Supprimer une balise] En regard de la balise, choisissez **Remove (Supprimer)**.

1. Choisissez **Enregistrer**. 

   Les balises de pièce jointe VPC peuvent uniquement être modifiées à l'aide de la console. 

# Afficher une pièce jointe VPC dans Transit Gateway AWS
<a name="view-vpc-attachment"></a>

**Pour afficher vos attachements de VPC à l'aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Attachements de passerelle de transit**.

1. Dans la colonne **Resource type** (Type de ressource), recherchez **VPC**. Il s'agit des attachements VPC. 

1. Choisissez un attachement pour afficher ses détails.

**Pour afficher vos pièces jointes VPC à l'aide du AWS CLI**  
Utilisez la commande [describe-transit-gateway-vpc-attachments](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-vpc-attachments.html).

# Supprimer une pièce jointe VPC dans Transit Gateway AWS
<a name="delete-vpc-attachment"></a>

**Pour supprimer un attachement de VPC à l'aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Attachements de passerelle de transit**.

1. Sélectionnez l'attachement de VPC.

1. Choisissez **Actions**, **Delete transit gateway attachment** (Supprimer le réseau de transit par passerelle).

1. Lorsque vous y êtes invité, tapez **delete**, puis choisissez **Delete** (Supprimer).

**Pour supprimer une pièce jointe VPC à l'aide du AWS CLI**  
Utilisez la commande [delete-transit-gateway-vpc-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-vpc-attachment.html).

# Mettre à jour les règles entrantes des groupes de AWS Transit Gateway sécurité
<a name="tgw-sg-updates-update"></a>

Vous pouvez mettre à jour n'importe quelle règle de groupe de sécurité entrant associée à une passerelle de transit. Vous pouvez mettre à jour les règles du groupe de sécurité à l'aide de la console Amazon VPC ou à l'aide de la ligne de commande ou de l'API. Pour plus d'informations sur le référencement des groupes de sécurité, consultez[Référencement des groupes de sécurité](tgw-vpc-attachments.md#vpc-attachment-security).

**Pour mettre à jour les règles de votre groupe de sécurité à l'aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le panneau de navigation, choisissez **Groupes de sécurité**.

1. Sélectionnez le groupe de sécurité, puis choisissez **Actions**, **Modifier les règles entrantes** pour modifier les règles entrantes.

1. Pour ajouter une règle, choisissez **Ajouter une règle** et spécifiez le type, le protocole et la plage de ports. Pour **Source** (règle entrante), entrez l'ID du groupe de sécurité dans le VPC connecté à la passerelle de transit.
**Note**  
Les groupes de sécurité d'un VPC connecté à la passerelle de transit ne sont pas automatiquement affichés.

1. Pour modifier une règle existante, modifiez ses valeurs (par exemple, la source ou la description).

1. Pour supprimer une règle, cliquez sur **Supprimer** à côté de la règle.

1. Sélectionnez **Enregistrer les règles**.

**Pour mettre à jour les règles entrantes à l'aide de la ligne de commande**
+ [authorize-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-ingress.html) (AWS CLI)
+ [Grant-EC2SecurityGroupIngress](https://docs.aws.amazon.com/powershell/latest/reference/items/Grant-EC2SecurityGroupIngress.html) (AWS Tools for Windows PowerShell)
+ [Revoke-EC2SecurityGroupIngress](https://docs.aws.amazon.com/powershell/latest/reference/items/Revoke-EC2SecurityGroupIngress.html) (AWS Tools for Windows PowerShell)
+ [revoke-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-ingress.html) (AWS CLI)

# Identifier les groupes de sécurité AWS Transit Gateway référencés
<a name="tgw-sg-updates-identify"></a>

Pour déterminer si votre groupe de sécurité est référencé dans les règles d'un groupe de sécurité d'un VPC rattaché à la même passerelle de transit, utilisez l'une des commandes suivantes.
+ [describe-security-group-references](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-security-group-references.html) (AWS CLI)
+ [Get-EC2SecurityGroupReference](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2SecurityGroupReference.html) (AWS Tools for Windows PowerShell)

# Supprimer les règles de groupe AWS Transit Gateway de sécurité obsolètes
<a name="tgw-sg-updates-stale"></a>

Une règle de groupe de sécurité périmée est une règle qui fait référence à un groupe de sécurité supprimé dans le même VPC ou dans un VPC rattaché à la même passerelle de transit. Lorsqu'une règle du groupe de sécurité devient obsolète, elle n'est pas automatiquement supprimée de votre groupe de sécurité et vous devez la supprimer manuellement.

Vous pouvez afficher et supprimer les règles du groupe de sécurité obsolètes pour un VPC à l'aide de la console Amazon VPC.

**Pour afficher et supprimer des règles du groupe de sécurité obsolètes**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le panneau de navigation, choisissez **Groupes de sécurité**.

1. Choisissez **Actions (Actions)**, **Manage stale rules** (Gestion les règles obsolètes).

1. Pour**VPC**, choisissez le VPC dont les règles sont obsolètes.

1. Choisissez **Modifier**.

1. Choisissez le bouton **Supprimer** à la droite de la règle à supprimer. Choisissez **Prévisualiser les modifications**, **Enregistrer les règles**.

**Pour décrire les règles de votre groupe de sécurité périmées à l'aide de la ligne de commande**
+ [describe-stale-security-groups](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-stale-security-groups.html) (AWS CLI)
+ [Get-EC2StaleSecurityGroup](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2StaleSecurityGroup.html) (AWS Tools for Windows PowerShell)

Après avoir identifié les règles du groupe de sécurité obsolètes, vous pouvez les supprimer à l'aide des [revoke-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-egress.html)commandes [revoke-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-ingress.html)or.

# Résoudre les problèmes de AWS création de pièces jointes VPC Transit Gateway
<a name="transit-gateway-vpc-attach-troubleshooting"></a>

La rubrique suivante peut vous aider à résoudre les problèmes que vous pouvez rencontrer lorsque vous créez un attachement VPC.

**Problème**  
Sélectionnez l'attachement VPC. 

**Cause**  
Ce problème peut être dû à l'une des raisons suivantes :

1. L'utilisateur qui crée l'attachement VPC ne dispose pas des autorisations correctes pour créer un rôle lié au service.

1. Un problème de limitation s'est produit, en raison d'un trop grand nombre de requêtes IAM. Par exemple, vous utilisez CloudFormation pour créer des autorisations et des rôles.

1. Le compte a le rôle lié au service et le rôle lié au service a été modifié.

1. La passerelle de transit n'est pas dans l'état `available`.

**Solution**  
Selon la cause, essayez de procéder comme suit :

1. Vérifiez que l'utilisateur dispose des autorisations appropriées pour créer des rôles liés au service. Pour plus d’informations, consultez [Autorisations de rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions) dans le *Guide de l’utilisateur IAM*. Une fois que l'utilisateur dispose des autorisations, créez l'attachement VPC.

1. Créez la pièce jointe VPC manuellement. Pour de plus amples informations, veuillez consulter [Création d'une pièce jointe VPC dans Transit Gateway AWS](create-vpc-attachment.md).

1. Vérifiez que le rôle lié au service dispose des autorisations correctes. Pour de plus amples informations, veuillez consulter [Rôle lié à un service de passerelle de transit](service-linked-roles.md#tgw-service-linked-roles).

1. Vérifiez que la passerelle de transit est dans l'état `available`. Pour de plus amples informations, veuillez consulter [Afficher les informations relatives aux passerelles de AWS transit dans Transit Gateway](view-tgws.md).

# AWS Pièces jointes aux fonctions réseau Transit Gateway
<a name="tgw-nf-fw"></a>

Vous pouvez créer une pièce jointe à une fonction réseau à laquelle connecter directement votre passerelle de transit AWS Network Firewall. Il n'est donc plus nécessaire de créer et de gérer une inspection VPCs.

À l'aide d'un pare-feu, provisionne et gère AWS automatiquement toutes les ressources nécessaires en arrière-plan. Vous verrez une nouvelle pièce jointe à une passerelle de transit plutôt que des points de terminaison de pare-feu individuels. Cela simplifie le processus de mise en œuvre de l'inspection centralisée du trafic réseau.

Avant de pouvoir utiliser une pièce jointe de pare-feu, vous devez d'abord créer la pièce jointe dans AWS Network Firewall. Pour les étapes de création de la pièce jointe, voir [Getting Started with AWS Network Firewall Management](https://docs.aws.amazon.com/network-firewall/latest/developerguide/getting-started.html) dans le *guide du AWS Network Firewall développeur*. Une fois le pare-feu créé, vous pouvez consulter la pièce jointe dans la console Transit Gateway dans la section **Pièces jointes**. La pièce jointe sera répertoriée avec un type de **fonction réseau**. 

**Topics**
+ [Accepter ou rejeter une pièce jointe à une fonction réseau de passerelle de transit](accept-reject-firewall-attachment.md)
+ [Afficher les pièces jointes aux fonctions réseau](view-nf-attachment-nm.md)
+ [Acheminer le trafic via une passerelle de transit (fonction attachée)](route-traffic-nf-attachment.md)

# Accepter ou rejeter une pièce jointe à une fonction réseau AWS Transit Gateway
<a name="accept-reject-firewall-attachment"></a>

Vous pouvez utiliser la console Amazon VPC, la AWS Network Firewall CLI ou l'API pour accepter ou rejeter un attachement à une fonction réseau de passerelle de transit, y compris les pièces jointes Network Firewall. Si vous êtes propriétaire d'une passerelle de transit et que quelqu'un a créé une pièce jointe pare-feu à votre passerelle de transit à partir d'un autre compte, vous devez accepter ou rejeter la demande de pièce jointe. 

Pour accepter ou rejeter une attache à une fonction réseau à l'aide de la Network Firewall CLI, consultez le `AcceptNetworkFirewallTransitGatewayAttachment` ou `RejectNetworkFirewallTransitGatewayAttachment` APIs dans la [https://docs.aws.amazon.com/network-firewall/latest/APIReference/Welcome.html](https://docs.aws.amazon.com/network-firewall/latest/APIReference/Welcome.html).

## Accepter ou rejeter une pièce jointe à une fonction réseau à l'aide de la console
<a name="create-firewall-attachment-console"></a>

Utilisez la console Amazon VPC pour accepter ou rejeter un attachement à une fonction réseau de passerelle de transit.

**Pour accepter ou rejeter une pièce jointe à une fonction réseau à l'aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Transit Gateways**.

1. Choisissez les **pièces jointes Transit Gateway**.

1. Sélectionnez la pièce jointe dont l'état est **En attente d'acceptation** et le type de **fonction réseau**.

1. Choisissez **Actions**, puis choisissez **Accepter la pièce jointe** ou **Rejeter la pièce jointe**.

1. Dans la boîte de dialogue de confirmation, choisissez **Accepter** ou **Rejeter**.

Si vous acceptez la pièce jointe, elle devient active et le pare-feu peut inspecter le trafic. Si vous rejetez la pièce jointe, elle passe à l'état rejeté et sera finalement supprimée.

# Afficher les pièces jointes aux fonctions réseau AWS Transit Gateway
<a name="view-nf-attachment-nm"></a>

Vous pouvez consulter les pièces jointes de vos fonctions réseau, y compris vos AWS Network Firewall pièces jointes, à l'aide de la console Amazon VPC ou de la console Network Manager pour obtenir une représentation visuelle de la topologie de votre réseau. 

## Afficher une pièce jointe à une fonction réseau à l'aide de la console Network Manager
<a name="view-nf-attachment-console"></a>

Vous pouvez consulter les pièces jointes d'une fonction réseau à l'aide de la console Network Manager.

**Pour afficher les pièces jointes du pare-feu dans Network Manager**

1. Ouvrez la console Network Manager à la page d'[https://console.aws.amazon.com/networkmanager/accueil/](https://console.aws.amazon.com/networkmanager/home).

1. Créez un réseau mondial dans Network Manager si vous n'en avez pas déjà un.

1. Enregistrez votre passerelle de transit auprès de Network Manager.

1. Sous **Réseaux mondiaux**, choisissez le réseau mondial sur lequel se trouve la pièce jointe.

1. Dans le panneau de navigation, choisissez **Transit gateways (Passerelles de transit)**. 

1. Choisissez la passerelle de transit pour laquelle vous souhaitez afficher les pièces jointes.

1. Choisissez la vue de **l'arborescence topologique**. Les pièces jointes du Network Firewall apparaissent avec une icône de fonction réseau.

1. Pour afficher les détails relatifs à un attachement de pare-feu spécifique, sélectionnez la passerelle de transit dans la vue topologique, puis sélectionnez l'onglet **Fonction réseau**.

La console Network Manager fournit des informations détaillées sur les pièces jointes de votre pare-feu, notamment leur statut, la passerelle de transit associée et les zones de disponibilité.

## Afficher une pièce jointe à une fonction réseau à l'aide de la console Amazon VPC
<a name="view-nf-attachment-vpc"></a>

Utilisez la console VPC pour consulter la liste des types de pièces jointes de votre passerelle de transit.

**Pour afficher les types de pièces jointes d'une passerelle de transit à l'aide de la console VPC**
+ Consultez [Afficher une pièce jointe VPC](view-vpc-attachment.md). 

# Acheminer le trafic via une fonction réseau AWS Transit Gateway en pièce jointe
<a name="route-traffic-nf-attachment"></a>

Après avoir créé une pièce jointe à une fonction réseau, vous devez mettre à jour les tables de routage de votre passerelle de transit pour envoyer le trafic via le pare-feu à des fins d'inspection à l'aide de la console Amazon VPC ou de la CLI. Pour connaître les étapes de mise à jour d'une association de tables de routage d'une passerelle de transit, consultez[Associer une table de routage de passerelle de transit](associate-tgw-route-table.md).

## Acheminer le trafic via une pièce jointe au pare-feu à l'aide de la console
<a name="route-nf-attachment-console"></a>

Utilisez la console Amazon VPC pour acheminer le trafic via une pièce jointe à une fonction réseau de passerelle de transit.

**Pour acheminer le trafic via un attachement à une fonction réseau à l'aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Transit Gateways**.

1. Choisissez les **tables de routage de Transit Gateway**.

1. Sélectionnez la table de routage que vous souhaitez modifier.

1. Choisissez **Actions**, puis sélectionnez **Créer un itinéraire statique**.

1. Pour **CIDR**, entrez le bloc CIDR de destination pour l'itinéraire.

1. Pour **Attachement**, sélectionnez le rattachement de la fonction réseau. Par exemple, il peut s'agir d'une AWS Network Firewall pièce jointe.

1. Choisissez **Create static route** (Créer un acheminement statique).
**Note**  
Seuls les itinéraires statiques sont pris en charge.

Le trafic correspondant au bloc CIDR de votre table de routage sera désormais envoyé à la pièce jointe du pare-feu pour inspection avant d'être redirigé vers sa destination finale.

## Acheminer le trafic via un attachement à une fonction réseau à l'aide de la CLI ou de l'API
<a name="route-nf-attachment-cli-steps"></a>

Utilisez la ligne de commande ou l'API pour acheminer une pièce jointe à une fonction réseau de passerelle de transit.

**Pour acheminer le trafic via une fonction réseau attachée à l'aide de la ligne de commande ou de l'API**
+ Utilisez [https://docs.aws.amazon.com/cli/latest/reference/create-transit-gateway-route/create-transit-gateway-route.html](https://docs.aws.amazon.com/cli/latest/reference/create-transit-gateway-route/create-transit-gateway-route.html).

  Par exemple, la demande peut être destinée à acheminer une pièce jointe d'un pare-feu réseau :

  ```
  aws ec2 create-transit-gateway-route \
    --transit-gateway-route-table-id tgw-rtb-0123456789abcdef0 \
    --destination-cidr-block 0.0.0.0/0 \
    --transit-gateway-attachment-id tgw-attach-0123456789abcdef0
  ```

  La sortie renvoie ensuite :

  ```
  {
    "Route": {
      "DestinationCidrBlock": "0.0.0.0/0",
      "TransitGatewayAttachments": [
        {
          "ResourceId": "network-firewall",
          "TransitGatewayAttachmentId": "tgw-attach-0123456789abcdef0",
          "ResourceType": "network-function"
        }
      ],
      "Type": "static",
      "State": "active"
    }
  }
  ```

Le trafic correspondant au bloc CIDR de votre table de routage sera désormais envoyé à la pièce jointe du pare-feu pour inspection avant d'être redirigé vers sa destination finale.

# AWS Site-to-Site VPN pièces jointes dans AWS Transit Gateway
<a name="tgw-vpn-attachments"></a>

Vous pouvez connecter une pièce jointe Site-to-Site VPN à une passerelle de transit dans AWS Transit Gateway, ce qui vous permet de connecter votre réseau VPCs et celui de votre réseau local. Les itinéraires dynamiques et statiques sont pris en charge, de même que IPv4 et IPv6. 

**Exigences**
+ Pour associer une connexion VPN à votre passerelle de transit, vous devez spécifier la passerelle client VPN, qui a des exigences spécifiques en matière d'appareils. Avant de créer une pièce jointe Site-to-Site VPN, passez en revue les exigences relatives à la passerelle client pour vous assurer que votre passerelle est correctement configurée. Pour plus d'informations sur ces exigences, y compris des exemples de fichiers de configuration de passerelle, consultez la section [Exigences relatives à votre dispositif de passerelle client Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/CGRequirements.html) dans le *guide de AWS Site-to-Site VPN l'utilisateur*.
+  Pour les itinéraires statiques VPNs, vous devez également d'abord ajouter les itinéraires statiques à la table des itinéraires de la passerelle de transit. Les itinéraires statiques d'une table de routage d'une passerelle de transit qui ciblent un rattachement VPN ne sont pas filtrés par le Site-to-Site VPN, car cela peut permettre un flux de trafic sortant involontaire lors de l'utilisation d'un VPN basé sur le BGP. Pour connaître les étapes permettant d'ajouter un itinéraire statique à une table de routage de passerelle de transit, consultez[Créer un itinéraire statique](tgw-create-static-route.md). 

Vous pouvez créer, afficher ou supprimer une pièce jointe Site-to-Site VPN de passerelle de transit à l'aide de la console Amazon VPC ou de la CLI AWS .

**Topics**
+ [Créer un attachement de passerelle de transit avec un VPN](create-vpn-attachment.md)
+ [Afficher une pièce jointe à un VPN](view-vpn-attachment.md)
+ [Supprimer un attachement VPN](delete-vpn-attachment.md)

# Création d'une passerelle de transit attachée à un VPN dans AWS Transit Gateway
<a name="create-vpn-attachment"></a>

**Pour créer un attachement VPN à l'aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Attachements de passerelle de transit**.

1. Choisissez **Create transit gateway attachment** (Créer un réseau de transit par passerelle).

1. Pour **Transit gateway ID** (ID de la passerelle de transit), choisissez la passerelle de transit pour l'attachement. Vous pouvez choisir une passerelle de transit que vous possédez.

1. Pour **Attachment type** (Type d'attachement), choisissez **VPN**.

1. Pour **Customer Gateway** (Passerelle client), effectuez l'une des actions suivantes :
   + Pour utiliser une passerelle client existante, choisissez **Existante**, puis sélectionnez la passerelle à utiliser.

     Si votre passerelle client est située derrière un périphérique de traduction d'adresses réseau (NAT) qui est activé pour NAT Traversal (NAT-T), utilisez l'adresse IP publique de votre périphérique NAT et ajustez vos règles de pare-feu pour débloquer le port UDP 4500.
   + Pour créer une passerelle client, choisissez **Nouveau**, puis pour **Adresse IP**, saisissez une adresse IP publiques statique et **la version du moteur de cache**.

     Pour **Options de routage**, sélectionnez **Dynamique** ou **Statique**. Pour plus d'informations, consultez la section [Options de routage Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPNRoutingTypes.html) dans le *guide de AWS Site-to-Site VPN l'utilisateur*.

1. Pour **Tunnel Options (Options de tunnel)**, saisissez les plages CIDR et les clés pré-partagées pour votre tunnel. Pour plus d'informations, consultez [Architectures Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/site-site-architectures.html).

1. Choisissez **Create transit gateway attachment** (Créer un attachement de la passerelle de transit).

**Pour créer une pièce jointe VPN à l'aide du AWS CLI**  
Utilisez la commande [create-vpn-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpn-connection.html).

# Afficher une pièce jointe VPN dans AWS Transit Gateway
<a name="view-vpn-attachment"></a>

**Pour afficher vos attachements VPN à l'aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Attachements de passerelle de transit**.

1. Dans la colonne **Resource type** (Type de ressource), recherchez **VPN**. Il s'agit des annexes VPN. 

1. Choisissez un attachement pour afficher ses détails ou ajouter des balises.

**Pour consulter les pièces jointes de votre VPN à l'aide du AWS CLI**  
Utilisez la commande [describe-transit-gateway-attachments](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-attachments.html).

# Supprimer une pièce jointe VPN dans AWS Transit Gateway
<a name="delete-vpn-attachment"></a>

**Pour supprimer un attachement VPN à l'aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Attachements de passerelle de transit**.

1. Sélectionnez l'attachement VPN.

1. Choisissez l'ID de ressource de la connexion VPN pour accéder à la page **Connexions VPN**.

1. Choisissez **Actions**, **Supprimer**.

1. Lorsque vous êtes invité à confirmer l'opération, choisissez **Supprimer**.

**Pour supprimer une pièce jointe VPN à l'aide du AWS CLI**  
Utilisez la commande [delete-vpn-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpn-connection.html).

# Pièces jointes du concentrateur VPN dans AWS Transit Gateway
<a name="tgw-vpn-concentrator-attachments"></a>

AWS Site-to-Site Le concentrateur VPN est une nouvelle fonctionnalité qui simplifie la connectivité multisite pour les entreprises distribuées. Le concentrateur VPN convient aux clients qui ont besoin de connecter plus de 25 sites distants AWS, chaque site nécessitant une faible bande passante (moins de 100 Mbits/s).

## Comment fonctionne le concentrateur VPN
<a name="vpn-concentrator-how-it-works"></a>

Un concentrateur VPN apparaît sous la forme d'une pièce jointe unique sur votre passerelle de transit, mais peut héberger plusieurs connexions Site-to-Site VPN.

Le trafic provenant de toutes les connexions VPN du Concentrator est acheminé via la même passerelle de transit, ce qui vous permet d'appliquer des politiques de routage et des règles de sécurité cohérentes sur tous les sites connectés. Le Concentrator s'intègre parfaitement aux tables de routage des passerelles de transit, ce qui vous permet de contrôler le flux de trafic entre vos sites distants et les autres pièces jointes telles que VPCs les autres connexions VPN et les connexions de peering.

## Avantages du concentrateur VPN
<a name="vpn-concentrator-benefits"></a>
+ **Optimisation des coûts** : réduisez les coûts en consolidant plusieurs connexions VPN à faible bande passante sur une seule passerelle de transit, ce qui est particulièrement avantageux lorsque les sites individuels n'ont pas besoin d'une capacité de connexion VPN complète.
+ **Gestion simplifiée** : gérez plusieurs connexions à des sites distants via une pièce jointe unifiée tout en contrôlant et en surveillant les connexions VPN individuelles.
+ **Routage cohérent** : appliquez des politiques de routage unifiées sur tous les sites connectés par le biais d'une association de tables de routage unique pour la passerelle de transit.
+ **Architecture évolutive** : connectez jusqu'à 100 sites distants à l'aide d'un seul concentrateur, avec prise en charge d'un maximum de 5 concentrateurs par passerelle de transit.
+ **Fonctionnalités VPN standard** : chaque connexion VPN prend en charge les mêmes fonctionnalités de sécurité, de surveillance et de routage que les connexions Site-to-Site VPN standard.

**Exigences et limites**
+ **Routage BGP uniquement** : VPN Concentrator ne prend en charge que le routage BGP (dynamique). Le routage statique n'est pas pris en charge au lancement.
+ **Exigences relatives à la passerelle client** : chaque site distant nécessite une passerelle client qui prend en charge le routage BGP. Avant de créer des connexions VPN sur un concentrateur, consultez les exigences relatives à la passerelle client dans la section [Exigences relatives à votre dispositif de passerelle client Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/CGRequirements.html) dans le *guide de l'AWS Site-to-Site VPN utilisateur*.
+ **Considérations relatives aux performances** : chaque connexion VPN sur un concentrateur est conçue pour une bande passante maximale de 100 Mbits/s. Pour des besoins de bande passante plus élevés, pensez à utiliser des pièces jointes VPN de passerelle de transit standard.

Vous pouvez créer, afficher ou supprimer une pièce jointe du concentrateur VPN à l'aide de la console AWS VPC ou de la AWS CLI. Les connexions VPN individuelles sur le concentrateur sont gérées via la connexion VPN standard APIs et les interfaces de console.

**Topics**
+ [Comment fonctionne le concentrateur VPN](#vpn-concentrator-how-it-works)
+ [Avantages du concentrateur VPN](#vpn-concentrator-benefits)
+ [Création d'une pièce jointe au concentrateur VPN](create-vpn-concentrator-attachment.md)
+ [Afficher une pièce jointe d'un concentrateur VPN](view-vpn-concentrator-attachment.md)
+ [Supprimer une pièce jointe d'un concentrateur VPN](delete-vpn-concentrator-attachment.md)

# Création d'une pièce jointe à un concentrateur VPN dans AWS Transit Gateway
<a name="create-vpn-concentrator-attachment"></a>

**Prérequis**
+ Vous devez disposer d'une passerelle de transit existante dans votre compte.

**Pour créer une pièce jointe au concentrateur VPN à l'aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Site-to-Site VPN Concentrators.**

1. Choisissez **Create Site-to-Site VPN Concentrator.**

1. (Facultatif) Dans **le champ Name tag**, saisissez le nom de votre concentrateur Site-to-Site VPN.

1. Pour **Transit gateway**, sélectionnez une passerelle de transit existante.

1. (Facultatif) Pour ajouter des balises supplémentaires, choisissez **Ajouter une nouvelle balise** et spécifiez la clé et la valeur de chaque balise.

1. Choisissez **Create Site-to-Site VPN Concentrator.**

**Une fois que vous avez créé la pièce jointe VPN Concentrator, elle apparaît dans la liste des pièces jointes avec un type de ressource **VPN Concentrator** et un état initial en attente.** Lorsque la pièce jointe est prête, l'état devient **Disponible**. Vous pouvez ensuite créer des connexions Site-to-Site VPN sur ce concentrateur.

**Pour créer une pièce jointe au concentrateur VPN à l'aide du AWS CLI**  
Utilisez la commande [create-vpn-concentrator](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpn-concentrator.html).

**Pour créer une connexion VPN sur un concentrateur VPN à l'aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Site-to-Site VPN Connections**.

1. Choisissez **Create VPN connection** (Créer une connexion VPN).

1. Pour le **type de passerelle cible**, choisissez **Site-to-Site VPN Concentrator.**

1. Pour **Site-to-Site VPN Concentrator**, choisissez le VPN dans lequel vous souhaitez créer la connexion VPN.

1. Pour **Customer Gateway** (Passerelle client), effectuez l'une des actions suivantes :
   + Pour utiliser une passerelle client existante, choisissez **Existante**, puis sélectionnez la passerelle à utiliser. Assurez-vous que la passerelle client prend en charge le routage BGP.
   + Pour créer une passerelle client, choisissez **New (Nouveau)**. Dans **Adresse IP**, entrez l'adresse IP publique statique de votre dispositif de passerelle client. Pour l'ASN **BGP**, entrez le numéro de système autonome (ASN) du Border Gateway Protocol (BGP) pour votre passerelle client.

     Si votre passerelle client est située derrière un périphérique de traduction d'adresses réseau (NAT) qui est activé pour NAT Traversal (NAT-T), utilisez l'adresse IP publique de votre périphérique NAT et ajustez vos règles de pare-feu pour débloquer le port UDP 4500.

1. Pour les **options de routage**, **Dynamic (nécessite BGP)** est automatiquement sélectionné. VPN Concentrator prend uniquement en charge le routage dynamique avec BGP.

1. Pour le **stockage de clés pré-partagé**, sélectionnez **Standard** ou **Secrets Manager**.

1. Pour la **bande passante du tunnel**, **Standard** est automatiquement sélectionné. Le concentrateur VPN ne prend en charge que la bande passante standard des tunnels.

1. Pour la **version Tunnel inside IP**, sélectionnez **IPv4**soit **IPv6**.

1. (Facultatif) Sélectionnez **Activer l'accélération** pour améliorer les performances des tunnels VPN.

1. (Facultatif) Pour le **CIDR IPv4 du réseau local**, fournissez une plage d'adresses IPv4 CIDR.

1. (Facultatif) Pour le **CIDR IPv4 du réseau distant**, fournissez une plage d'adresses IPv4 CIDR.

1. Pour le **type d'adresse IP externe**, vous pouvez sélectionner **Public IPv4** ou **IPv6**Adresse.

1. (Facultatif) Pour les **options de tunnel**, vous pouvez configurer les paramètres du tunnel tels que les adresses IP internes du tunnel et les clés pré-partagées. Pour plus d'informations, consultez la section [Architectures Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/site-site-architectures.html) dans le *guide de AWS Site-to-Site VPN l'utilisateur*.

1. (Facultatif) Pour ajouter des balises supplémentaires, choisissez **Ajouter une nouvelle balise** et spécifiez la clé et la valeur de chaque balise.

1. Choisissez **Create VPN connection** (Créer une connexion VPN).

La connexion VPN apparaît dans la liste des connexions VPN avec l'ID du concentrateur VPN dans la colonne **Transit Gateway ID** et un état initial **en attente**. Lorsque la connexion VPN est prête, l'état passe à **Disponible**.

**Pour créer une connexion VPN sur un concentrateur VPN à l'aide du AWS CLI**  
Utilisez la [create-vpn-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpn-connection.html)commande et spécifiez l'ID du concentrateur VPN à l'aide du `--vpn-concentrator-id` paramètre.

# Afficher une pièce jointe d'un concentrateur VPN dans AWS Transit Gateway
<a name="view-vpn-concentrator-attachment"></a>

**Pour afficher les pièces jointes de votre concentrateur VPN à l'aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Attachements de passerelle de transit**.

1. Dans la colonne **Type de ressource**, recherchez **VPN Concentrator.** Voici les pièces jointes du concentrateur VPN.

1. Choisissez un attachement pour afficher ses détails.

**Pour afficher les connexions VPN sur un concentrateur VPN à l'aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Site-to-Site VPN Connections**.

1. Dans la liste des connexions VPN, identifiez les connexions qui affichent un identifiant de concentrateur VPN dans la colonne **Transit Gateway ID**. Il s'agit des connexions VPN hébergées sur les concentrateurs VPN.

1. Choisissez une connexion VPN pour en voir les détails.

**Pour consulter les pièces jointes de votre concentrateur VPN à l'aide du AWS CLI**  
Utilisez la [describe-vpn-concentrator](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpn-concentrator.html)commande pour afficher les détails du concentrateur VPN ou utilisez la [describe-transit-gateway-attachments](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-attachments.html)commande avec un filtre pour le type `vpn-concentrator` de ressource.

**Pour afficher les connexions VPN sur un concentrateur VPN à l'aide du AWS CLI**  
Utilisez la [describe-vpn-connections](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpn-connections.html)commande avec un filtre pour `vpn-concentrator-id` afficher les connexions VPN associées à un concentrateur spécifique.

# Supprimer une pièce jointe d'un concentrateur VPN dans AWS Transit Gateway
<a name="delete-vpn-concentrator-attachment"></a>

**Prérequis**
+ Toutes les connexions VPN sur le concentrateur VPN doivent être supprimées avant que vous puissiez supprimer la pièce jointe du concentrateur.
+ Assurez-vous d'avoir mis à jour vos configurations de routage pour tenir compte de la suppression du concentrateur VPN et des connexions VPN associées.

**Pour supprimer des connexions VPN sur un concentrateur VPN à l'aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Site-to-Site VPN Connections**.

1. Identifiez les connexions VPN associées à votre concentrateur VPN en recherchant l'ID du concentrateur VPN dans la colonne **Transit Gateway ID**.

1. Sélectionnez la connexion VPN que vous souhaitez supprimer.

1. Choisissez **Actions**, **Supprimer**.

1. Lorsque vous êtes invité à confirmer l'opération, choisissez **Supprimer**.

1. Répétez les étapes 4 à 6 pour chaque connexion VPN associée au concentrateur VPN.

**Pour supprimer une pièce jointe d'un concentrateur VPN à l'aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Attachements de passerelle de transit**.

1. Sélectionnez la pièce jointe du concentrateur VPN que vous souhaitez supprimer. Vérifiez qu'aucune connexion VPN n'est associée à ce concentrateur.

1. Choisissez **Actions**, puis **Supprimer la pièce jointe**.

1. Lorsque vous êtes invité à confirmer l’opération, choisissez **Supprimer**.

La pièce jointe du concentrateur VPN passe à l'état de **suppression** et sera supprimée de votre compte. Ce processus peut prendre quelques minutes.

**Pour supprimer des connexions VPN sur un concentrateur VPN à l'aide du AWS CLI**  
Utilisez la [delete-vpn-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpn-connection.html)commande pour chaque connexion VPN associée au concentrateur VPN.

**Pour supprimer une pièce jointe d'un concentrateur VPN à l'aide du AWS CLI**  
Utilisez la [delete-vpn-concentrator](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpn-concentrator.html)commande une fois que toutes les connexions VPN ont été supprimées.

# Pièces jointes d'une passerelle de transit à une passerelle Direct Connect dans AWS Transit Gateway
<a name="tgw-dcg-attachments"></a>

Attachez une passerelle de transit à une passerelle Direct Connect à l’aide d’une interface virtuelle de transit. Cette configuration offre les avantages suivants. Vous pouvez :
+ Gérez une seule connexion pour plusieurs VPCs ou pour celles VPNs qui se trouvent dans la même région.
+ Faites de la publicité pour les préfixes depuis AWS AWS et vers le local.

Le schéma suivant montre comment la passerelle Direct Connect vous permet de créer une connexion unique à votre connexion Direct Connect que vous VPCs pouvez tous utiliser.

![\[Passerelle Direct Connect connecté à une passerelle de transit\]](http://docs.aws.amazon.com/fr_fr/vpc/latest/tgw/images/direct-connect-tgw.png)


La solution implique les éléments suivants :
+ Une passerelle de transit
+ Une passerelle Direct Connect.
+ Une association entre la passerelle Direct Connect et la passerelle de transit.
+ Une interface de transit virtuelle attachée à la passerelle Direct Connect.

Pour plus d'informations sur la configuration des passerelles Direct Connect avec les passerelles de transit, consultez la section [Associations de passerelles de transit](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-transit-gateways.html) du *Guide de l'utilisateur AWS Direct Connect *.

# Pièces jointes de peering de Transit Gateway dans AWS Transit Gateway
<a name="tgw-peering"></a>

Vous pouvez associer les passerelles de transit intra-régionales et interrégionales et acheminer le trafic entre elles, y compris le trafic et. IPv4 IPv6 Pour ce faire, créez un attachement d'appairage sur votre passerelle de transit et spécifiez une passerelle de transit. La passerelle de transit homologue peut se trouver dans votre compte ou provenir d'un autre compte. Vous pouvez également demander une pièce jointe de peering depuis votre propre compte vers une passerelle de transit d'un autre compte.

Après que vous avez créé une demande d'attachement d'appairage, le propriétaire de la passerelle de transit appairée (également appelée *passerelle de transit acceptante*) doit accepter la demande. Pour acheminer le trafic entre les passerelles de transit, vous devez ajouter une route statique à la table de routage de passerelle de transit qui pointe vers l'attachement d'appairage de passerelle de transit.

Nous vous recommandons d'utiliser un ASNs système unique pour chaque passerelle de transit pair afin de tirer parti des futures capacités de propagation des itinéraires.

Le peering de passerelle de transit ne prend pas en charge la résolution de noms d'hôtes IPv4 DNS publics ou privés en IPv4 adresses privées situées de VPCs part et d'autre de la pièce jointe d'appairage de la passerelle de transit en utilisant le Amazon Route 53 Resolver dans une autre région. Pour de plus amples informations sur le résolveur Route 53, veuillez consulter [Qu'est-ce qu'Amazon Route 53 Resolver ?](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html) (langue française non garantie) dans le *Guide du développeur Amazon Route 53*.

L'appairage de passerelle de transit interrégional utilise la même infrastructure du réseau que l'appairage de VPC. Par conséquent, le trafic est chiffré à l'aide du chiffrement AES-256 au niveau de la couche réseau virtuel lors de son cheminement entre les régions. Le trafic est également chiffré à l'aide du chiffrement AES-256 sur la couche physique lorsqu'il traverse des liaisons réseau hors du contrôle physique de AWS. Par conséquent, le trafic est chiffré deux fois sur les liaisons réseau échappant au contrôle physique de AWS. Au sein de la même région, le trafic est chiffré au niveau de la couche physique uniquement lorsqu'il traverse des liaisons réseau hors du contrôle physique de AWS.

Pour plus d'informations sur les régions qui prennent en charge les pièces jointes d'appairage des passerelles de transport en commun, consultez la section [ FAQsPasserelles de AWS transit](https://aws.amazon.com/transit-gateway/faqs/).

## Considérations relatives à la AWS région d'inscription
<a name="opt-in-considerations"></a>

Vous pouvez appairer des passerelles de transit au-delà des frontières de la région d'adhésion. Pour plus d'informations sur ces régions et sur la manière de s'y inscrire, consultez [la section Gestion des AWS régions](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html). Prenez en considération les éléments suivants lorsque vous utilisez l'appairage de passerelle de transit dans ces régions :
+ Vous pouvez vous appairer à une région d'adhésion tant que le compte qui accepte l'attachement d'appairage a adhéré à cette région. 
+ Quel que soit le statut d'adhésion de la Région, AWS partage les données de compte suivantes avec le compte qui accepte la pièce jointe au peering :
  + Compte AWS ID
  + ID de passerelle de transit
  + Code région
+ Lorsque vous supprimez l'attachement de passerelle de transit, les données de compte ci-dessus sont supprimées.
+ Nous vous recommandons de supprimer l'attachement d'appairage de passerelle de transit avant de vous désinscrire de la région. Si vous ne supprimez pas l'attachement d'appairage, le trafic peut continuer à passer par l'attachement et vous continuez à payer des frais. Si vous ne supprimez pas l'attachement, vous pouvez adhérer de nouveau, puis supprimer l'attachement.
+ En général, la passerelle de transit a un modèle de paiement par l'expéditeur. En utilisant l'attachement d'appairage de passerelle de transit sur une limite d'adhésion, vous pouvez engendrer des frais dans une région qui accepterait l'attachement, y compris les régions auxquelles vous n'avez pas adhéré. Pour plus d'informations, consultez [Tarification AWS Transit Gateway](https://aws.amazon.com/transit-gateway/pricing/).

**Topics**
+ [Considérations relatives à la AWS région d'inscription](#opt-in-considerations)
+ [Créer un attachement d'appairage](tgw-peering-create.md)
+ [Accepter ou rejeter une demande de peering](tgw-peering-accept-reject.md)
+ [Ajouter un itinéraire à une table de routage d'une passerelle de transit](tgw-peering-add-route.md)
+ [Supprimer un attachement d'appairage](tgw-peering-delete.md)

# Création d'une pièce jointe de peering dans AWS Transit Gateway
<a name="tgw-peering-create"></a>

Avant de commencer, assurez-vous que vous avez l'ID de la passerelle de transit que vous souhaitez attacher. Si la passerelle de transit se trouve dans une autre Compte AWS, assurez-vous d'avoir l' Compte AWS identifiant du propriétaire de la passerelle de transit. Après avoir créé la pièce jointe d'appairage, le propriétaire de la passerelle de transit acceptrice doit accepter ou rejeter la demande de pièce jointe. 

**Pour créer un attachement d'appairage à l'aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Attachements de passerelle de transit**.

1. Choisissez **Create transit gateway attachment** (Créer un réseau de transit par passerelle).

1. Pour **Transit gateway ID** (ID de la passerelle de transit), choisissez la passerelle de transit pour l'attachement. Vous pouvez choisir une passerelle de transit que vous possédez. Les passerelles de transport partagées avec vous ne sont pas disponibles pour le peering.

1. Dans **Attachment type (Type d'attachement)**, choisissez **Peering Connexion (Connexion d'appairage)**.

1. Le cas échéant, saisissez une balise de nom pour l'attachement.

1. Pour **Account (Compte)**, sélectionnez l'une des options suivantes :
   + Si la passerelle de transit se trouve dans votre compte, choisissez **My account (Mon compte)**.
   + Si la passerelle de transit est différente Compte AWS, choisissez **Autre compte**. Dans **Account ID (ID de compte)**, saisissez l'ID de Compte AWS .

1. Pour **Région (Région)**, choisissez la région dans laquelle se trouve la passerelle de transit.

1. Pour **Transit gateway (accepter)** (Passerelle de transit acceptante), entrez l'ID de la passerelle de transit que vous souhaitez attacher.

1. Choisissez **Create transit gateway attachment** (Créer un réseau de transit par passerelle).

**Pour créer une pièce jointe de peering à l'aide du AWS CLI**  
Utilisez la commande [create-transit-gateway-peering-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-peering-attachment.html).

# Accepter ou rejeter une demande de pièce jointe de peering dans AWS Transit Gateway
<a name="tgw-peering-accept-reject"></a>

Une fois créée, une pièce jointe d'appairage d'une passerelle de transit est automatiquement créée dans un `pendingAcceptance` état et reste dans cet état indéfiniment jusqu'à ce qu'elle soit acceptée ou rejetée. Pour activer la pièce jointe d'appairage, le propriétaire de la passerelle de transit acceptrice doit accepter la demande de pièce jointe d'appairage, même si les deux passerelles de transit appartiennent au même compte. Acceptez la demande d'attachement d'appairage de la région dans laquelle se trouve la passerelle de transit acceptante. Sinon, si vous rejetez la pièce jointe d'appairage, vous devez rejeter la demande provenant de la région dans laquelle se trouve la passerelle de transit réceptrice.

**Pour accepter une demande d'attachement d'appairage à l'aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Attachements de passerelle de transit**.

1. Sélectionnez l'attachement d'appairage de passerelle de transit en attente d'acceptation.

1. Choisissez **Actions**, **Accept transit gateway attachment** (Accepter le réseau de transit par passerelle).

1. Ajoutez la route statique à la table de routage de passerelle de transit. Pour plus d'informations, consultez [Création d'un itinéraire statique dans AWS Transit Gateway](tgw-create-static-route.md).

**Pour refuser une demande d'attachement d'appairage à l'aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Attachements de passerelle de transit**.

1. Sélectionnez l'attachement d'appairage de passerelle de transit en attente d'acceptation.

1. Choisissez **Actions**, **Reject transit gateway attachment** (Rejeter le réseau de transit par passerelle).

**Pour accepter ou rejeter une pièce jointe de peering à l'aide du AWS CLI**  
Utilisez les commandes [accept-transit-gateway-peering-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/accept-transit-gateway-peering-attachment.html) et [reject-transit-gateway-peering-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/reject-transit-gateway-peering-attachment.html).

# Ajouter un itinéraire à une table de routage de passerelle de transit à l'aide de AWS Transit Gateway
<a name="tgw-peering-add-route"></a>

Pour acheminer le trafic entre les passerelles de transit appairées, vous devez ajouter un itinéraire statique à la table de routage de la passerelle de transit qui pointe vers l'attachement d'appairage de passerelle de transit. Le propriétaire de la passerelle acceptante doit également ajouter une route statique à la table de routage de sa passerelle de transit.

**Pour créer un itinéraire statique à l'aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Tables de routage de passerelle de transit**.

1. Sélectionnez la table de routage pour laquelle vous créez un itinéraire.

1. Choisissez **Actions**, **Create static route** (Créer un acheminement statique).

1. Sur la page **Créer un acheminement statique**, saisissez le bloc d'adresse CIDR pour lequel l'acheminement doit être créé. Spécifiez par exemple le bloc d'adresse CIDR d'un VPC attaché à la passerelle de transit homologue.

1. Choisissez l'attachement d'appairage pour l'itinéraire.

1. Choisissez **Create static route** (Créer un acheminement statique).

**Pour créer un itinéraire statique à l'aide du AWS CLI**  
Utilisez la commande [create-transit-gateway-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-route.html).

**Important**  
Après avoir créé l'itinéraire, la pièce jointe d'appairage de la passerelle de transit doit déjà être associée à la table de routage de la passerelle de transit. Pour de plus amples informations, veuillez consulter [Associer une table de routage de passerelle de AWS transit dans Transit Gateway](associate-tgw-route-table.md).

# Supprimer une pièce jointe de peering dans AWS Transit Gateway
<a name="tgw-peering-delete"></a>

Vous pouvez supprimer un attachement d'appairage de passerelle de transit. Le propriétaire de l'une ou l'autre des passerelles de transit peut supprimer l'attachement.

**Pour supprimer un attachement d'appairage à l'aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Attachements de passerelle de transit**.

1. Sélectionnez l'attachement d'appairage de passerelle de transit.

1. Choisissez **Actions**, **Delete transit gateway attachment** (Supprimer le réseau de transit par passerelle).

1. Saisissez **delete**, puis choisissez **Delete** (Supprimer).

**Pour supprimer une pièce jointe de peering à l'aide du AWS CLI**  
Utilisez la commande [delete-transit-gateway-peering-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-peering-attachment.html).

# Connectez les pièces jointes et connectez les pairs dans AWS Transit Gateway
<a name="tgw-connect"></a>

Vous pouvez créer un *attachement Transit Gateway Connect* pour établir une connexion entre une passerelle de transit et des appliances virtuelles tierces (telles que les appliances SD-WAN) exécutées dans un VPC. Une attachement Connect prend en charge le protocole de tunnel GRE (Generic Routing Encapsulation) pour des performances élevées, et le protocole BGP (Border Gateway Protocol) pour le routage dynamique. Après avoir créé un attachement Connect, vous pouvez créer un ou plusieurs tunnels GRE (également appelés *pairs Transit Gateway Connect*) sur l'attachement Connect pour connecter la passerelle de transit et l'appliance tierce. Établissez deux sessions BGP sur le tunnel GRE pour échanger des informations de routage. 

**Important**  
Un pair Transit Gateway Connect consiste en deux sessions de peering BGP se terminant sur AWS une infrastructure gérée. Les deux sessions d'appairage BGP fournissent une redondance du plan de routage, garantissant ainsi que la perte d'une session d'appairage BGP n'affecte pas votre opération de routage. Les informations de routage reçues par les deux sessions BGP sont cumulées pour le pair Connect donné. Les deux sessions d'appairage BGP protègent également contre toute opérations d'infrastructure AWS telle que la maintenance de routine, l'application de correctifs, les mises à niveau matérielles et les remplacements. Si votre homologue Connect fonctionne sans la double session d'appairage BGP recommandée configurée pour la redondance, il peut subir une perte de connectivité momentanée pendant les opérations d'infrastructure. AWS Nous vous recommandons fortement de configurer les deux sessions d'appairage BGP sur votre pair Connect. Si vous avez configuré plusieurs pairs Connect pour prendre en charge la haute disponibilité côté appliance, nous vous recommandons de configurer les deux sessions d'appairage BGP sur chacun de vos pairs Connect.

Un attachement Connect utilise un VPC ou un attachement Direct Connect existant comme mécanisme de transport sous-jacent. C'est ce qu'on appelle un *attachement de transport*. La passerelle de transit identifie les paquets GRE correspondants provenant de l'appliance tierce en tant que trafic provenant de l'attachement Connect. Elle traite tous les autres paquets, y compris les paquets GRE avec des informations de source ou de destination incorrectes, comme du trafic provenant de l'attachement de transport. 

**Note**  
Pour utiliser une pièce jointe Direct Connect comme mécanisme de transport, vous devez d'abord intégrer Direct Connect à AWS Transit Gateway. Pour les étapes de création de cette intégration, voir [Intégrer des appareils SD-WAN à AWS Transit Gateway](https://aws.amazon.com/blogs/networking-and-content-delivery/integrate-sd-wan-devices-with-aws-transit-gateway-and-aws-direct-connect/) et. Direct Connect

## Connecter les pairs
<a name="tgw-connect-peer"></a>

Un pair Connect (tunnel GRE) comprend les composants suivants.

**Blocs d'adresse CIDR à l'intérieur (adresses BGP)**  
Les adresses IP internes utilisées pour l'appairage BGP. Vous devez spécifier un bloc CIDR /29 dans la `169.254.0.0/16` plage pour. IPv4 Vous pouvez éventuellement spécifier un bloc CIDR /125 dans la `fd00::/8` plage pour. IPv6 Les blocs d'adresse CIDR suivants sont réservés et ne peuvent pas être utilisés :  
+ 169.254.0.0/29
+ 169.254.1.0/29
+ 169.254.2.0/29
+ 169.254.3.0/29
+ 169.254.4.0/29
+ 169.254.5.0/29
+ 169.254.169.248/29
Vous devez configurer la première adresse de la IPv4 plage de l'appliance en tant qu'adresse IP BGP. Lorsque vous utilisez IPv6, si votre bloc CIDR interne est fd00 : :/125, vous devez configurer la première adresse de cette plage (fd00 : :1) sur l'interface tunnel de l'appliance.   
Les adresses BGP doivent être uniques dans tous les tunnels d'une passerelle de transit. 

**Adresses IP d'appairage**  
Adresse IP d’appairage (adresse IP externe GRE) du côté appliance du pair Connect. Il peut s'agir de n'importe quelle adresse IP. L'adresse IP peut être une IPv6 adresse IPv4 OR, mais elle doit appartenir à la même famille d'adresses IP que l'adresse de la passerelle de transit.

**Adresse de passerelle de transit**  
Adresse IP d’appairage (adresse IP externe GRE) du côté passerelle de transit du pair Connect. L'adresse IP doit être spécifiée à partir du bloc d'adresse CIDR de la passerelle de transit et doit être unique sur les attachements Connect de la passerelle de transit. Si vous ne spécifiez pas d'adresse IP, nous utilisons la première adresse disponible dans le bloc d'adresse CIDR de la passerelle de transit.   
Vous pouvez ajouter un bloc d'adresse CIDR de passerelle de transit lorsque vous [créez](create-tgw.md) ou [modifiez](tgw-modifying.md) une passerelle de transit.  
L'adresse IP peut être une IPv6 adresse IPv4 ou, mais elle doit appartenir à la même famille d'adresses IP que l'adresse IP du pair.

L'adresse IP d'appairage et l'adresse de passerelle de transit sont utilisées pour identifier de manière unique le tunnel GRE. Vous pouvez réutiliser l'une ou l'autre adresse sur plusieurs tunnels, mais pas les deux dans le même tunnel.

Transit Gateway Connect pour le peering BGP ne prend en charge que le protocole BGP multiprotocole (MP-BGP), où l'adressage Unicast est requis pour établir également une session BGP pour l' IPv4 Unicast. IPv6 Vous pouvez utiliser les deux IPv6 adresses IPv4 et pour les adresses IP externes GRE.

L'exemple suivant affiche un attachement Connect entre une passerelle de transit et une appliance dans un VPC.

![\[Attachement Connect de passerelle de transit et pair Connect\]](http://docs.aws.amazon.com/fr_fr/vpc/latest/tgw/images/transit-gateway-connect-peer.png)



| Composant de schéma | Description | 
| --- | --- | 
|  ![\[Montre comment les attachements VPC sont représentés dans l'exemple de diagramme.\]](http://docs.aws.amazon.com/fr_fr/vpc/latest/tgw/images/VPC-attachment.png)  | Attachement VPC | 
|  ![\[Montre comment les attachements Connect sont représentés dans l'exemple de diagramme.\]](http://docs.aws.amazon.com/fr_fr/vpc/latest/tgw/images/connect-attachment.png)  | Connexion d'attachement | 
|  ![\[Montre comment les tunnels GRE sont représentés dans l'exemple de diagramme.\]](http://docs.aws.amazon.com/fr_fr/vpc/latest/tgw/images/GRE-tunnel.png)  | Tunnel GRE (pair Connect) | 
|  ![\[Montre comment les sessions d'appairage BGP sont représentées dans l'exemple de diagramme.\]](http://docs.aws.amazon.com/fr_fr/vpc/latest/tgw/images/bgp-peering.png)  | Session d'appairage BGP | 

Dans l'exemple précédent, un attachement Connect est créé sur un attachement VPC existant (l'attachement de transport). Un pair Connect est créé sur l’attachement Connect pour établir une connexion à une appliance dans le VPC. L'adresse de la passerelle de transit est `192.0.2.1`, et la plage d'adresses BGP est `169.254.6.0/29`. La première adresse IP de la plage (`169.254.6.1`) est configurée sur l'appliance en tant qu'adresse IP BGP appairée.

La table de routage de sous-réseau pour le VPC C a une route qui dirige le trafic destiné au bloc d'adresse CIDR de la passerelle de transit vers la passerelle de transit.


| Destination | Cible | 
| --- | --- | 
| 172.31.0.0/16 | Locale | 
| 192.0.2.0/24 | tgw-id | 

## Exigences et considérations
<a name="tgw-connect-requirements"></a>

Voici les exigences et considérations relatives à l'attachement Connect :
+ Pour plus d'informations sur les régions qui prennent en charge les attachements Connect, consultez les [FAQ sur AWS Transit Gateways](https://aws.amazon.com/transit-gateway/faqs/).
+ L'appliance tierce doit être configurée pour envoyer et recevoir du trafic via un tunnel GRE vers et en provenance de la passerelle de transit à l'aide de l'attachement Connect.
+ L'appliance tierce doit être configurée pour utiliser BGP pour les mises à jour de routage dynamiques et les vérifications de l'état.
+ Les types de BGP suivants sont pris en charge :
  + BGP extérieur (eBGP) : Utilisé pour la connexion à des routeurs se trouvant dans un système autonome différent de la passerelle de transit. Si vous utilisez eBGP, vous devez configurer ebgp-multihop avec une valeur time-to-live (TTL) de 2.
  + BGP intérieur (iBGP) : Utilisé pour la connexion à des routeurs se trouvant dans le même système autonome que la passerelle de transit. La passerelle de transit n'installera pas de routes provenant d'un homologue iBGP (appliance tierce), sauf si les routes proviennent d'un homologue eBGP et qu'elles auraient next-hop-self dû être configurées. Les routes annoncées par une appliance tierce via l'appairage iBGP doivent avoir un ASN.
  + MP-BGP (extensions multiprotocoles pour BGP) : utilisé pour prendre en charge plusieurs types de protocoles, tels que les familles d'adresses. IPv4 IPv6 
+ Le délai d'attente des connexions actives BGP par défaut est de 10 secondes et le délai d'attente par défaut est de 30 secondes.
+ IPv6 Le peering BGP n'est pas pris en charge ; seul le peering BGP IPv4 basé est pris en charge. IPv6 les préfixes sont échangés via le peering IPv4 BGP à l'aide de MP-BGP.
+ Le protocole BFD (Bidirectional Forwarding Detection) n'est pas pris en charge.
+ Le redémarrage en douceur de BGP n'est pas pris en charge.
+ Lorsque vous créez un pair de passerelle de transit, si vous ne spécifiez pas de numéro de pair ASN, nous choisissons le numéro ASN de la passerelle de transit. Cela signifie que votre appliance et votre passerelle de transit seront dans le même système autonome utilisant iBGP.
+ Un pair Connect utilisant l'attribut BGP AS-PATH est la route préférée lorsque vous avez deux pairs Connect.

  Pour utiliser le routage ECMP (equal-cost multi-path) entre plusieurs appliances, vous devez configurer l'appliance pour qu'elle annonce les mêmes préfixes sur la passerelle de transit avec le même attribut BGP AS-PATH. Pour que la passerelle de transit choisisse tous les chemins ECMP disponibles, les numéros AS-PATH et ASN (Autonomous System Number) doivent correspondre. La passerelle de transit peut utiliser ECMP entre les pairs Connect pour le même attachement Connect ou entre des attachements Connect sur la même passerelle de transit. La passerelle de transit ne peut pas utiliser ECMP entre les appairages BGP redondants qu'un seul pair lui a établi.
+ Avec un attachement Connect, les routes sont propagées à une table de routage de passerelle de transit par défaut.
+ Les routes statiques ne sont pas prises en charge.
+ Configurez la MTU du tunnel GRE pour qu'elle soit inférieure à la MTU de l'interface externe en soustrayant la surcharge de l'en-tête GRE (24 octets) et de l'en-tête IP externe (20 octets). Par exemple, si le MTU de votre interface externe est de 1 500 octets, définissez le MTU du tunnel GRE sur 1 456 octets (1 500 - 24 - 20 = 1 456) pour empêcher la fragmentation des paquets.

**Topics**
+ [Connecter les pairs](#tgw-connect-peer)
+ [Exigences et considérations](#tgw-connect-requirements)
+ [Création d'un attachement Connect](create-tgw-connect-attachment.md)
+ [Création d'un pair Connect](create-tgw-connect-peer.md)
+ [Afficher les pièces jointes Connect et Connect les pairs](view-tgw-connect-attachments.md)
+ [Modifier les balises Connect attachment et Connect peer](modify-connect-attachment-tag.md)
+ [Supprimer un pair Connect](delete-tgw-connect-peer.md)
+ [Suppression d'un attachement Connect](delete-tgw-connect-attachment.md)

# Création d'une pièce jointe Connect dans AWS Transit Gateway
<a name="create-tgw-connect-attachment"></a>

Pour créer un attachement Connect, vous devez spécifier un attachement existant en tant qu'attachement de transport. Vous pouvez spécifier un attachement VPC ou Direct Connect comme attachement de transport.

**Pour créer un attachement Connect à l'aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Attachements de la passerelle de transit**.

1. Choisissez **Create transit gateway attachment** (Créer un attachement de la passerelle de attachement de la passerelle de transit).

1. (Facultatif) Pour **Name tag** (Balise de nom), spécifiez une balise de nom pour l'attachement.

1. Pour **Transit gateway ID** (ID de la passerelle de transit), choisissez la passerelle de transit pour l'attachement.

1. Pour **Attachment type (Type d'attachement)**, choisissez **Connect**.

1. Pour **Transport attachment ID** (ID d'attachement de transport), choisissez l'ID d'un attachement existant (l'attachement de transport).

1. Choisissez **Create transit gateway attachment** (Créer un attachement de la passerelle de transit).

**Pour créer une pièce jointe Connect à l'aide du AWS CLI**  
Utilisez la commande [create-transit-gateway-connect](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-connect.html).

# Création d'un pair Connect dans AWS Transit Gateway
<a name="create-tgw-connect-peer"></a>

Vous pouvez créer un pair Connect (tunnel GRE) pour un attachement Connect existant. Avant de commencer, vérifiez que vous avez configuré un bloc d'adresse CIDR de passerelle de transit. Vous pouvez configurer un bloc d'adresse CIDR de passerelle de transit lorsque vous [créez](create-tgw.md) ou [modifiez](tgw-modifying.md) une passerelle de transit. 

Lorsque vous créez le pair Connect, vous devez spécifier l’adresse IP externe GRE côté appliance du pair Connect.

**Pour créer un pair Connect à l’aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Attachements de la passerelle de transit**.

1. Sélectionnez l'attachement Connect, puis choisissez **Actions**, **Create connect peer** (Créer un pair Connect).

1. (Facultatif) Pour **Balise de nom**, spécifiez une balise de nom pour le pair Connect.

1. (Facultatif) Pour **Transit gateway GRE Address** (Adresse GRE de passerelle de transit), spécifiez l'adresse IP externe GRE pour la passerelle de transit. Par défaut, la première adresse disponible dans le bloc d'adresse CIDR de la passerelle de transit sera utilisée.

1. Pour **Adresse de pair GRE**, spécifiez l'adresse IP externe GRE côté appliance du pair Connect.

1. Pour les **blocs CIDR BGP Inside IPv4**, spécifiez la plage d' IPv4 adresses internes utilisées pour le peering BGP. Spécifiez un bloc d'adresse CIDR /29 dans la plage `169.254.0.0/16`.

1. (Facultatif) Pour les **blocs BGP Inside CIDR IPv6**, spécifiez la plage d' IPv6 adresses internes utilisées pour le peering BGP. Spécifiez un bloc d'adresse CIDR /125 dans la plage `fd00::/8`.

1. (Facultatif) Pour **Peer ASN (Pair ASN)**, spécifiez le numéro d'ASN (Autonomous System Number) BGP (border Gateway Protocol) de l'appliance. Vous pouvez utiliser un ASN existant assigné à votre réseau. Si vous n'en n'avez pas, vous pouvez utiliser un ASN privé dans l'intervalle de 64512–65534 (ASN 16 bits) ou 4200000000–4294967294 (ASN 32 bits). 

   La valeur par défaut est le même ASN que la passerelle de transit. Si vous configurez l'**ASN homologue** de manière à ce qu'il soit différent de l'ASN de la passerelle de transit (eBGP), vous devez configurer ebgp-multihop avec une time-to-live valeur (TTL) de 2.

1. Choisissez **Create connect peer** (Créer un pair Connect).

**Pour créer un pair Connect à l'aide du AWS CLI**  
Utilisez la commande [create-transit-gateway-connect-peer](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-connect-peer.html).

# Afficher les pièces jointes Connect et Connect Peers dans AWS Transit Gateway
<a name="view-tgw-connect-attachments"></a>

Consultez vos pièces jointes Connect et vos homologues Connect.

**Pour afficher vos attachements Connect et vos pairs Connect à l’aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Attachements de la passerelle de transit**.

1. Sélectionnez l'attachement Connect.

1. Pour afficher les pairs Connect pour l’attachement, choisissez l’onglet **Connect Peers (Connecter les homologues)** .

**Pour consulter vos pièces jointes Connect et vos homologues Connect à l'aide du AWS CLI**  
Utilisez les commandes [describe-transit-gateway-connects](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-connects.html)et [describe-transit-gateway-connect-peers](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-connect-peers.html).

# Modifier la pièce jointe Connect et les balises Connect peer dans AWS Transit Gateway
<a name="modify-connect-attachment-tag"></a>

Vous pouvez modifier les balises de votre attachement Connect.

**Pour afficher vos balises d'attachement Connect à l'aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Transit Gateway Attachments (Attachements de la passerelle de transit)**.

1. Sélectionnez l'attachement Connect, puis choisissez **Actions**, **Manage tags** (Gérer les balises).

1. Pour ajouter une balise, choisissez **Add new tag** (Ajouter une nouvelle balise) et spécifiez le nom et la valeur de la clé.

1. Pour supprimer une identification, choisissez **Supprimer**.

1. Choisissez **Enregistrer**. 

Vous pouvez modifier les balises de votre pair Connect.

**Pour modifier vos balises de pairs Connect à l’aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Transit Gateway Attachments (Réseaux de transit par passerelle)**.

1. Sélectionnez l'attachement Connect, puis choisissez **Connect peers (Pairs Connect)**.

1. Sélectionnez le pair Connect, puis choisissez **Actions**, **Gérer les balises**.

1. Pour ajouter une balise, choisissez **Add new tag** (Ajouter une nouvelle balise) et spécifiez le nom et la valeur de la clé.

1. Pour supprimer une identification, choisissez **Supprimer**.

1. Choisissez **Enregistrer**. 

**Pour modifier votre pièce jointe Connect et vos balises Connect peer à l'aide du AWS CLI**  
Utilisez les commandes [create-tags](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-tags.html) et [delete-tags](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-tags.html).

# Supprimer un pair Connect dans AWS Transit Gateway
<a name="delete-tgw-connect-peer"></a>

Si vous n’avez plus besoin d’un pair Connect, vous pouvez la supprimer.

**Pour supprimer un pair Connect à l’aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Attachements de la passerelle de transit**.

1. Sélectionnez l'attachement Connect.

1. Dans l'onglet **Pairs Connect**, sélectionnez le pair Connect et choisissez **Actions**, **Supprimer le pair Connect**.

**Pour supprimer un pair Connect à l'aide du AWS CLI**  
Utilisez la commande [delete-transit-gateway-connect-peer](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-connect-peer.html).

# Supprimer une pièce jointe Connect dans AWS Transit Gateway
<a name="delete-tgw-connect-attachment"></a>

Si vous n'avez plus besoin d'un attachement Connect, vous pouvez le supprimer. Vous devez d’abord supprimer tous les pairs Connect pour l’attachement.

**Pour supprimer un attachement Connect à l'aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Attachements de la passerelle de transit**.

1. Sélectionnez l'attachement Connect, puis choisissez **Actions**, **Delete transit gateway attachment** (Supprimer le réseau de transit par passerelle).

1. Saisissez **delete**, puis choisissez **Delete** (Supprimer).

**Pour supprimer une pièce jointe Connect à l'aide du AWS CLI**  
Utilisez la commande [delete-transit-gateway-connect](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-connect.html).

# Tables de routage des passerelles de AWS transit dans Transit Gateway
<a name="tgw-route-tables"></a>

Utilisez les tables de routage de passerelle de transit pour configurer l'acheminement de vos réseaux de transit par passerelle. Une table de routage est une table qui contient des règles qui régissent la manière dont le trafic réseau est acheminé entre votre VPCs et VPNs. Chaque itinéraire du tableau contient la plage d'adresses IP pour les destinations vers lesquelles vous souhaitez envoyer du trafic.

Les tables de routage de passerelle de transit vous permettent d'associer une table à une pièce jointe de passerelle de transit. Les pièces jointes VPC, VPN, VPN Concentrator, Direct Connect Gateway, Peering et Connect sont toutes prises en charge. Lorsqu'ils sont associés, les itinéraires de ces pièces jointes sont propagés depuis la pièce jointe vers la table de routage de la passerelle de transit cible. Une pièce jointe peut être propagée à plusieurs tables de routage. 

En outre, vous pouvez créer et gérer des itinéraires statiques à l'aide d'une table de routage. Par exemple, vous pouvez avoir un itinéraire statique utilisé comme itinéraire de secours en cas de perturbation du réseau affectant les itinéraires dynamiques.

**Topics**
+ [Créer une table de routage de passerelle de transit](create-tgw-route-table.md)
+ [Afficher les tables de routage de passerelle de transit](view-tgw-route-tables.md)
+ [Associer une table de routage de passerelle de transit](associate-tgw-route-table.md)
+ [Dissocier une table de routage d'une passerelle de transit](disassociate-tgw-route-table.md)
+ [Activer la propagation des itinéraires](enable-tgw-route-propagation.md)
+ [Désactivation de la propagation du routage](disable-tgw-route-propagation.md)
+ [Créer un itinéraire statique](tgw-create-static-route.md)
+ [Supprimer un routage statique](tgw-delete-static-route.md)
+ [Remplacez une route statique](tgw-replace-static-route.md)
+ [Exportation des tables de routage vers Amazon S3](tgw-export-route-tables.md)
+ [Supprimer une table de routage de passerelle de transit](delete-tgw-route-table.md)
+ [Créer une référence de liste de préfixes](create-prefix-list-reference.md)
+ [Modifier une référence de liste de préfixes](modify-prefix-list-reference.md)
+ [Supprimer une référence de liste de préfixes](delete-prefix-list-reference.md)

# Création d'une table de routage de passerelle de AWS transit dans Transit Gateway
<a name="create-tgw-route-table"></a>

**Pour créer une table de routage de passerelle de transit à l'aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Tables de routage de passerelle de transit**.

1. Choisissez **Create transit gateway route table** (Créer une table de routage de passerelle de transit).

1. (Facultatif) Pour **Balise Nom**, saisissez un nom pour la table de routage de la passerelle de transit. Une balise est alors créée avec la clé de balise « Nom », où la valeur de la balise est le nom spécifié.

1. Pour **Transit gateway ID** (ID de passerelle de transit), choisissez la passerelle de transit pour la table de routage.

1. Choisissez **Create transit gateway route table** (Créer une table de routage de passerelle de transit).

**Pour créer une table de routage de passerelle de transit à l'aide du AWS CLI**  
Utilisez la commande [create-transit-gateway-route-table](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-route-table.html).

# Afficher les tables de routage des passerelles de AWS transit à l'aide de Transit Gateway
<a name="view-tgw-route-tables"></a>

**Pour afficher vos tables de routage de passerelle de transit à l'aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Tables de routage de passerelle de transit**.

1. (Facultatif) Pour trouver une table de routage ou un ensemble de tables spécifique, saisissez une partie ou la totalité du nom, d'un mot clé ou d'un attribut dans le champ de filtre.

1. Activez la case à cocher d'une table de routage ou choisissez son ID pour afficher des informations sur ses associations, ses propagations, ses itinéraires et ses balises.

**Pour consulter les tables de routage de votre passerelle de transit à l'aide du AWS CLI**  
Utilisez la commande [describe-transit-gateway-route-tables](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-route-tables.html).

**Pour consulter le tableau des itinéraires d'une passerelle de transit à l'aide du AWS CLI**  
Utilisez la commande [search-transit-gateway-routes](https://docs.aws.amazon.com/cli/latest/reference/ec2/search-transit-gateway-routes.html).

**Pour afficher les propagations d'itinéraires d'une table de routage de passerelle de transit à l'aide du AWS CLI**  
Utilisez la commande [get-transit-gateway-route-table-propagations](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-transit-gateway-route-table-propagations.html).

**Pour afficher les associations associées à une table de routage de passerelle de transit à l'aide du AWS CLI**  
Utilisez la commande [get-transit-gateway-route-table-associations](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-transit-gateway-route-table-associations.html).

# Associer une table de routage de passerelle de AWS transit dans Transit Gateway
<a name="associate-tgw-route-table"></a>

Vous pouvez associer une table de routage de passerelle de transit à un attachement de passerelle de transit.

**Pour associer une table de routage de passerelle de transit à l'aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Tables de routage de passerelle de transit**.

1. Sélectionnez la table de routage.

1. Dans la partie inférieure de la page, sélectionnez l'onglet **Associations**.

1. Sélectionnez **Créer une association**.

1. Choisissez l'attachement à associer puis sélectionnez **Créer une association**.

**Pour associer une table de routage de passerelle de transit à l'aide du AWS CLI**  
Utilisez la commande [associate-transit-gateway-route-table](https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-transit-gateway-route-table.html).

# Supprimer une association pour une table de routage de passerelle de AWS transit dans Transit Gateway
<a name="disassociate-tgw-route-table"></a>

Vous avez la possibilité de dissocier une table de routage de passerelle de transit d'un attachement de passerelle de transit.

**Pour dissocier une table de routage de passerelle de transit à l'aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Tables de routage de passerelle de transit**.

1. Sélectionnez la table de routage.

1. Dans la partie inférieure de la page, sélectionnez l'onglet **Associations**.

1. Choisissez l'attachement à dissocier puis sélectionnez **Supprimer une association**.

1. Lorsque vous êtes invité à confirmer l'opération, choisissez **Supprimer une association**.

**Pour dissocier une table de routage d'une passerelle de transit à l'aide du AWS CLI**  
Utilisez la commande [disassociate-transit-gateway-route-table](https://docs.aws.amazon.com/cli/latest/reference/ec2/disassociate-transit-gateway-route-table.html).

# Activer la propagation des itinéraires vers une table de routage de passerelle de AWS transit dans Transit Gateway
<a name="enable-tgw-route-propagation"></a>

Utilisez une propagation de route pour ajouter une route depuis un attachement vers une table de routage.

**Pour propager une route vers une table de routage d'un attachement de passerelle de transit**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Tables de routage de passerelle de transit**.

1. Sélectionnez la table de routage pour laquelle vous créez une propagation.

1. Sélectionnez **Actions**, puis **Créer une propagation**.

1. Sur la page **Créer une propagation**, choisissez l'attachement.

1. Sélectionnez **Créer une propagation**.

**Pour activer la propagation des itinéraires à l'aide du AWS CLI**  
Utilisez la commande [enable-transit-gateway-route-table-propagation](https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-transit-gateway-route-table-propagation.html).

# Désactiver la propagation des itinéraires dans AWS Transit Gateway
<a name="disable-tgw-route-propagation"></a>

Supprimez une route propagée à partir de l'attachement de table de routage.

**Pour désactiver la propagation de route avec la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Tables de routage de passerelle de transit**.

1. Sélectionnez la table de routage à partir de laquelle la propagation doit être supprimée.

1. Dans la partie inférieure de la page, sélectionnez l'onglet **Propagation**.

1. Sélectionnez l'attachement puis choisissez **Supprimer une propagation**.

1. Lorsque vous êtes invité à confirmer l'opération, choisissez **Supprimer la propagation**.

**Pour désactiver la propagation des itinéraires à l'aide du AWS CLI**  
Utilisez la commande [disable-transit-gateway-route-table-propagation](https://docs.aws.amazon.com/cli/latest/reference/ec2/disable-transit-gateway-route-table-propagation.html).

# Création d'un itinéraire statique dans AWS Transit Gateway
<a name="tgw-create-static-route"></a>

Créez un itinéraire statique pour une pièce jointe à un VPC, un VPN ou une passerelle de transit, ou vous pouvez créer un itinéraire en trou noir qui supprime le trafic correspondant à l'itinéraire.

Les itinéraires statiques d'une table de routage de passerelle de transit qui ciblent un rattachement VPN ne sont pas filtrés par le Site-to-Site VPN. Un flux de trafic sortant non intentionnel risque alors d'être autorisé dans le cas où un VPN basé sur BGP est utilisé.

**Pour créer un itinéraire statique à l'aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Tables de routage de passerelle de transit**.

1. Sélectionnez la table de routage pour laquelle vous créez un itinéraire.

1. Choisissez **Actions**, **Create static route** (Créer un acheminement statique).

1. Sur la page **Create static route** (Créer un acheminement statique), saisissez le bloc d'adresse CIDR pour lequel l'acheminement doit être créé, puis choisissez **Active** (Actif).

1. Choisissez l'attachement de l'itinéraire.

1. Choisissez **Create static route** (Créer un acheminement statique).

**Pour créer un itinéraire Blackhole à l'aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Tables de routage de passerelle de transit**.

1. Sélectionnez la table de routage pour laquelle vous créez un itinéraire.

1. Choisissez **Actions**, **Create static route** (Créer un acheminement statique).

1. Sur la page **Create static route** (Créer un acheminement statique), saisissez le bloc d'adresse CIDR pour lequel l'acheminement doit être créé, puis choisissez **Blackhole**.

1. Choisissez **Create static route** (Créer un acheminement statique).

**Pour créer un itinéraire statique ou un itinéraire en trou noir à l'aide du AWS CLI**  
Utilisez la commande [create-transit-gateway-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-route.html).

# Supprimer un itinéraire statique dans AWS Transit Gateway
<a name="tgw-delete-static-route"></a>

Supprimez les itinéraires statiques d'une table de routage d'une passerelle de transit.

**Pour supprimer un itinéraire statique à l'aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Tables de routage de passerelle de transit**.

1. Sélectionnez la table de routage pour laquelle l'itinéraire doit être supprimé, puis choisissez **Routes (Itinéraires)**.

1. Choisissez l'itinéraire à supprimer.

1. Choisissez **Delete static route** (Supprimer l'acheminement statique).

1. Dans la boîte de dialogue de confirmation, choisissez **Delete static route** (Supprimer l'acheminement statique).

**Pour supprimer un itinéraire statique à l'aide du AWS CLI**  
Utilisez la commande [delete-transit-gateway-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-route.html).

# Remplacer un itinéraire statique dans AWS Transit Gateway
<a name="tgw-replace-static-route"></a>

Remplacez un itinéraire statique dans une table de routage de passerelle de transit par un itinéraire statique différent.

**Pour remplacer une route statique à l'aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Tables de routage de passerelle de transit**.

1. Choisissez la route que vous souhaitez remplacer dans la table de routage. 

1. Dans la section des détails, choisissez l'onglet **Routes**.

1. Choisissez **Actions**, **Remplacer une route statique**.

1. Pour le **Type**, choisissez **Active** ou **Blackhole**.

1. Dans la liste déroulante **Choisir l'attachement**, choisissez la passerelle de transit qui remplacera la passerelle actuelle dans la table de routage.

1. Choisissez **Remplacer une route statique**.

**Pour remplacer un itinéraire statique à l'aide du AWS CLI**  
Utilisez la commande [replace-transit-gateway-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-transit-gateway-route.html).

# Exporter des tables de routage vers Amazon S3 dans AWS Transit Gateway
<a name="tgw-export-route-tables"></a>

Vous pouvez exporter les routes dans vos tables de routage de passerelle de transit vers un compartiment Amazon S3. Les routes sont sauvegardées dans le compartiment Amazon S3 spécifié dans un fichier JSON.

**Pour exporter des tables de routage de passerelle de transit à l'aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Tables de routage de passerelle de transit**.

1. Choisissez la table de routage comprenant les routes à exporter.

1. Sélectionnez **Actions**, **Exporter des routes**.

1. Sur la page **Exporter des routes**, pour **Nom du compartiment S3**, saisissez le nom du compartiment S3.

1. Pour filtrer les routes exportées, spécifiez les paramètres de filtrage dans la section **Filtres** de la page.

1. Sélectionnez **Exporter des routes**.

Pour accéder aux itinéraires exportés, ouvrez la console Amazon S3 à l'[https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)adresse et accédez au compartiment que vous avez spécifié. Le nom du fichier inclut l' Compte AWS ID, la AWS région, l'ID de la table de routage et un horodatage. Sélectionnez le fichier et choisissez **Télécharger**. Voici un exemple de fichier JSON qui contient des informations sur deux routes propagées pour les attachements de VPC.

```
{
  "filter": [
    {
      "name": "route-search.subnet-of-match",
      "values": [
        "0.0.0.0/0",
        "::/0"
      ]
    }
  ],
  "routes": [
    {
      "destinationCidrBlock": "10.0.0.0/16",
      "transitGatewayAttachments": [
        {
          "resourceId": "vpc-0123456abcd123456",
          "transitGatewayAttachmentId": "tgw-attach-1122334455aabbcc1",
          "resourceType": "vpc"
        }
      ],
      "type": "propagated",
      "state": "active"
    },
    {
      "destinationCidrBlock": "10.2.0.0/16",
      "transitGatewayAttachments": [
        {
          "resourceId": "vpc-abcabc123123abca",
          "transitGatewayAttachmentId": "tgw-attach-6677889900aabbcc7",
          "resourceType": "vpc"
        }
      ],
      "type": "propagated",
      "state": "active"
    }
  ]
}
```

# Supprimer une table de routage d'une passerelle de AWS transit dans Transit Gateway
<a name="delete-tgw-route-table"></a>

**Pour supprimer une table de routage de passerelle de transit à l'aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Tables de routage de passerelle de transit**.

1. Sélectionnez la table de routage à supprimer.

1. Choisissez **Actions**, **Delete transit gateway route table** (Supprimer la table de routage de la passerelle de transit).

1. Saisissez **delete** et choisissez **Delete** (Supprimer) pour confirmer la suppression.

**Pour supprimer une table de routage d'une passerelle de transit à l'aide du AWS CLI**  
Utilisez la commande [delete-transit-gateway-route-table](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-route-table.html).

# Créer une référence de liste de préfixes de table de routage dans AWS Transit Gateway
<a name="create-prefix-list-reference"></a>

Vous pouvez référencer une liste de préfixes dans votre table de routage de passerelle de transit. Une liste de préfixes est un ensemble d'une ou plusieurs entrées de bloc d'adresse CIDR que vous définissez et gérez. Vous pouvez utiliser une liste de préfixes pour simplifier la gestion des adresses IP que vous référencez dans vos ressources pour acheminer le trafic réseau. Par exemple, si vous spécifiez fréquemment la même destination CIDRs sur plusieurs tables de routage de passerelles de transit, vous pouvez les gérer CIDRs dans une seule liste de préfixes, au lieu de les référencer à plusieurs reprises CIDRs dans chaque table de routage. Si vous devez supprimer un bloc d'adresse CIDR de destination, vous pouvez supprimer son entrée de la liste des préfixes au lieu de supprimer la route de chaque table de routage affectée.

Lorsque vous créez une référence de liste de préfixes dans votre table de routage de passerelle de transit, chaque entrée de la liste de préfixes est représentée comme un itinéraire dans votre table de routage de passerelle de transit.

Pour de plus amples informations sur les listes de préfixes, veuillez consulter [Listes de préfixes](https://docs.aws.amazon.com/vpc/latest/userguide/managed-prefix-lists.html) dans le *Guide de l’utilisateur Amazon VPC*.

**Pour créer une référence de liste de préfixes à l'aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le panneau de navigation, choisissez **Transit Gateway Route Tables** (Tables de routage de passerelle de transit).

1. Sélectionnez la table de routage de passerelle de transit.

1. Choisissez **Actions**, **Create prefix list reference (Créer une référence de liste de préfixes)**.

1. Pour **ID de liste de préfixes**, choisissez l'ID de la liste de préfixes.

1.  Pour **Type**, choisissez si le trafic vers cette liste de préfixes doit être autorisé (**Actif**) ou abandonné (**Blackhole**). 

1. Pour **Transit gateway attachment ID** (ID de réseau de transit par passerelle), choisissez l'ID de l'attachement vers lequel acheminer le trafic.

1. Choisissez **Create prefix list reference (Créer une référence de liste de préfixes)**.

**Pour créer une référence de liste de préfixes à l'aide du AWS CLI**  
Utilisez la commande [create-transit-gateway-prefix-list-reference](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-prefix-list-reference.html).

# Modifier une référence de liste de préfixes dans AWS Transit Gateway
<a name="modify-prefix-list-reference"></a>

Vous pouvez modifier une référence de liste de préfixes en modifiant la pièce jointe vers laquelle le trafic est acheminé ou en indiquant s'il faut supprimer le trafic correspondant à l'itinéraire.

Vous ne pouvez pas modifier les itinéraires individuels d'une liste de préfixes dans l'onglet **Routes**. Pour modifier les entrées de la liste de préfixes, utilisez l'écran **Managed Prefix Lists (Listes de préfixes gérées)**. Pour de plus amples d'informations, veuillez consulter [Modification d'une liste de préfixes](https://docs.aws.amazon.com/vpc/latest/userguide/managed-prefix-lists.html#modify-managed-prefix-list) dans le *Guide de l’utilisateur Amazon VPC*.

**Pour modifier une référence de liste de préfixes à l'aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le panneau de navigation, choisissez **Transit Gateway Route Tables** (Tables de routage de passerelle de transit).

1. Sélectionnez la table de routage de passerelle de transit.

1. Dans le volet inférieur, choisissez **Prefix list references (Références de liste de préfixes)**.

1. Choisissez la référence de la liste de préfixes et choisissez **Modify references** (Modifier les références). 

1.  Pour **Type**, choisissez si le trafic vers cette liste de préfixes doit être autorisé (**Actif**) ou abandonné (**Blackhole**). 

1. Pour **Transit gateway attachment ID** (ID de réseau de transit par passerelle), choisissez l'ID de l'attachement vers lequel acheminer le trafic.

1. Choisissez **Modify prefix list reference (Modifier la référence de la liste des préfixes)**.

**Pour modifier une référence de liste de préfixes à l'aide du AWS CLI**  
Utilisez la commande [modify-transit-gateway-prefix-list-reference](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-transit-gateway-prefix-list-reference.html).

# Supprimer une référence de liste de préfixes dans AWS Transit Gateway
<a name="delete-prefix-list-reference"></a>

Si vous n'avez plus besoin d'une référence de liste de préfixes, vous pouvez la supprimer de votre table de routage de passerelle de transit. La suppression de la référence ne supprime pas la liste des préfixes.

**Pour supprimer une référence de liste de préfixes à l'aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le panneau de navigation, choisissez **Transit Gateway Route Tables** (Tables de routage de passerelle de transit).

1. Sélectionnez la table de routage de passerelle de transit.

1. Choisissez la référence de la liste de préfixes et choisissez **Delete references** (Supprimer les références). 

1. Choisissez **Delete references** (Supprimer la références).

**Pour modifier une référence de liste de préfixes à l'aide du AWS CLI**  
Utilisez la commande [delete-transit-gateway-prefix-list-reference](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-prefix-list-reference.html).

# Tableaux des politiques relatives aux passerelles de AWS transit dans Transit Gateway
<a name="tgw-policy-tables"></a>

Le routage dynamique de passerelle de transit utilise des tables de stratégie afin d'acheminer le trafic réseau pour AWS Cloud WAN. La table contient des règles de stratégie permettant de faire correspondre le trafic réseau par attributs de stratégie, puis mappe le trafic correspondant à la règle à une table de routage cible. 

Vous pouvez utiliser des tables de stratégie afin de configurer un routage dynamique pour les passerelles de transit et d'échanger automatiquement des informations de routage et d'accessibilité avec des types de passerelles de transit appairés. Contrairement à une route statique, le trafic peut être acheminé sur un chemin différent en fonction des conditions du réseau, telles que les échecs de chemin ou la surcharge. Le routage dynamique ajoute également un niveau de sécurité dans la mesure où il est plus facile de réacheminer le trafic en cas de violation ou d'intrusion du réseau.

**Note**  
Les tables de politique de passerelle de transit ne sont actuellement prises en charge dans Cloud WAN que lors de la création d'une connexion appairage de passerelle de transit. Lorsque vous créez une connexion d'appairage, vous pouvez associer cette table à la connexion. L'association remplit ensuite automatiquement le tableau avec les règles de politique.   
Pour plus d'informations sur les connexions d'appairage dans Cloud WAN, consultez [ Peerings (Appairage)](https://docs.aws.amazon.com/network-manager/latest/cloudwan/cloudwan-peerings.html) dans le *AWS Guide de l'utilisateur Cloud WAN*.

**Topics**
+ [Créer une table de stratégie de passerelle de transit](tgw-policy-tables-create.md)
+ [Supprimer une table de stratégie de passerelle de transit](tgw-policy-tables-disable.md)

# Création d'une table de politique de passerelle de AWS transit dans Transit Gateway
<a name="tgw-policy-tables-create"></a>

**Pour créer une table de stratégie de passerelle de transit à l'aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le panneau de navigation, choisissez **Transit gateway policy table** (Table de stratégie de passerelle de transit).

1. Choisissez **Create transit gateway route table** (Créer une table de stratégie de passerelle de transit).

1. (Facultatif) Pour **Name tag** (Balise nom), saisissez un nom pour la table de stratégie afin de créer une balise dont la valeur est le nom que vous spécifiez.

1. Pour Transit gateway ID (ID de passerelle de transit), choisissez la passerelle de transit pour la table de stratégie.

1. Choisissez **Create transit gateway route table** (Créer une table de stratégie de passerelle de transit).

**Pour créer une table de politique de passerelle de transit à l'aide du AWS CLI**  
Utilisez la commande [create-transit-gateway-policy-table](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-policy-table.html).

# Supprimer une table de politique de passerelle de AWS transit dans Transit Gateway
<a name="tgw-policy-tables-disable"></a>

Supprimez une table de stratégie de passerelle de transit. Lorsqu'une table est supprimée, toutes les règles de stratégie de cette table sont supprimées.

**Pour supprimer une table de stratégie de passerelle de transit à l'aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le panneau de navigation, choisissez **Transit gateway policy tables** (Tables de stratégie de passerelle de transit).

1. Choisissez la table de stratégie de passerelle de transit à supprimer.

1. Choisissez **Actions**, puis **Delete policy table (Supprimer la table)**. 

1. Confirmez que vous voulez supprimer la table.

**Pour supprimer une table de politique de passerelle de transit à l'aide du AWS CLI**  
Utilisez la commande [delete-transit-gateway-policy-table](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-policy-table.html).

# Multicast dans AWS Transit Gateway
<a name="tgw-multicast-overview"></a>

Le multicast est un protocole de communication utilisé pour fournir un flux unique de données à plusieurs ordinateurs de réception simultanément. Transit Gateway prend en charge le routage du trafic multicast entre les sous-réseaux connectés VPCs et sert de routeur multicast pour les instances envoyant du trafic destiné à plusieurs instances de réception. 

**Topics**
+ [Concepts du multicast](#concepts)
+ [Considérations](#limits)
+ [Routage multicast](#how-multicast-works)
+ [Domaines de multidiffusion](multicast-domains-about.md)
+ [Domaines de multidiffusion partagés](multicast-share-domain.md)
+ [Enregistrer les sources avec un groupe de multidiffusion](add-source-multicast-group.md)
+ [Inscrire des membres auprès d'un groupe de multidiffusion](add-members-multicast-group.md)
+ [Annuler l'inscription des sources à un groupe de multidiffusion](remove-source-multicast-group.md)
+ [Annuler l'inscription des membres à un groupe de multidiffusion](remove-members-multicast-group.md)
+ [Afficher les groupes de multidiffusion](view-multicast-group.md)
+ [Configuration de la multidiffusion pour Windows Server](multicastwin.md)
+ [Exemple : gestion des configurations IGMP](multicast-configurations-igmp.md)
+ [Exemple : gestion des configurations de sources statiques](multicast-configurations-no-igmp.md)
+ [Exemple : gestion des configurations de membres de groupes statiques](multicast-configurations-no-igmp-source.md)

## Concepts du multicast
<a name="concepts"></a>

Les principaux concepts de la multicast sont les suivants :
+ **Domaine multicast** : permet la segmentation d'un réseau multicast en différents domaines et permet à la Passerelle de transit de se comporter comme plusieurs routeurs multicast. Vous définissez l'appartenance à un domaine de multicast au niveau du sous-réseau. 
+ **Groupe de multicast** : identifie un ensemble d'hôtes qui enverront et recevront le même trafic de multicast. Un groupe de multicast est identifié par une adresse IP de groupe. L'appartenance à un groupe de multidiffusion est définie par des interfaces réseau élastiques individuelles associées aux EC2 instances.
+ **Protocole de gestion de groupes Internet (IGMP)** : protocole Internet qui permet aux hôtes et aux routeurs de gérer de façon dynamique l'appartenance à un groupe de multicast. Un domaine de multidiffusion IGMP contient des hôtes qui utilisent le protocole IGMP pour joindre, quitter et envoyer des messages. AWS prend en charge le IGMPv2 protocole et les domaines de multidiffusion IGMP et statiques (basés sur des API) à des groupes.
+ **Source de multidiffusion** : interface réseau élastique associée à une EC2 instance prise en charge configurée de manière statique pour envoyer du trafic de multidiffusion. Une source multicast s'applique uniquement aux configurations de source statique. 

  Un domaine multicast à source statique contient des hôtes qui n'utilisent pas le protocole IGMP pour rejoindre, quitter et envoyer des messages. Vous pouvez utiliser le AWS CLI pour ajouter une source et des membres du groupe. La source ajoutée statiquement envoie du trafic multicast et les membres reçoivent du trafic multicast.
+ **Membre d'un groupe de multidiffusion** : interface réseau élastique associée à une EC2 instance prise en charge qui reçoit du trafic de multidiffusion. Un groupe multicast comporte plusieurs membres de groupe. Dans une configuration d'appartenance à un groupe à source statique, les membres du groupe multicast peuvent uniquement recevoir du trafic. Dans une configuration de groupe IGMP, les membres peuvent à la fois envoyer et recevoir du trafic. 

## Considérations
<a name="limits"></a>
+ La multidiffusion par passerelle de transit peut ne pas convenir aux transactions à haute fréquence ou aux applications sensibles aux performances. Nous vous recommandons vivement de consulter les [quotas de multidiffusion](transit-gateway-quotas.md#multicast-quotas) pour connaître les limites. Contactez votre compte ou l'équipe d'architectes de solutions pour un examen détaillé de vos exigences en matière de performances.
+ Pour plus d'informations sur les régions prises en charge, consultez [AWS Transit Gateway FAQs](https://aws.amazon.com/transit-gateway/faqs/).
+ Vous devez créer une nouvelle passerelle de transit pour prendre en charge le multicast.
+ L'appartenance à un groupe de multidiffusion est gérée à l'aide du Amazon Virtual Private Cloud Console ou du AWS CLI IGMP. 
+ Un sous-réseau ne peut se trouver que dans un seul domaine multicast. 
+ Si vous utilisez une instance autre que Nitro, vous devez désactiver la case **Source/Dest**. Pour plus d'informations sur la désactivation de la vérification, consultez la section [Modification de la source ou de la destination](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html#change_source_dest_check) dans le *guide de EC2 l'utilisateur Amazon*.
+ Une instance autre qu'une instance Nitro ne peut pas être un expéditeur multicast.
+ Le routage multicast n'est pas pris en charge sur les pièces jointes Site-to-Site VPN Direct Connect, les pièces jointes de peering ou les pièces jointes Connect de la passerelle de transit.
+ Une Passerelle de transit n'est pas compatible avec la fragmentation des paquets multicast. Les paquets multicast fragmentés sont abandonnés. Pour de plus amples informations, veuillez consulter [Unité de transmission maximale (MTU)](transit-gateway-quotas.md#mtu-quotas).
+ Au démarrage, un hôte IGMP envoie plusieurs messages IGMP JOIN pour rejoindre un groupe multicast (généralement 2 à 3 tentatives). Dans le cas peu probable où tous les messages IGMP JOIN se perdent, l’hôte ne fera pas partie du groupe multicast de la Passerelle de transit. Dans un tel scénario, vous devrez re-déclencher le message IGMP JOIN de l’hôte en utilisant des méthodes spécifiques à l’application.
+ L'adhésion à un groupe commence par la réception du IGMPv2 JOIN message par la passerelle de transit et se termine par la réception du IGMPv2 LEAVE message. La passerelle de transit assure le suivi des hôtes qui ont réussi à rejoindre le groupe. En tant que routeur multidiffusion dans le cloud, Transit Gateway envoie un IGMPv2 QUERY message à tous les membres toutes les deux minutes. Chaque membre envoie un IGMPv2 JOIN message en réponse, c'est ainsi que les membres renouvellent leur adhésion. Si un membre ne répond pas à trois requêtes consécutives, la passerelle de transit supprime cette adhésion de tous les groupes joints. Cependant, il continue à envoyer des requêtes à ce membre pendant 12 heures avant de le supprimer définitivement de sa to-be-queried liste. Un IGMPv2 LEAVE message explicite retire immédiatement et définitivement l'hôte de tout autre traitement de multidiffusion.
+ La passerelle de transit assure le suivi des hôtes qui ont réussi à rejoindre le groupe. En cas de panne de la passerelle de transit, celle-ci continue à envoyer des données multicast à l'hôte pendant sept minutes (420 secondes) après le dernier message IGMP JOIN réussi. La passerelle de transit continue d’envoyer des demandes d’adhésion à l’hôte pendant une période pouvant aller jusqu’à 12 heures ou jusqu’à ce qu’elle reçoive un message IGMP LEAVE de l’hôte.
+ La Passerelle de transit envoie des paquets de demande d'adhésion à tous les membres IGMP afin de pouvoir suivre l'appartenance à un groupe multicast. L'adresse IP source de ces paquets de demande IGMP est 0.0.0.0/32, et l'adresse IP de destination est 224.0.0.1/32 et le protocole est 2. La configuration de votre groupe de sécurité sur les hôtes IGMP (instances) et toute ACLs configuration sur les sous-réseaux hôtes doivent autoriser ces messages du protocole IGMP. 
+ Lorsque la source et la destination multicast sont dans le même VPC, vous ne pouvez pas utiliser le référencement de groupe de sécurité pour définir le groupe de sécurité de destination afin d'accepter le trafic provenant du groupe de sécurité de la source.
+ Pour les groupes et les sources de multidiffusion statiques, AWS Transit Gateway supprime automatiquement les groupes statiques et les sources ENIs qui n'existent plus. Cela se fait en assumant périodiquement le [rôle lié au service Transit Gateway](service-linked-roles.md#tgw-service-linked-roles) à décrire ENIs dans le compte. 
+ Seule la multidiffusion statique est prise en charge IPv6. La multidiffusion dynamique ne fonctionne pas. 

## Routage multidiffusion
<a name="how-multicast-works"></a>

Lorsque vous activez le multicast sur une passerelle de transit, celle-ci agit comme un routeur multicast. Lorsque vous ajoutez un sous-réseau à un domaine multicast, nous envoyons tout le trafic multicast à la passerelle de transit qui est associée à ce domaine multicast.

### Réseau ACLs
<a name="multicast-nacl"></a>

Les règles ACL réseau fonctionnent au niveau du sous-réseau. Elles s'appliquent au trafic multicast, car les passerelles de transit résident à l'extérieur du sous-réseau. Pour plus d'informations, consultez la section [Réseau ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html) dans le guide de l'*utilisateur Amazon VPC*.

Pour le trafic multicast IGMP (Internet Group Management Protocol), les règles entrantes minimales sont énoncées ci-dessous. L'hôte distant est l'hôte qui envoie le trafic multicast.


| Type | Protocole | Source | Description | 
| --- | --- | --- | --- | 
| Protocole personnalisé | IGMP (2) | 0.0.0.0/32 | Requête IGMP  | 
| Protocole UDP personnalisé | UDP | Adresse IP de l'hôte distant | Trafic multicast entrant | 

Les règles sortantes minimales pour IGMP sont énoncées ci-dessous.


| Type | Protocole | Destination | Description | 
| --- | --- | --- | --- | 
| Protocole personnalisé | IGMP (2) | 224.0.0.2/32 | Quitter IGMP | 
| Protocole personnalisé | IGMP (2) | Adresse IP du groupe multicast | Rejoindre IGMP | 
| Protocole UDP personnalisé | UDP | Adresse IP du groupe multicast | Trafic multicast sortant | 

### Groupes de sécurité
<a name="mulicast-security-group"></a>

Les règles de groupe de sécurité fonctionnent au niveau de l'instance. Elles peuvent être appliquées à la fois au trafic multicast entrant et sortant. La façon d'opérer est la même avec le trafic unicast. Pour toutes les instances membres du groupe, vous devez autoriser le trafic entrant à partir de la source du groupe. Pour de plus amples informations, veuillez consulter [Groupes de sécurité](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html) dans le *Guide de l'utilisateur Amazon VPC* (français non garanti).

Pour le trafic multicast IGMP, vous devez disposer au minimum des règles entrantes suivantes. L'hôte distant est l'hôte qui envoie le trafic multicast. Vous ne pouvez pas spécifier un groupe de sécurité comme source de la règle UDP entrante.


| Type | Protocole | Source | Description | 
| --- | --- | --- | --- | 
| Protocole personnalisé | 2 | 0.0.0.0/32 | Requête IGMP  | 
| Protocole UDP personnalisé | UDP | Adresse IP de l'hôte distant | Trafic multicast entrant | 

Pour le trafic multicast IGMP, vous devez disposer au minimum des règles sortantes suivantes.


| Type | Protocole | Destination | Description | 
| --- | --- | --- | --- | 
| Protocole personnalisé | 2 | 224.0.0.2/32 | Quitter IGMP | 
| Protocole personnalisé | 2 | Adresse IP du groupe multicast | Rejoindre IGMP | 
| Protocole UDP personnalisé | UDP | Adresse IP du groupe multicast | Trafic multicast sortant | 

# Domaines de multidiffusion dans AWS Transit Gateway
<a name="multicast-domains-about"></a>

Un domaine de multidiffusion permet de segmenter un réseau de multidiffusion en différents domaines. Pour commencer à utiliser le multicast avec une passerelle de transit, créez un domaine multicast, puis associez des sous-réseaux au domaine.

## Attributs de domaine multicast
<a name="multicast-domain-attributes"></a>

Le tableau suivant détaille les attributs de domaine multicast. Vous ne pouvez pas activer les deux attributs en même temps.


| Attribut | Description | 
| --- | --- | 
|  Igmpv2Support (AWS CLI) **IGMPv2 support** (console)  |  Cet attribut détermine la façon dont les membres du groupe rejoignent ou quittent un groupe multicast. Lorsque cet attribut est désactivé, vous devez ajouter les membres du groupe au domaine manuellement. Activez cet attribut si au moins un membre utilise le protocole IGMP. Les membres rejoignent le groupe multicast de l'une des manières suivantes : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/vpc/latest/tgw/multicast-domains-about.html) Si vous enregistrez des membres de groupes multicast, vous devez également les désenregistrer. La passerelle de transit ignore un message IGMP `LEAVE` envoyé par un membre du groupe ajouté manuellement.  | 
| StaticSourcesSupport (AWS CLI) **Prise en charge des sources statiques** (console) |  Cet attribut détermine s'il existe des sources multicast statiques pour le groupe. Lorsque cet attribut est activé, vous devez ajouter des sources pour un domaine de multidiffusion à l'aide de [register-transit-gateway-multicast-group-sources](https://docs.aws.amazon.com/cli/latest/reference/ec2/register-transit-gateway-multicast-group-sources.html). Seules les sources multicast peuvent envoyer du trafic multicast. Lorsque cet attribut est désactivé, aucune source multicast n'est désignée. Toutes les instances qui se trouvent dans les sous-réseaux associés au domaine multicast peuvent envoyer du trafic multicast, et les membres du groupe reçoivent le trafic multicast.  | 

# Création d'un domaine de multidiffusion IGMP dans Transit Gateway AWS
<a name="create-tgw-igmp-domain"></a>

Si vous ne l'avez pas encore fait, vérifiez les attributs de domaine multicast disponibles. Pour de plus amples informations, veuillez consulter [Domaines de multidiffusion dans AWS Transit Gateway](multicast-domains-about.md).

**Pour créer un domaine multicast IGMP à l'aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le panneau de navigation, choisissez **Transit Gateway Multicast (Multicast pour la passerelle de transit)**.

1. Choisissez **Create transit gateway multicast domain** (Créer un domaine multicast pour la passerelle de transit).

1. Pour **Name tag** (Balise de nom), saisissez un nom pour le domaine.

1. Pour **Transit gateway ID** (ID de passerelle de transit), choisissez la passerelle de transit qui traite le trafic multicast.

1. Pour obtenir de l'**IGMPv2 aide**, cochez la case.

1. Pour la prise en **charge des sources statiques**, décochez la case.

1. Pour accepter automatiquement les associations de sous-réseaux inter-comptes pour ce domaine multicast, sélectionnez **Auto accept shared associations** (Accepter automatiquement les associations partagées).

1. Choisissez **Create transit gateway multicast domain** (Créer un domaine multicast pour la passerelle de transit).

**Pour créer un domaine de multidiffusion IGMP à l'aide du AWS CLI**  
Utilisez la commande [create-transit-gateway-multicast-domain](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-multicast-domain.html).

```
aws ec2 create-transit-gateway-multicast-domain --transit-gateway-id tgw-0xexampleid12345 --options StaticSourcesSupport=disable,Igmpv2Support=enable
```

# Création d'un domaine de multidiffusion source statique dans AWS Transit Gateway
<a name="create-tgw-domain"></a>

Si vous ne l'avez pas encore fait, vérifiez les attributs de domaine multicast disponibles. Pour de plus amples informations, veuillez consulter [Domaines de multidiffusion dans AWS Transit Gateway](multicast-domains-about.md).

**Pour créer un domaine multicast statique à l'aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le panneau de navigation, choisissez **Transit Gateway Multicast (Multicast pour la passerelle de transit)**.

1. Choisissez **Create transit gateway multicast domain** (Créer un domaine multicast pour la passerelle de transit).

1. Pour le **Name tag (Nom de la balise)**, saisissez un nom pour identifier le domaine.

1. Pour **Transit gateway ID** (ID de passerelle de transit), choisissez la passerelle de transit qui traite le trafic multicast.

1. Pour obtenir de l'**IGMPv2 aide**, décochez la case.

1. Pour la prise en **charge des sources statiques**, cochez la case.

1. Pour accepter automatiquement les associations de sous-réseaux inter-comptes pour ce domaine multicast, sélectionnez **Auto accept shared associations** (Accepter automatiquement les associations partagées).

1. Choisissez **Create transit gateway multicast domain** (Créer un domaine multicast pour la passerelle de transit).

**Pour créer un domaine de multidiffusion statique à l'aide du AWS CLI**  
Utilisez la commande [create-transit-gateway-multicast-domain](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-multicast-domain.html).

```
aws ec2 create-transit-gateway-multicast-domain --transit-gateway-id tgw-0xexampleid12345 --options StaticSourcesSupport=enable,Igmpv2Support=disable
```

# Associer des pièces jointes et des sous-réseaux VPC à un domaine de multidiffusion dans Transit Gateway AWS
<a name="associate-attachment-to-domain"></a>

Utilisez la procédure suivante pour associer un attachement de VPC à un domaine multicast. Lorsque vous créez une association, vous pouvez sélectionner les sous-réseaux à inclure dans le domaine multicast. 

Avant de commencer, vous devez créer un attachement de VPC sur votre passerelle de transit. Pour de plus amples informations, veuillez consulter [Pièces jointes Amazon VPC dans Transit Gateway AWS](tgw-vpc-attachments.md).

**Pour associer des attachements de VPC à un domaine multicast à l'aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le panneau de navigation, choisissez **Transit Gateway Multicast (Multicast pour la passerelle de transit)**.

1. Sélectionnez le domaine multicast, puis choisissez **Actions**, **Create association** (Créer une association).

1. Pour **Choose attachment to associate** (Choisir l'attachement à associer), sélectionnez réseau de transit par passerelle.

1. Dans **Choose subnets to associate** (Choisir les sous-réseaux à associer), sélectionnez les sous-réseaux à inclure dans le domaine multicast.

1. Sélectionnez **Créer une association**.

**Pour associer des pièces jointes VPC à un domaine de multidiffusion à l'aide du AWS CLI**  
Utilisez la commande [associate-transit-gateway-multicast-domain](https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-transit-gateway-multicast-domain.html).

# Dissocier un sous-réseau d'un domaine de multidiffusion dans Transit Gateway AWS
<a name="remove-subnet-association"></a>

Procédez comme suit pour dissocier les sous-réseaux d'un domaine multicast.

**Pour dissocier les sous-réseaux à l'aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le panneau de navigation, choisissez **Transit Gateway Multicast (Multicast pour la passerelle de transit)**.

1. Sélectionnez le domaine multicast.

1. Cliquez sur l'onglet **Associations** .

1. Sélectionnez le sous-réseau, puis choisissez **Actions**, **Delete association** (Supprimer l'association).

**Pour dissocier les sous-réseaux à l'aide du AWS CLI**  
Utilisez la commande [disassociate-transit-gateway-multicast-domain](https://docs.aws.amazon.com/cli/latest/reference/ec2/disassociate-transit-gateway-multicast-domain.html).

# Afficher les associations de domaines de multidiffusion dans AWS Transit Gateway
<a name="view-tgw-domain-association"></a>

Consultez vos domaines de multidiffusion pour vérifier qu'ils sont disponibles et qu'ils contiennent les sous-réseaux et les pièces jointes appropriés.

**Pour afficher un domaine multicast à l'aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le panneau de navigation, choisissez **Transit Gateway Multicast (Multicast pour la passerelle de transit)**.

1. Sélectionnez le domaine multicast.

1. Cliquez sur l'onglet **Associations** .

**Pour afficher un domaine de multidiffusion à l'aide du AWS CLI**  
Utilisez la commande [describe-transit-gateway-multicast-domains](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-multicast-domains.html).

# Ajouter des balises à un domaine de multidiffusion dans AWS Transit Gateway
<a name="tgw-domain-tagging"></a>

Ajoutez des balises à vos ressources pour les organiser et les identifier, par exemple selon leur but, leur propriétaire ou leur environnement. Vous pouvez ajouter plusieurs balises à chaque domaine multicast. Les clés de balise doivent être uniques pour chaque domaine multicast. Si vous ajoutez une balise avec une clé qui est déjà associée au domaine multicast, la valeur de cette balise est mise à jour. Pour plus d'informations, consultez la section [Marquage de vos EC2 ressources Amazon](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html).

**Pour ajouter des balises à un domaine multicast à l'aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le panneau de navigation, choisissez **Transit Gateway Multicast (Multicast pour la passerelle de transit)**.

1. Sélectionnez le domaine multicast.

1. Choisissez **Actions**, **Manage tags** (Gérer les balises).

1. Pour chaque balise, choisissez **Add new tag** (Ajouter une nouvelle balise) et saisissez une **Clé** et une **Valeur** pour la balise.

1. Choisissez **Enregistrer**.

**Pour ajouter des balises à un domaine de multidiffusion à l'aide du AWS CLI**  
Utilisez la commande [create-tags](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-tags.html).

# Supprimer un domaine de multidiffusion dans AWS Transit Gateway
<a name="delete-tgw-domain"></a>

Utilisez la procédure suivante pour supprimer un domaine multicast.

**Pour supprimer un domaine multicast à l'aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le panneau de navigation, choisissez **Transit Gateway Multicast (Multicast pour la passerelle de transit)**.

1. Sélectionnez le domaine multicast, puis choisissez **Actions**, **Delete multicast domain (Supprimer le domaine multicast)**.

1. Lorsque vous êtes invité à confirmer, entrez **delete**, puis choisissez **Delete (Supprimer)**.

**Pour supprimer un domaine de multidiffusion à l'aide du AWS CLI**  
Utilisez la commande [delete-transit-gateway-multicast-domain](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-multicast-domain.html).

# Domaines de multidiffusion partagés dans AWS Transit Gateway
<a name="multicast-share-domain"></a>

Avec le partage de domaines multicast, les propriétaires de domaines multicast peuvent partager le domaine avec d'autres comptes AWS au sein de leur organisation ou entre organisations dans AWS Organizations. En tant que propriétaire du domaine multicast, vous pouvez créer et gérer le domaine multicast de manière centralisée. Une fois le partage effectué, ces utilisateurs peuvent effectuer les opérations suivantes sur un domaine de multidiffusion partagé :
+ Enregistrer et désenregistrer les membres du groupe ou des sources de groupe dans le domaine multicast
+ Associer un sous-réseau au domaine multicast et dissocier les sous-réseaux du domaine multicast

Un propriétaire de domaine multicast peut partager un domaine multicast avec :
+ AWS comptes au sein de son organisation ou entre organisations dans AWS Organizations
+ Une unité organisationnelle au sein de son organisation dans AWS Organizations
+ Toute son organisation en AWS Organizations
+ AWS comptes extérieurs à AWS Organizations. 

  Pour partager un domaine de multidiffusion avec un AWS compte externe à votre organisation, vous devez créer un partage de ressources à l'aide de AWS Resource Access Manager, puis choisir **Autoriser le partage avec n'importe qui** lorsque vous sélectionnez les principaux avec lesquels partager le domaine de multidiffusion. Pour plus d'informations sur la création d'un partage de ressources, veuillez consulter la section [Création d'un partage de ressources AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html) dans le *Guide de l'utilisateur AWS RAM *

**Topics**
+ [Conditions préalables au partage d'un domaine multicast](#sharing-prereqs)
+ [Services connexes](#sharing-related)
+ [Autorisations des domaines multicast partagés](#sharing-perms)
+ [Facturation et mesures](#sharing-billing)
+ [Quotas](#sharing-quotas)
+ [Partagez les ressources entre les zones de disponibilité](sharing-azs.md)
+ [Partager un domaine de multidiffusion](sharing-share.md)
+ [Annuler le partage d'un domaine de multidiffusion partagé](sharing-unshare.md)
+ [Identifier un domaine de multidiffusion partagé](sharing-identify.md)

## Conditions préalables au partage d'un domaine multicast
<a name="sharing-prereqs"></a>
+ Pour partager un domaine de multidiffusion, vous devez en être le propriétaire dans votre AWS compte. Vous ne pouvez pas partager un domaine multicast qui a été partagé avec vous.
+ Pour partager un domaine de multidiffusion avec votre organisation ou une unité organisationnelle AWS Organizations, vous devez activer le partage avec AWS Organizations. Pour plus d'informations, veuillez consulter [Activation du partage avec AWS Organizations](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs) dans le *Guide de l'utilisateur AWS RAM *.

## Services connexes
<a name="sharing-related"></a>

Le partage de domaine multicast s'intègre à AWS Resource Access Manager (AWS RAM). AWS RAM est un service qui vous permet de partager vos AWS ressources avec n'importe quel AWS compte ou via AWS Organizations. Avec AWS RAM, vous pouvez partager des ressources dont vous êtes propriétaire en créant un *partage de ressources*. Un partage de ressources indique les ressources à partager et les utilisateurs avec lesquels les partager. Les consommateurs peuvent être AWS des comptes individuels, des unités organisationnelles ou une organisation entière AWS Organizations.

Pour plus d'informations AWS RAM, consultez le *[guide de AWS RAM l'utilisateur](https://docs.aws.amazon.com/ram/latest/userguide/)*.

## Autorisations des domaines multicast partagés
<a name="sharing-perms"></a>

### Autorisations accordées aux propriétaires
<a name="perms-owner"></a>

Les propriétaires sont responsables de la gestion du domaine multicast et des membres et attachements qu'ils enregistrent ou associent au domaine. Les propriétaires peuvent modifier ou révoquer l'accès partagé à tout moment. Ils peuvent utiliser AWS Organizations pour afficher, modifier et supprimer les ressources créées par les consommateurs sur des domaines de multidiffusion partagés.

### Autorisations accordées aux consommateurs
<a name="perms-consumer"></a>

Les utilisateurs du domaine de multidiffusion partagé peuvent effectuer les opérations suivantes sur les domaines de multidiffusion partagés de la même manière que sur les domaines de multidiffusion qu'ils ont créés :
+ Enregistrer et désenregistrer les membres du groupe ou des sources de groupe dans le domaine multicast
+ Associer un sous-réseau au domaine multicast et dissocier les sous-réseaux du domaine multicast

Les consommateurs sont responsables de la gestion des ressources qu'ils créent sur le domaine multicast partagé.

Les clients ne peuvent pas afficher ou modifier les ressources appartenant à d'autres consommateurs ou au propriétaire du domaine multicast et ils ne peuvent pas modifier les domaines multicast qui sont partagés avec eux. 

## Facturation et mesures
<a name="sharing-billing"></a>

Il n'y a pas de frais supplémentaires pour le partage de domaines multicast pour le propriétaire ou les consommateurs. 

## Quotas
<a name="sharing-quotas"></a>

Un domaine de multidiffusion partagé est pris en compte dans les quotas de domaine de multidiffusion du propriétaire et de l'utilisateur partagé.

# Partagez les ressources entre les zones de disponibilité dans AWS Transit Gateway
<a name="sharing-azs"></a>

Pour garantir que les ressources sont réparties entre les zones de disponibilité d'une région, AWS Transit Gateway associe indépendamment les zones de disponibilité aux noms de chaque compte. Cela peut entraîner des différences de nom de zone de disponibilité entre les comptes. Par exemple, il est possible que la zone `us-east-1a` de disponibilité de votre AWS compte ne soit pas la même que celle `us-east-1a` d'un autre AWS compte.

Pour identifier l'emplacement de votre domaine multicast par rapport à vos comptes, vous devez utiliser l'*ID de zone de disponibilité* (AZ ID). L'AZ ID est un identifiant unique et cohérent pour une zone de disponibilité pour tous les AWS comptes. Par exemple, `use1-az1` il s'agit d'un identifiant AZ pour la `us-east-1` région et il s'agit du même emplacement dans tous les AWS comptes.

**Pour consulter l'AZ IDs des zones de disponibilité de votre compte**

1. Ouvrez la AWS RAM console à la [https://console.aws.amazon.com/ram/maison](https://console.aws.amazon.com/ram/home).

1. L'AZ IDs de la région actuelle s'affiche dans le panneau **Your AZ ID** sur le côté droit de l'écran.

# Partager un domaine de multidiffusion dans AWS Transit Gateway
<a name="sharing-share"></a>

Lorsqu'un propriétaire partage un domaine de multidiffusion avec vous, vous pouvez effectuer les opérations suivantes :
+ Inscrire et annuler l'inscription des membres du groupe ou des sources de groupes
+ Associer et dissocier des sous-réseaux

**Note**  
Pour partager un domaine multicast, vous devez l'ajouter à un partage de ressources. Un partage de ressources est une AWS RAM ressource qui vous permet de partager vos ressources entre différents AWS comptes. Un partage de ressources spécifie les ressources à partager, ainsi que les consommateurs avec qui elles seront partagées. Lorsque vous partagez un domaine de multidiffusion à l'aide du Amazon Virtual Private Cloud Console, vous l'ajoutez à un partage de ressources existant. Pour ajouter le domaine multicast à un nouveau partage de ressources, vous devez d'abord créer le partage de ressources à l'aide de la [console AWS RAM](https://console.aws.amazon.com/ram).  
Si vous faites partie d'une organisation AWS Organizations et que le partage au sein de votre organisation est activé, les clients de votre organisation ont automatiquement accès au domaine de multidiffusion partagé. Dans le cas contraire, les consommateurs reçoivent une invitation à rejoindre le partage de ressources et l'accès au domaine multicast partagé leur est octroyé lorsqu'ils acceptent l'invitation.

Vous pouvez partager un domaine de multidiffusion dont vous êtes propriétaire à l'aide de la Amazon Virtual Private Cloud console, de AWS RAM la console ou du AWS CLI.

**Pour partager un domaine multicast que vous possédez à l'aide de la \$1Amazon Virtual Private Cloud Console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Multicast Domains (Domaines multicast)**.

1. Sélectionnez le domaine multicast, puis choisissez **Actions**, **Share multicast domain (Partager le domaine multicast)**. 

1. Sélectionnez votre partage de ressources, puis choisissez **Share multicast domain (Partager le domaine multicast)**. 

**Pour partager un domaine de multidiffusion dont vous êtes propriétaire à l'aide de la console AWS RAM**  
Consultez [Création d’un partage de ressources](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing.html#working-with-sharing-create) dans le *Guide de l’utilisateur AWS RAM *.

**Pour partager un domaine de multidiffusion dont vous êtes propriétaire à l'aide du AWS CLI**  
Utilisez la commande [create-resource-share](https://docs.aws.amazon.com/cli/latest/reference/ram/create-resource-share.html).

# Annuler le partage d'un domaine de multidiffusion partagé dans Transit Gateway AWS
<a name="sharing-unshare"></a>

Lors de l'annulation du partage d'un domaine multicast partagé, les actions suivantes se produisent au niveau des ressources consommateur du domaine multicast :
+ Les sous-réseaux des consommateurs sont dissociés du domaine multicast. Les sous-réseaux restent dans le compte consommateur.
+ Les sources de groupes de consommateurs et les membres du groupe sont dissociés du domaine multicast, puis supprimés du compte consommateur.

 Pour annuler le partage d'un domaine multicast, vous devez le supprimer du partage de ressources. Vous pouvez le faire à partir de la AWS RAM console ou du AWS CLI.

Pour annuler le partage d'un domaine multicast partagé qui vous appartient, vous devez le supprimer du partage de ressources. Vous pouvez le faire à l'aide Amazon Virtual Private Cloud de AWS RAM la console ou du AWS CLI.

**Pour annuler le partage d'un domaine multicast partagé que vous possédez à l'aide de la \$1Amazon Virtual Private Cloud Console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Multicast Domains (Domaines multicast)**.

1. Sélectionnez votre domaine multicast, puis choisissez **Actions**, **Stop sharing** (Arrêter le partage). 

**Pour annuler le partage d'un domaine de multidiffusion partagé dont vous êtes propriétaire à l'aide de la console AWS RAM**  
Consultez [Mise à jour d’un partage de ressources](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing.html#working-with-sharing-update) dans le *Guide de l’utilisateur AWS RAM *.

**Pour annuler le partage d'un domaine de multidiffusion partagé dont vous êtes propriétaire à l'aide du AWS CLI**  
Utilisez la commande [disassociate-resource-share](https://docs.aws.amazon.com/cli/latest/reference/ram/disassociate-resource-share.html).

# Identifier un domaine de multidiffusion partagé dans AWS Transit Gateway
<a name="sharing-identify"></a>

Les propriétaires et les consommateurs peuvent identifier les domaines de multidiffusion partagés à l'aide des Amazon Virtual Private Cloud AWS CLI

**Pour identifier un domaine multicast partagé à l'aide de la \$1Amazon Virtual Private Cloud Console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Multicast Domains (Domaines multicast)**.

1. Sélectionnez votre domaine multicast.

1. Sur la page **Détails du domaine de multidiffusion en transit**, consultez l'**identifiant du propriétaire** pour identifier l'identifiant de AWS compte du domaine de multidiffusion.

**Pour identifier un domaine de multidiffusion partagé à l'aide du AWS CLI**  
Utilisez la commande [describe-transit-gateway-multicast-domains](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-multicast-domains.html). La commande renvoie les domaines de multidiffusion que vous possédez et les domaines de multidiffusion partagés avec vous. `OwnerId`indique l'ID de AWS compte du propriétaire du domaine de multidiffusion.

# Enregistrer les sources auprès d'un groupe de multidiffusion dans AWS Transit Gateway
<a name="add-source-multicast-group"></a>

**Note**  
Cette procédure n'est requise que lorsque vous avez défini l'attribut de **Prise en charge des sources statiques** sur **activer**.

Utilisez la procédure suivante pour enregistrer des sources avec un groupe multicast. La source est l'interface réseau qui envoie le trafic multicast.

Vous avez besoin des informations suivantes avant d'ajouter une source :
+ L'ID du domaine multicast
+ Les IDs interfaces réseau des sources
+ Adresse IP du groupe multicast

**Pour enregistrer les sources à l'aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le panneau de navigation, choisissez **Transit Gateway Multicast (Multicast pour la passerelle de transit)**.

1. Sélectionnez le domaine multicast, puis choisissez **Actions**, **Add group sources** (Ajouter des sources de groupe).

1. Pour l'**adresse IP du groupe**, entrez le bloc IPv4 CIDR ou le bloc IPv6 CIDR à attribuer au domaine de multidiffusion.

1. Sous **Choose network interfaces** (Choisir des interfaces réseau), sélectionnez les interfaces réseau des utilisateurs multicast.

1. Choisissez **Add sources (Ajouter des sources)**.

**Pour enregistrer des sources à l'aide du AWS CLI**  
Utilisez la commande [register-transit-gateway-multicast-group-sources](https://docs.aws.amazon.com/cli/latest/reference/ec2/register-transit-gateway-multicast-group-sources.html).

# Enregistrer les membres d'un groupe de multidiffusion dans AWS Transit Gateway
<a name="add-members-multicast-group"></a>

Utilisez la procédure suivante pour enregistrer les membres du groupe auprès d'un groupe multicast. 

Vous avez besoin des informations suivantes avant d'ajouter des membres :
+ L'ID du domaine multicast
+ Les IDs interfaces réseau des membres du groupe
+ Adresse IP du groupe multicast

**Pour inscrire les membres à l'aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le panneau de navigation, choisissez **Transit Gateway Multicast (Multicast pour la passerelle de transit)**.

1. Sélectionnez le domaine multicast, puis choisissez **Actions**, **Add group members** (Ajouter des membres de groupe).

1. Pour l'**adresse IP du groupe**, entrez le bloc IPv4 CIDR ou le bloc IPv6 CIDR à attribuer au domaine de multidiffusion.

1. Sous **Choose network interfaces** (Choisir des interfaces réseau), sélectionnez les interfaces réseau des récepteurs multicast.

1. Choisissez **Add members (Ajouter des membres)**.

**Pour enregistrer des membres à l'aide du AWS CLI**  
Utilisez la commande [register-transit-gateway-multicast-group-members](https://docs.aws.amazon.com/cli/latest/reference/ec2/register-transit-gateway-multicast-group-members.html).

# Désenregistrer les sources d'un groupe de multidiffusion dans Transit Gateway AWS
<a name="remove-source-multicast-group"></a>

Vous n'avez pas besoin de suivre cette procédure sauf si vous avez ajouté manuellement une source au groupe multicast.

**Pour supprimer une source à l'aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le panneau de navigation, choisissez **Transit Gateway Multicast (Multicast pour la passerelle de transit)**.

1. Sélectionnez le domaine multicast.

1. Cliquez sur l'onglet **Groups (Groupes)**.

1. Sélectionnez les sources, puis choisissez **Remove source (Supprimer la source)**.

**Pour supprimer une source à l'aide du AWS CLI**  
Utilisez la commande [deregister-transit-gateway-multicast-group-sources](https://docs.aws.amazon.com/cli/latest/reference/ec2/deregister-transit-gateway-multicast-group-sources.html).

# Désenregistrer les membres d'un groupe de multidiffusion dans Transit Gateway AWS
<a name="remove-members-multicast-group"></a>

Vous n'avez pas besoin de suivre cette procédure sauf si vous avez ajouté manuellement un membre au groupe multicast.

**Pour annuler l'inscription de membres à l'aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le panneau de navigation, choisissez **Transit Gateway Multicast (Multicast pour la passerelle de transit)**.

1. Sélectionnez le domaine multicast.

1. Cliquez sur l'onglet **Groups (Groupes)**.

1. Sélectionnez les membres, puis choisissez **Remove member (Supprimer le membre)**.

**Pour désenregistrer des membres à l'aide du AWS CLI**  
Utilisez la commande [deregister-transit-gateway-multicast-group-members](https://docs.aws.amazon.com/cli/latest/reference/ec2/deregister-transit-gateway-multicast-group-members.html).

# Afficher les groupes de multidiffusion dans AWS Transit Gateway
<a name="view-multicast-group"></a>

Vous pouvez consulter les informations relatives à vos groupes de multidiffusion pour vérifier que les membres ont été découverts à l'aide du IGMPv2 protocole. Le **type de membre** (dans la console) ou `MemberType` (dans le AWS CLI) affiche IGMP lorsque des membres du protocole sont AWS découverts.

**Pour afficher les groupes multicast à l'aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le panneau de navigation, choisissez **Transit Gateway Multicast (Multicast pour la passerelle de transit)**.

1. Sélectionnez le domaine multicast.

1. Cliquez sur l'onglet **Groups (Groupes)**.

**Pour afficher les groupes de multidiffusion à l'aide du AWS CLI**  
Utilisez la commande [search-transit-gateway-multicast-groups](https://docs.aws.amazon.com/cli/latest/reference/ec2/search-transit-gateway-multicast-groups.html).

L'hôte distant est l'hôte qui envoie le trafic multicast.

```
aws ec2 search-transit-gateway-multicast-groups --transit-gateway-multicast-domain tgw-mcast-domain-000fb24d04EXAMPLE
{
    "MulticastGroups": [
        {
            "GroupIpAddress": "224.0.1.0",
            "TransitGatewayAttachmentId": "tgw-attach-0372e72386EXAMPLE",
            "SubnetId": "subnet-0187aff814EXAMPLE",
            "ResourceId": "vpc-0065acced4EXAMPLE",
            "ResourceType": "vpc",
            "NetworkInterfaceId": "eni-03847706f6EXAMPLE",
            "MemberType": "igmp"
        }
    ]
}
```

# Configuration de la multidiffusion pour Windows Server dans AWS Transit Gateway
<a name="multicastwin"></a>

 Vous devrez effectuer des actions supplémentaires lors de la configuration du multicast pour qu'il fonctionne avec des passerelles de transit sous Windows Server 2019 ou 2022. Pour configurer cela PowerShell, vous devez utiliser et exécuter les commandes suivantes :

**Pour configurer la multidiffusion pour Windows Server à l'aide de PowerShell**

1. Modifiez Windows Server pour l'utiliser IGMPv2 plutôt que IGMPv3 pour la TCP/IP pile :

   `PS C:\> New-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters -Name IGMPVersion -PropertyType DWord -Value 3 `
**Note**  
`New-ItemProperty`est un index de propriété qui indique la version d'IGMP. IGMP v2 étant la version prise en charge pour la multidiffusion, la propriété `Value` doit être. `3` Au lieu de modifier le registre Windows, vous pouvez exécuter la commande suivante pour définir la version IGMP sur 2. :  
`Set-NetIPv4Protocol -IGMPVersion Version2`

1. Le pare-feu Windows supprime la plupart du trafic UDP par défaut. Vous devez d'abord vérifier quel profil de connexion est utilisé pour le multicast :

   ```
   PS C:\> Get-NetConnectionProfile | Select-Object NetworkCategory
   
   NetworkCategory
   ---------------
            Public
   ```

1. Mettez à jour le profil de connexion de l'étape précédente pour autoriser l'accès au(x) port(s) UDP requis :

   `PS C:\> Set-NetFirewallProfile -Profile Public -Enabled False`

1. Redémarrez l' EC2 instance.

1. Testez votre application multicast pour vous assurer que le trafic circule normalement.

# Exemple : gestion des configurations IGMP à l'aide de AWS Transit Gateway
<a name="multicast-configurations-igmp"></a>

Cet exemple montre au moins un hôte qui utilise le protocole IGMP pour le trafic de multidiffusion. AWS crée automatiquement le groupe de multidiffusion lorsqu'il reçoit un `JOIN` message IGMP d'une instance, puis ajoute l'instance en tant que membre dans ce groupe. Vous pouvez également ajouter de manière statique des hôtes non IGMP en tant que membres à un groupe à l'aide du. AWS CLI Toutes les instances qui se trouvent dans des sous-réseaux associés au domaine multicast peuvent envoyer du trafic et les membres du groupe reçoivent le trafic multicast.

 Effectuez les étapes suivantes pour terminer cette configuration.

1. Créez un VPC. Pour plus d'informations, consultez [Créer un VPC](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html) dans le *Guide de l'utilisateur Amazon VPC*.

1. Créez un sous-réseau dans le VPC. Pour plus d'informations, consultez la section [Créer un sous-réseau](https://docs.aws.amazon.com/vpc/latest/userguide/create-subnets.html) dans le guide de l'*utilisateur Amazon VPC.*

1. Créez une passerelle de transit configurée pour le trafic multicast. Pour de plus amples informations, veuillez consulter [Création d'une passerelle de transit dans AWS Transit Gateway](create-tgw.md).

1. Créez un attachement VPC. Pour de plus amples informations, veuillez consulter [Création d'une pièce jointe VPC dans Transit Gateway AWS](create-vpc-attachment.md).

1. Créez un domaine multicast configuré pour prendre en charge IGMP. Pour de plus amples informations, veuillez consulter [Création d'un domaine de multidiffusion IGMP dans Transit Gateway AWS](create-tgw-igmp-domain.md). 

   Utilisez les paramètres suivants :
   + Activez **IGMPv2 le support**.
   + Désactiver **Prise en charge des sources statistiques**.

1. Créez une association entre les sous-réseaux dans l'attachement VPC de passerelle de transit et le domaine multicast. Pour de plus amples informations, veuillez consulter [Associer des pièces jointes et des sous-réseaux VPC à un domaine de multidiffusion dans Transit Gateway AWS](associate-attachment-to-domain.md). 

1. La version IGMP par défaut pour EC2 est. IGMPv3 Vous devez modifier la version de tous les membres du groupe IGMP. Vous pouvez exécuter la commande suivante :

   ```
   sudo sysctl net.ipv4.conf.eth0.force_igmp_version=2
   ```

1. Ajoutez les membres qui n'utilisent pas le protocole IGMP au groupe multicast. Pour de plus amples informations, veuillez consulter [Enregistrer les membres d'un groupe de multidiffusion dans AWS Transit Gateway](add-members-multicast-group.md).

# Exemple : gestion des configurations de sources statiques dans AWS Transit Gateway
<a name="multicast-configurations-no-igmp"></a>

Cet exemple ajoute de manière statique des sources de multidiffusion à un groupe. Les hôtes n'utilisent pas le protocole IGMP pour rejoindre ou quitter des groupes multicast. Vous devez ajouter de façon statique les membres du groupe qui reçoivent le trafic multicast.

 Effectuez les étapes suivantes pour terminer cette configuration.

1. Créez un VPC. Pour plus d'informations, consultez [Créer un VPC](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html) dans le *Guide de l'utilisateur Amazon VPC*.

1. Créez un sous-réseau dans le VPC. Pour plus d'informations, consultez la section [Créer un sous-réseau](https://docs.aws.amazon.com/vpc/latest/userguide/create-subnets.html) dans le guide de l'*utilisateur Amazon VPC.*

1. Créez une passerelle de transit configurée pour le trafic multicast. Pour de plus amples informations, veuillez consulter [Création d'une passerelle de transit dans AWS Transit Gateway](create-tgw.md).

1. Créez un attachement VPC. Pour de plus amples informations, veuillez consulter [Création d'une pièce jointe VPC dans Transit Gateway AWS](create-vpc-attachment.md).

1. Créez un domaine multicast configuré sans prise en charge IGMP et pour prendre en charge l'ajout statique de sources. Pour de plus amples informations, veuillez consulter [Création d'un domaine de multidiffusion source statique dans AWS Transit Gateway](create-tgw-domain.md). 

   Utilisez les paramètres suivants :
   + Désactivez **IGMPv2 le support**.
   + Pour ajouter manuellement des sources, activez la **prise en charge des sources statiques**.

     Les sources sont les seules ressources qui peuvent envoyer du trafic multicast lorsque l'attribut est activé. Dans le cas contraire, toutes les instances qui se trouvent dans les sous-réseaux associés au domaine multicast peuvent envoyer du trafic multicast et les membres du groupe reçoivent le trafic multicast.

1. Créez une association entre les sous-réseaux dans l'attachement VPC de passerelle de transit et le domaine multicast. Pour plus d'informations, consultez [Associer des pièces jointes et des sous-réseaux VPC à un domaine de multidiffusion dans Transit Gateway AWS](associate-attachment-to-domain.md).

1. Si vous activez **Prise en charge des sources statiques**, ajoutez la source au groupe multicast. Pour de plus amples informations, veuillez consulter [Enregistrer les sources auprès d'un groupe de multidiffusion dans AWS Transit Gateway](add-source-multicast-group.md).

1. Ajoutez les membres au groupe multicast. Pour de plus amples informations, veuillez consulter [Enregistrer les membres d'un groupe de multidiffusion dans AWS Transit Gateway](add-members-multicast-group.md).

# Exemple : gestion des configurations de membres de groupes statiques dans AWS Transit Gateway
<a name="multicast-configurations-no-igmp-source"></a>

Cet exemple montre l'ajout statique de membres de multidiffusion à un groupe. Les hôtes ne peuvent pas utiliser le protocole IGMP pour rejoindre ou quitter des groupes multicast. Toutes les instances qui se trouvent dans des sous-réseaux associés au domaine multicast peuvent envoyer du trafic multicast et les membres du groupe reçoivent le trafic multicast.

 Effectuez les étapes suivantes pour terminer cette configuration.

1. Créez un VPC. Pour plus d'informations, consultez [Créer un VPC](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html) dans le *Guide de l'utilisateur Amazon VPC*.

1. Créez un sous-réseau dans le VPC. Pour plus d'informations, consultez la section [Créer un sous-réseau](https://docs.aws.amazon.com/vpc/latest/userguide/create-subnets.html) dans le guide de l'*utilisateur Amazon VPC.*

1. Créez une passerelle de transit configurée pour le trafic multicast. Pour de plus amples informations, veuillez consulter [Création d'une passerelle de transit dans AWS Transit Gateway](create-tgw.md).

1. Créez un attachement VPC. Pour de plus amples informations, veuillez consulter [Création d'une pièce jointe VPC dans Transit Gateway AWS](create-vpc-attachment.md).

1. Créez un domaine multicast configuré sans prise en charge IGMP et pour prendre en charge l'ajout statique de sources. Pour de plus amples informations, veuillez consulter [Création d'un domaine de multidiffusion source statique dans AWS Transit Gateway](create-tgw-domain.md). 

   Utilisez les paramètres suivants :
   + Désactivez **IGMPv2 le support**.
   + Désactiver **Prise en charge des sources statistiques**.

1. Créez une association entre les sous-réseaux dans l'attachement VPC de passerelle de transit et le domaine multicast. Pour de plus amples informations, veuillez consulter [Associer des pièces jointes et des sous-réseaux VPC à un domaine de multidiffusion dans Transit Gateway AWS](associate-attachment-to-domain.md).

1. Ajoutez les membres au groupe multicast. Pour de plus amples informations, veuillez consulter [Enregistrer les membres d'un groupe de multidiffusion dans AWS Transit Gateway](add-members-multicast-group.md).

# Allocation flexible des coûts
<a name="metering-policy"></a>

Par défaut, Transit Gateway utilise un modèle de répartition des coûts basé sur l'expéditeur dans lequel les frais de traitement des données sont alloués au compte propriétaire de la pièce jointe source. Vous pouvez créer des politiques de mesure personnalisées qui définissent les comptes à facturer en fonction des propriétés du flux de trafic, telles que les types de pièces jointes, les pièces jointes IDs spécifiques ou les adresses réseau.

Les politiques de mesure consistent en des règles ordonnées qui sont évaluées du plus petit au plus élevé. Lorsque le trafic correspond à une règle, le compte spécifié est débité conformément à la configuration de la règle. Vous pouvez indiquer le titulaire du compte pour la répartition des coûts parmi les options suivantes :
+ **Propriétaire de la pièce jointe source** : les frais sont alloués au compte propriétaire de la pièce jointe source (comportement par défaut)
+ **Propriétaire de la pièce jointe de destination** : les frais sont alloués au compte propriétaire de la pièce jointe de destination
+ **Propriétaire de la passerelle de transit** : les frais sont alloués au compte propriétaire de la passerelle de transit

La répartition flexible des coûts permet une meilleure gestion des coûts pour les organisations utilisant des architectures réseau centralisées, ce qui permet d'allouer les coûts aux unités commerciales ou aux propriétaires d'applications appropriés, quelle que soit la topologie du réseau.

**Note**  
La répartition flexible des coûts permet de répartir de manière flexible l'utilisation des compteurs et, par conséquent, les coûts entre les titulaires de comptes de votre choix. Cependant, les implications fiscales pour les AWS comptes peuvent varier considérablement en fonction de la situation géographique, des habitudes d'utilisation et d'autres facteurs. Vérifiez les implications en matière de facturation, de fiscalité et de gestion des coûts pour les comptes de votre AWS organisation avant d'activer cette fonctionnalité. Référence : [Qu'est-ce que AWS Billing and Cost Management ?](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-what-is.html)

## Politiques de mesure
<a name="metering-policies-main"></a>

Les politiques de comptage vous permettent de configurer des règles de répartition des coûts pour votre passerelle de transit afin de contrôler les comptes facturés pour le traitement des données et les coûts de transfert en fonction des propriétés du flux de trafic. Cette fonctionnalité permet d'améliorer les capacités de gestion des coûts et de remboursement pour les organisations utilisant des architectures réseau centralisées.

Une politique de mesure est composée des éléments suivants :
+ **Politique de mesure** : conteneur de configuration globale qui contient les règles de politique de mesure. Une fois créé, il contient une seule entrée de politique de mesure par défaut configurée pour facturer tout le trafic au propriétaire de la pièce jointe source. Chaque passerelle de transit ne peut avoir qu'une seule politique de comptage.
+ **Saisie d'une politique** de mesure : règles individuelles au sein d'une politique de mesure qui définissent des critères de correspondance spécifiques et l'utilisation du compteur par rapport au compte. Chaque entrée inclut un numéro de règle pour l'ordre d'évaluation, les conditions de correspondance du trafic (telles que les types de pièces jointes source et de destination IDs, les pièces jointes, les blocs CIDR, les ports et les protocoles) et le titulaire du compte à facturer pour le trafic correspondant. Une politique peut contenir jusqu'à 50 entrées, évaluées du plus petit au plus haut numéro de règle.

  Vous pouvez affecter l'utilisation des compteurs à l'une des catégories suivantes :
  + **Propriétaire de la pièce jointe source** : alloue l'utilisation du compteur au compte propriétaire de la pièce jointe d'où provient le trafic (comportement par défaut)
  + **Propriétaire de la pièce jointe de destination** : alloue l'utilisation des compteurs au compte propriétaire de la pièce jointe où le trafic se termine, et
  + **propriétaire de la passerelle de transit** : alloue l'utilisation des compteurs au compte propriétaire de la passerelle de transit.
+ **Pièces jointes Middlebox** : (Facultatif) Pièces jointes de passerelle de transit désignées qui acheminent le trafic via des appareils réseau à des fins d'inspection de sécurité, d'équilibrage de charge ou d'autres fonctions réseau. L'utilisation des données pour le trafic traversant les pièces jointes du middlebox est mesurée en fonction du propriétaire du compte spécifié dans la politique de mesure. Vous pouvez spécifier un maximum de 10 pièces jointes de type middlebox. Les types de pièces jointes middlebox pris en charge sont les pièces jointes Network Function (AWS Network Firewall), VPC et VPN.

### Comment fonctionnent les politiques de mesure
<a name="metering-policy-overview"></a>

Par défaut, Transit Gateway utilise un modèle de répartition des coûts basé sur l'expéditeur, dans lequel les frais de traitement des données sont calculés en fonction du compte propriétaire de la pièce jointe source. Grâce aux politiques de mesure, vous pouvez créer des règles personnalisées pour augmenter la flexibilité de l'utilisation des compteurs en fonction des propriétés de flux de trafic suivantes :
+ Types de pièces jointes source et destination (VPC, VPN, passerelle Direct Connect, peering, fonction réseau et concentrateur VPN)
+ Pièce jointe à la source et à la destination IDs
+ Adresses IP source et destination, plages de ports et protocoles

Les politiques de mesure consistent en des règles ordonnées qui sont évaluées du plus petit au plus élevé. Lorsque le trafic correspond à une règle, le compte spécifié est débité conformément au paramètre de compte mesuré de la règle. Les politiques de mesure répondent à plusieurs scénarios organisationnels courants :
+ **Répartition des coûts liés à l'environnement hybride** : répartissez les coûts liés à la saisie AWS de données sur site via Direct Connect Gateway au propriétaire du compte VPC de destination plutôt qu'au propriétaire du compte de l'administrateur informatique central.
+ **Architecture d'inspection centralisée** : répartissez les coûts entre les propriétaires d'applications ou de comptes VPC individuels plutôt que l'équipe de sécurité centrale chargée du trafic transitant par le biais de l'inspection. VPCs
+ **Réfacturation basée sur les applications** : allouez tous les coûts d'utilisation des données pour une charge de travail au propriétaire du VPC, quelle que soit la direction du trafic.
+ **Répartition des coûts par client** : répartissez les coûts de données entre les comptes clients lorsqu'ils créent des pièces jointes à votre passerelle de transit.

### Accessoires Middlebox
<a name="metering-policy-middlebox"></a>

Les politiques de mesure des passerelles de transit prennent en charge les accessoires Middlebox, ce qui vous permet d'allouer de manière flexible les frais de traitement des données pour le trafic réseau acheminé via des appareils middlebox tels que des pare-feux réseau et des équilibreurs de charge. Parmi les pièces jointes de type middlebox, on peut citer l'attachement de fonctions réseau à AWS Network Firewall ou les pièces jointes VPC qui acheminent le trafic vers des dispositifs de sécurité tiers dans un VPC. Le trafic entre les pièces jointes de la passerelle de transit source et de destination passe par ces pièces jointes du boîtier intermédiaire pour les cas d'utilisation typiques de l'inspection de sécurité. Vous pouvez définir des politiques de mesure pour répartir de manière flexible l'utilisation du traitement des données sur les pièces jointes intermédiaires à la pièce jointe source d'origine, à la pièce jointe de destination finale ou au propriétaire du compte de passerelle de transit. Pour les accessoires Network Function, les frais de traitement des données du AWS Network Firewall sont également imputés au compte mesuré.

### Répartition flexible des coûts - Types d'utilisation des compteurs
<a name="metering-usage-types"></a>

La répartition flexible des coûts via des politiques de mesure s'applique aux types d'utilisation des données suivants :
+ Utilisation du traitement des données de la passerelle de transit sur les pièces jointes VPC, VPN, VPN Concentrator et Direct Connect
+ Site-to-site Utilisation du transfert de données sortant par VPN sur les pièces jointes au VPN
+ Utilisation du transfert de données sortant Direct Connect sur les pièces jointes Direct Connect.
+ Utilisation du transfert de données sur les accessoires de peering TGW
+ Passerelle de transit Utilisation du traitement des données sur les pièces jointes aux fonctions réseau
+ AWS utilisation du traitement des données par un pare-feu réseau (NFW) sur les pièces jointes aux fonctions réseau.

La répartition flexible des coûts ne s'applique pas à l'utilisation horaire des pièces jointes ni à l'utilisation du traitement des données par multidiffusion. Pour les pièces jointes Transit Gateway Connect, une politique de mesure peut être définie pour le VPC de transport ou l'attachement Direct Connect sous-jacent. Pour les connexions VPN IP privées, une politique de mesure peut être définie pour l'attachement Direct Connect de transport sous-jacent.

### Considérations et restrictions
<a name="metering-policy-considerations"></a>

Tenez compte des points suivants lorsque vous mettez en œuvre des politiques de comptage pour votre passerelle de transit.

#### Permissions
<a name="metering-policy-permissions"></a>
+ Seul le propriétaire de la passerelle de transit peut créer, modifier ou supprimer des politiques de mesure.
+ Les paramètres de répartition des coûts s'appliquent au niveau de la passerelle de transit.
+ Les propriétaires des pièces jointes ne peuvent pas annuler les paramètres de répartition des coûts configurés par le propriétaire de la passerelle de transit.

#### Peering pour Transit Gateway
<a name="metering-policy-peering"></a>

Lorsque le trafic traverse les connexions d'appairage de la passerelle de transit :
+ Chaque point d'entrée de transit applique sa propre politique de comptage de manière indépendante.
+ Les frais de données sont alloués séparément par chaque passerelle de transit en fonction de sa politique locale.
+ Le trafic peut être considéré comme deux flux distincts : l'attachement de la source au peering et l'attachement du peering à la destination.

#### Intégration au réseau WAN dans le cloud
<a name="metering-policy-cwan"></a>

Lorsqu'une passerelle de transit est connectée à un réseau central Cloud WAN :
+ Les frais de transfert de données des passerelles de transit sur les connexions d'appairage sont répartis conformément à la politique de comptage des passerelles de transit.
+ Les politiques de mesure ne sont pas prises en charge sur les réseaux principaux Cloud WAN.

#### Impact sur les performances
<a name="metering-policy-performance"></a>
+ Les politiques de mesure n'introduisent aucune latence supplémentaire sur le chemin des données.
+ Les politiques de mesure n'ont aucun impact sur la bande passante maximale par pièce jointe.
+ Aucune modification n'a été apportée aux capacités de partage des ressources de la passerelle de transit.

#### Intégration de la facturation
<a name="metering-policy-billing"></a>
+ Les balises de répartition des coûts continuent de fonctionner avec les politiques de comptage permettant d'organiser les coûts par unité commerciale.
+ Les politiques de comptage définissent les comptes qui entraînent des coûts, tandis que les balises de répartition des coûts permettent de classer ces coûts par catégorie.
+ Les modifications apportées aux politiques de comptage prennent effet à la fin de l'heure de facturation suivante.

#### IPv6 soutien
<a name="metering-policy-ipv6"></a>

Les politiques de mesure sont prises en charge à la fois pour le IPv6 trafic IPv4 et pour le trafic. La correspondance des blocs CIDR dans les entrées de politique fonctionne avec les deux familles d'adresses.

#### Support de fixation Middlebox
<a name="metering-policy-middlebox-support"></a>
+ La politique de mesure du boîtier intermédiaire suppose que le trafic entre la pièce jointe source et la pièce jointe de destination est limité par le biais de la pièce jointe centrale spécifiée (par exemple, inspection est-ouest du trafic). VPC-to-VPC Par conséquent, les 5 tuples du réseau (source/destination IPs, source/destinationports et protocole) pour les flux entrant et sortant des pièces jointes du boîtier intermédiaire doivent correspondre. Les flux présentant des incohérences à 5 tuples sur les pièces jointes de la boîte centrale (par exemple, la transformation NAT dans un VPC d'inspection) sont traités comme des flux de pièces jointes source-destination réguliers (par opposition aux flux de pièces jointes de la boîte centrale).
+ Tous les flux de sortie uniquement sur la pièce jointe de la boîte intermédiaire (par exemple le trafic nord-sud vers Internet via IGW dans un VPC d'inspection) sont traités comme des flux source-destination réguliers (par opposition aux flux de connexion de la boîte intermédiaire).
+ Pour les pièces jointes liées à des fonctions AWS réseau lorsque le pare-feu réseau supprime des paquets, toutes les utilisations du traitement des données sont facturées au compte de l'expéditeur, quelle que soit la configuration de la politique de mesure.

# Création d'une politique AWS de comptage pour Transit Gateway
<a name="metering-policy-create-policy"></a>

Pour activer les politiques de comptage, vous devez créer une politique de comptage pour votre passerelle de transit et configurer des entrées de politique qui définissent la manière dont l'utilisation des compteurs est allouée. La politique de mesure définit le cadre et les paramètres par défaut, tandis que les entrées de politique contiennent les règles spécifiques qui déterminent quels comptes sont mesurés en fonction des caractéristiques du trafic.

Les entrées des politiques de mesure fonctionnent comme des règles ordonnées qui sont appliquées de manière séquentielle, du plus petit au plus élevé, pour le trafic passant par votre passerelle de transit. Chaque entrée définit des critères de correspondance tels que les types de pièces jointes source et destination, les blocs CIDR, les protocoles et les plages de ports, ainsi que le compte qui doit être mesuré pour le trafic correspondant. Lorsqu'un flux de trafic correspond à plusieurs entrées, l'entrée dont le numéro de règle est le plus bas est prioritaire. Si aucune entrée ne correspond à un flux particulier, le compte compteur par défaut spécifié dans la politique est débité.

Après avoir créé une politique, vous devrez ajouter des entrées de politique pour mettre en œuvre votre logique de répartition des coûts. Pour les étapes de création d'une entrée de politique de mesure, voir[Création d'une entrée de politique de mesure](create-metering-policy-entry.md).

## Création d'une politique de mesure à l'aide de la console
<a name="create-metering-policy-console"></a>

Créez une politique pour définir des règles flexibles de répartition des coûts pour l'utilisation des données des passerelles de transit. Par défaut, tous les flux sont mesurés en fonction du propriétaire de la pièce jointe source. Créez des entrées pour facturer des flux réseau spécifiques à différents comptes.

**Pour créer une politique de mesure**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Metering policies**.

1. Choisissez **Créer une politique de mesure**.

1. Pour **Transit Gateway ID**, choisissez la passerelle de transit pour laquelle vous souhaitez créer une politique de comptage.

1. (Facultatif) Pour la **pièce jointe Middlebox IDs**, choisissez une ou plusieurs pièces jointes Middlebox. Par défaut, l'utilisation des données est mesurée en fonction du propriétaire du middlebox. La prise en charge des pièces jointes du boîtier intermédiaire permet d'appliquer une politique de mesure au trafic traversant les pièces jointes du boîtier intermédiaire. Des pièces jointes supplémentaires peuvent être ajoutées ultérieurement.

1. (Facultatif) Dans la section **Balises**, ajoutez des balises pour vous aider à identifier et à organiser votre politique de mesure :

   1. Sélectionnez **Ajouter une nouvelle balise**.

   1. Entrez une **clé** de balise et éventuellement une **valeur** de balise.

   1. Choisissez **Ajouter un nouveau tag** pour ajouter des tags supplémentaires, ou passez à l'étape suivante. Vous pouvez ajouter jusqu’à 50 balises.

1. Choisissez **Créer une politique de mesure pour les passerelles de transit**.

**Note**  
Le compte mesuré par défaut est le propriétaire de la pièce jointe source, et après avoir créé une politique de comptage, vous pouvez ajouter des entrées qui définissent le compte débité en fonction des propriétés du flux de trafic, en notant que l'entrée de politique par défaut (qui est la dernière entrée) ne peut pas être modifiée ou supprimée comme les autres entrées de politique.

## Créez une politique de mesure à l'aide du AWS CLI
<a name="create-metering-policy"></a>

Une politique de comptage définit le comportement de répartition des coûts par défaut et les paramètres globaux de votre passerelle de transit. Utilisez l'option [create-transit-gateway-metering-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/create-transit-gateway-metering-policy.html).

Paramètres obligatoires :
+ `--transit-gateway-id`- L'identifiant de la passerelle de transit pour laquelle créer la politique

Paramètres facultatifs :
+ `--middle-box-attachment-ids`- Identifiants de pièce jointe de passerelle de transit pris en charge à ajouter à la politique en tant que boîte intermédiaire
+ `--tag-specifications`- étiquettes pour la politique de mesure

**Pour créer une politique de mesure à l'aide du AWS CLI**

1. Exécutez la **create-transit-gateway-metering-policy** commande pour créer une nouvelle politique de mesure avec des pièces jointes facultatives pour le middlebox.

   ```
   aws ec2 create-transit-gateway-metering-policy \
       --transit-gateway-id tgw-07a5946195a67dc47 \
       --middle-box-attachment-ids \
       tgw-attach-0123456789abcdef0 \
       tgw-attach-0abc123def456789a \
       --tag-specifications \
       '[{ "ResourceType": "transit-gateway-metering-policy", \
       "Tags": [ { "Key": "Env", "Value": "Prod" } ] }]'
   ```

   Cette commande crée une politique de mesure pour la passerelle de transit spécifiée avec les pièces jointes et les balises de boîtier intermédiaire fournies.

1. La commande renvoie le résultat suivant lorsque la politique est créée avec succès :

   ```
   {
       "TransitGatewayMeteringPolicy": {
           "TransitGatewayMeteringPolicyId": "tgw-mp-042d444564d4b2da7",
           "TransitGatewayId": "tgw-07a5946195a67dc47",
           "MiddleboxAttachmentIds":  ["tgw-attach-0123456789abcdef0", 
           "tgw-attach-0abc123def456789a"],
           "State": "pending",
           "UpdateEffectiveAt": "2025-11-05T21:00:00.000Z",
           "Tags": [{"Key": "Env","Value": "Prod"}]
       }
   }
   ```

   Notez l'ID de politique de mesure renvoyé dans la réponse pour une utilisation dans les commandes suivantes. **describe-transit-gateway-metering-policies**la commande peut être utilisée pour obtenir la politique de mesure associée à la passerelle de transit.

# Gérez les AWS politiques de comptage de Transit Gateway
<a name="metering-policy-manage-policy"></a>

Après avoir créé une politique de mesure, vous pouvez la gérer en consultant les paramètres actuels, en modifiant les options de configuration ou en supprimant la politique lorsqu'elle n'est plus nécessaire. Les opérations de gestion vous permettent d'ajouter ou de supprimer des pièces jointes au middlebox en fonction de l'évolution des exigences de votre réseau. Vous pouvez uniquement créer ou supprimer une entrée de politique. Si vous devez modifier une règle existante, vous pouvez supprimer l'entrée et en créer une nouvelle avec la configuration modifiée. Toutes les opérations de gestion nécessitent l'autorisation du propriétaire de la passerelle de transit et prennent effet après deux heures de facturation.

Une gestion efficace des politiques de comptage est essentielle pour maintenir une allocation précise des coûts au fur et à mesure de l'évolution de l'architecture de votre réseau. Organisations doivent souvent ajuster leurs politiques lorsque les unités commerciales changent, que de nouvelles applications sont déployées ou que les topologies du réseau sont modifiées. Par exemple, les paramètres de support du middlebox metering peuvent nécessiter des mises à jour lorsque l'architecture de sécurité du pare-feu change ou lorsque de nouveaux services d'inspection sont introduits dans le chemin du trafic.

Les modifications des politiques prennent en charge divers scénarios opérationnels, notamment les changements saisonniers des modèles de trafic, les activités de fusion et d'acquisition et les mises à jour des exigences de conformité. Lors de la gestion des politiques, tenez compte de l'impact sur les modalités de facturation existantes et communiquez les modifications aux parties prenantes concernées avant leur mise en œuvre.

Des examens réguliers des politiques permettent de garantir que la répartition des coûts reste alignée sur les objectifs commerciaux et les structures organisationnelles. Les meilleures pratiques incluent la documentation des changements de politique, le test des modifications dans des environnements hors production lorsque cela est possible et la coordination avec les équipes financières pour comprendre les implications en matière de facturation. Tenez également compte du calendrier des changements de politique afin de minimiser les perturbations des cycles de facturation mensuels et des processus d'information financière.

**Topics**
+ [Modifier une politique de mesure](metering-policy-edit.md)
+ [Supprimer une politique de mesure](metering-policy-delete.md)

# Modifier une politique de comptage de AWS Transit Gateway
<a name="metering-policy-edit"></a>

Modifiez les politiques de mesure existantes pour modifier les configurations de fixation des boîtiers intermédiaires. Les modifications de politique prennent effet à l'heure de facturation suivante et s'appliquent à tous les futurs flux de trafic passant par votre passerelle de transit.

## Modifier une politique de mesure à l'aide de la console
<a name="edit-metering-policy-console"></a>

Utilisez la console pour modifier les paramètres de politique de comptage existants pour votre passerelle de transit.

**Pour modifier une politique de mesure existante à l'aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Metering policies**.

1. Sélectionnez la politique de mesure que vous souhaitez modifier en choisissant son ID de stratégie

1. Modifiez les paramètres de stratégie disponibles sous **Actions**. La console autorise uniquement l'ajout et la suppression de pièces jointes à la boîte centrale.

   1. **Pièces jointes à des boîtes intermédiaires** : ajoutez ou supprimez des pièces jointes à des passerelles de transit qui doivent être traitées comme des boîtes intermédiaires pour la facturation spécialisée.

## Modifiez une politique de mesure à l'aide du AWS CLI
<a name="edit-metering-policy-cli"></a>

Utilisez la **modify-transit-gateway-metering-policy** commande pour afficher et modifier les politiques de mesure.

Paramètres requis pour les opérations de modification :
+ `--transit-gateway-metering-policy-id`- L'ID de la politique de mesure à modifier
+ `--add-middle-box-attachment-ids`ou `--remove-middle-box-attachment-ids` - Identifiants de pièce jointe de passerelle de transit pris en charge à ajouter ou à supprimer de la politique en tant que middlebox

**Pour afficher et modifier les politiques de mesure à l'aide de la CLI AWS**

1. (Facultatif) Consultez les politiques de mesure existantes à l'aide de la **describe-transit-gateway-metering-policies** commande pour voir les paramètres de configuration actuels :

   ```
   aws ec2 describe-transit-gateway-metering-policies
   ```

   Cette commande renvoie toutes les politiques de mesure de votre compte, indiquant leur état actuel, ainsi que les pièces jointes activées comme boîte intermédiaire pour chacune des politiques de mesure.

1. Modifiez une politique de mesure à l'aide de la **modify-transit-gateway-metering-policy** commande pour mettre à jour les options de configuration :

   ```
   aws ec2 modify-transit-gateway-metering-policy \
       --transit-gateway-metering-policy-id tgw-mp-042d444564d4b2da7 \
       --add-middle-box-attachment-ids tgw-attach-0123456789abcdef1  \
       --remove-middle-box-attachment-ids tgw-attach-0abc123def456789a
   ```

   Cette commande modifie une politique de mesure en ajoutant la and/or suppression des pièces jointes au middlebox.

1. La commande renvoie le résultat suivant lorsque la politique est modifiée avec succès :

   ```
   {
       "TransitGatewayMeteringPolicy": {
           "TransitGatewayMeteringPolicyId": "tgw-mp-042d444564d4b2da7",
           "TransitGatewayId": "tgw-07a5946195a67dc47",
           "MiddleboxAttachmentIds":  ["tgw-attach-0123456789abcdef0", 
           "tgw-attach-0123456789abcdef1"],
           "State": "modifying",
           "UpdateEffectiveAt": "2025-11-05T21:00:00.000Z"
       }
   }
   ```

   Les modifications peuvent prendre jusqu'à deux heures de facturation pour être prises en compte.

# Supprimer une politique de comptage de AWS Transit Gateway
<a name="metering-policy-delete"></a>

Supprimez les politiques de comptage lorsqu'elles ne sont plus nécessaires pour votre stratégie de répartition des coûts liés aux passerelles de transport en commun. La suppression d'une politique rétablit la répartition des coûts selon le modèle par défaut basé sur l'expéditeur, dans lequel les frais de traitement et de transfert de données sont alloués au compte propriétaire de la pièce jointe source. Toutes les entrées de politique associées à la politique de mesure supprimée sont également supprimées.

## Supprimer une politique de mesure à l'aide de la console
<a name="delete-metering-policy-console"></a>

Utilisez la console pour supprimer les politiques de mesure qui ne sont plus nécessaires.

**Pour supprimer une politique de mesure à l'aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Metering policies**.

1. Sélectionnez la politique que vous souhaitez supprimer en choisissant son ID de politique.

1. Choisissez **Actions**, puis **Delete** (Supprimer).

1. Confirmez la suppression en tapant **delete** dans la boîte de dialogue de confirmation.

1. Sélectionnez **Delete (Supprimer)**.

**Important**  
La suppression d'une politique de mesure est irréversible. Toutes les entrées de politique et tous les paramètres de configuration seront définitivement supprimés, et la répartition des coûts reviendra au modèle par défaut basé sur l'expéditeur.

## Supprimez une politique de mesure à l'aide du AWS CLI
<a name="delete-metering-policy-cli"></a>

Utilisez la **delete-transit-gateway-metering-policy** commande pour supprimer les politiques de mesure par programmation.

Prérequis:
+ Autorisations du propriétaire de la passerelle de transit

Paramètres obligatoires :
+ `--transit-gateway-metering-policy-id`- L'ID de la politique de mesure à supprimer

**Pour afficher et supprimer les politiques de mesure à l'aide de la CLI AWS**

1. (Facultatif) Consultez les politiques de mesure existantes à l'aide de la **describe-transit-gateway-metering-policies** commande pour voir les paramètres de configuration actuels :

   ```
   aws ec2 describe-transit-gateway-metering-policies
   ```

   Cette commande renvoie toutes les politiques de mesure de votre compte, en indiquant leur état et leur configuration actuels.

1. Supprimez une politique de mesure à l'aide de la **delete-transit-gateway-metering-policy** commande permettant de supprimer définitivement la politique :

   ```
   aws ec2 delete-transit-gateway-metering-policy \
       --transit-gateway-metering-policy-id tgw-mp-042d444564d4b2da7
   ```

   Cette commande supprime définitivement la politique de mesure spécifiée et toutes les entrées associées. La répartition des coûts reviendra au modèle par défaut basé sur l'expéditeur pour tous les futurs flux de trafic. Cette modification prend également 2 heures de facturation pour prendre effet.

1. La commande renvoie le résultat suivant lorsque la politique est correctement supprimée :

   ```
   {
       "TransitGatewayMeteringPolicy": {
           "TransitGatewayMeteringPolicyId": "tgw-mp-042d444564d4b2da7",
           "TransitGatewayId": "tgw-07a5946195a67dc47",
           "MiddleboxAttachmentIds":  ["tgw-attach-0123456789abcdef0", 
           "tgw-attach-0123456789abcdef1"],
           "State": "deleting",
           "UpdateEffectiveAt": "2025-11-05T21:00:00.000Z"
       }
   }
   ```

   La réponse confirme que la politique est supprimée avec un `deleting` état pendant que la suppression est traitée dans l'infrastructure de la passerelle de transit.

# Création d'une entrée de politique de comptage pour AWS Transit Gateway
<a name="create-metering-policy-entry"></a>

Par défaut, tous les flux sont mesurés en fonction du propriétaire de la pièce jointe source. Pour mesurer des flux spécifiques vers différents comptes, créez des entrées de politique individuelles qui définissent le compte débité en fonction des propriétés du flux de trafic.

Les entrées des politiques de mesure fonctionnent comme des règles conditionnelles qui sont évaluées dans un ordre séquentiel en fonction de leurs numéros de règles lorsque le trafic passe par votre passerelle de transit. Chaque entrée agit comme une déclaration « if-then » : si le trafic correspond aux critères spécifiés (tels que le type de pièce jointe source, le bloc CIDR de destination ou le protocole), facturez le compte désigné. Le système évalue les entrées du numéro de règle le plus bas au plus élevé, et la première entrée correspondante détermine le compte de facturation pour ce flux de trafic.

Les entrées prennent en charge un large éventail de critères de correspondance, notamment les types de pièces jointes (VPC, VPN, passerelle Direct Connect), les pièces jointes IDs spécifiques, les blocs CIDR source et destination, les types de protocoles et les plages de ports. Vous pouvez combiner plusieurs critères au sein d'une même entrée pour créer des règles de ciblage précises. Par exemple, vous pouvez créer une entrée qui fait correspondre l'ensemble du trafic HTTPS (port 443) provenant des pièces jointes VPC à une plage d'adresses CIDR de destination spécifique et imputer ces flux au compte d'une équipe de sécurité. Si aucune entrée ne correspond à un flux de trafic particulier, le compte compteur par défaut spécifié dans la politique de comptage du parent est débité, garantissant ainsi que tout le trafic est correctement facturé. La création d'une entrée prend 2 heures de facturation pour prendre effet.

**Important**  
Planifiez soigneusement les numéros de règles - Laissez des espaces (par exemple, 10, 20, 30) pour permettre de futures insertions
Testez d'abord les entrées présentant des conditions moins spécifiques avant d'ajouter des règles plus restrictives
Utilisez des conditions de correspondance spécifiques pour éviter toute facturation involontaire

## Création d'une entrée de politique de mesure à l'aide de la console
<a name="create-metering-policy-console"></a>

Une politique de comptage définit le comportement de répartition des coûts par défaut et les paramètres globaux de votre passerelle de transit.

**Pour créer une entrée de politique de mesure à l'aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Metering policies**.

1. Sélectionnez le lien de l'identifiant de la politique de mesure pour en afficher les détails.

1. Choisissez l'onglet **Entrées de politique de mesure**.

1. Choisissez **Créer une entrée de politique de mesure**.

1. **Numéro de règle de politique** - Il doit s'agir d'un numéro unique (1- 32 766) qui détermine l'ordre d'évaluation. Les numéros inférieurs ont une priorité plus élevée.

1. **Compte limité** - Choisissez l'un des types de comptes suivants à facturer en fonction des flux de trafic correspondants :

   1. **Propriétaire de la pièce jointe source**

   1. **Propriétaire de la pièce jointe de destination**

   1. **Propriétaire de la pièce jointe Transit Gateway**

1. (Facultatif) Choisissez **les conditions de la règle** : ces conditions facultatives définissent les critères correspondant à un trafic spécifique :
   + **Type ou ID de pièce jointe source** : filtrez par type de pièce jointe (VPC, VPN, passerelle Direct Connect, peering) ou par ID.
   + **Type ou ID de pièce jointe** de destination - Filtrer par type ou ID de pièce jointe de destination
   + **Bloc CIDR source** - Faites correspondre le trafic provenant de plages d'adresses IP spécifiques
   + **Bloc CIDR de destination** - Associez le trafic à des plages d'adresses IP spécifiques
   + **Plage de ports source** : correspond à des ports source spécifiques
   + **Plage de ports de destination** : correspond à des ports de destination spécifiques
   + **Protocole** - Filtrez par protocole pour la règle (1, 6, 17, etc.)

1. Choisissez **Créer une entrée de politique de mesure** pour enregistrer la configuration.

## Créez une entrée de politique de mesure à l'aide du AWS CLI
<a name="create-policy-entry-cli"></a>

Les entrées de politique définissent des règles spécifiques pour la répartition des coûts en fonction des caractéristiques du trafic. Les règles sont évaluées dans l'ordre du plus petit au plus élevé.

Paramètres obligatoires :
+ `--transit-gateway-metering-policy-id`- L'ID de la politique de mesure à laquelle ajouter l'entrée
+ `--policy-rule-number`- Un numéro unique (1 à 32 766) qui détermine l'ordre d'évaluation
+ `--metered-account`- type de joueur (source-attachment-owner/ destination-attachment-owner/ transit-gateway-owner)

Paramètres facultatifs :

Ces paramètres facultatifs qui définissent des critères correspondant à un trafic spécifique :
+ `--source-transit-gateway-attachment-id`- L'ID de la pièce jointe de la passerelle de transit source.
+ `--source-transit-gateway-attachment-type`- Le type de pièce jointe de la passerelle de transit source.
+ `--source-cidr-block`- Le bloc CIDR source de la règle.
+ `--source-port-range`- La plage de ports source pour la règle.
+ `--destination-transit-gateway-attachment-id`- L'ID de la pièce jointe de la passerelle de transit de destination.
+ `--destination-transit-gateway-attachment-type`- Le type de pièce jointe de la passerelle de transit de destination.
+ `--destination-cidr-block`- Le bloc CIDR de destination pour la règle.
+ `--destination-port-range`- La plage de ports de destination pour la règle.
+ `--protocol`- Le numéro de protocole de la règle

**Pour créer une entrée de politique de mesure à l'aide du AWS CLI**

1. Utilisez la **create-transit-gateway-metering-policy-entry** commande pour créer une nouvelle entrée de politique qui achemine le trafic VPC vers un compte limité spécifique :

   ```
   aws ec2 create-transit-gateway-metering-policy-entry \
       --transit-gateway-metering-policy-id tgw-mp-042d444564d4b2da7 \
       --policy-rule-number 100 \
       --destination-transit-gateway-attachment-type vpc \
       --metered-account destination-attachment-owner
   ```

   Cette commande crée une entrée de politique avec la règle numéro 100 qui correspond au trafic destiné aux pièces jointes VPC et facture ces flux au propriétaire de la pièce jointe de destination.

1. La commande renvoie le résultat suivant lorsque l'entrée est créée avec succès :

   ```
   {
       "TransitGatewayMeteringPolicyEntry": {
           "MeteredAccount": "destination-attachment-owner",
           "MeteringPolicyRule": {
               "DestinationTransitGatewayAttachmentType": "vpc"
           },
           "PolicyRuleNumber": 100,
           "State": "available",
           "UpdateEffectiveAt": "2025-11-06T02:00:00.000Z"
       }
   }
   ```

   La réponse confirme que l'entrée a été créée avec un état « disponible » alors qu'elle était activée dans l'infrastructure de la passerelle de transit.

# Supprimer une entrée de la politique de comptage de AWS Transit Gateway
<a name="metering-policy-entry-delete"></a>

Supprimez les entrées de politique de mesure lorsque des règles de répartition des coûts spécifiques ne sont plus requises pour les flux de trafic de votre réseau. La suppression des entrées permet de simplifier la gestion des politiques en supprimant les règles obsolètes ou inutiles tout en préservant la structure globale des politiques. Lorsque vous supprimez une entrée, le trafic qui correspondait précédemment à la règle supprimée est évalué par rapport aux entrées restantes dans l'ordre des règles, ou le comportement de politique par défaut revient au comportement de politique par défaut si aucune autre entrée ne correspond.

Avant de supprimer des entrées, tenez compte de l'impact sur les modalités de facturation et les flux de trafic actuels. Une fois supprimée, la modification prend jusqu'à 2 heures de facturation pour être effective et ne peut pas être annulée. Coordonnez donc les modifications avec les propriétaires de comptes et les équipes financières concernés. Passez en revue les entrées restantes pour vous assurer que la couverture du trafic et la répartition de la facturation sont correctes après la suppression. L'ordre d'évaluation des règles pour les entrées restantes reste inchangé, ce qui permet de maintenir un comportement de répartition des coûts prévisible pour les flux de trafic continus.

**Important**  
La suppression est irréversible
Le trafic correspondant précédemment à cette entrée sera réévalué par rapport aux entrées restantes
Passez en revue les entrées restantes pour garantir une bonne couverture du trafic

## Supprimer une entrée de politique de mesure à l'aide de la console
<a name="delete-entry-console"></a>

Utilisez la console pour supprimer des entrées de politique via une interface intuitive qui fournit des boîtes de dialogue de confirmation pour empêcher les suppressions accidentelles.

**Pour supprimer une entrée de politique à l'aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Metering policies**.

1. Sélectionnez la politique de mesure contenant l'entrée que vous souhaitez supprimer.

1. Sélectionnez l'entrée que vous souhaitez supprimer, puis cliquez **sur Supprimer**.

1. Dans la boîte de dialogue de confirmation, passez en revue les détails de la saisie et tapez **delete** pour confirmer la suppression.

1. Choisissez **Supprimer** pour supprimer définitivement l'entrée.

## Supprimez une entrée de politique de mesure à l'aide du AWS CLI
<a name="delete-entry-cli"></a>

Utilisez la **delete-transit-gateway-metering-policy-entry** commande pour supprimer des entrées de stratégie par programmation.

Prérequis:
+ Autorisations du propriétaire de la passerelle de transit
+ ID de politique de mesure et numéro de règle d'entrée valides

Paramètres obligatoires :
+ `--transit-gateway-metering-policy-id`- L'identifiant de la politique de mesure
+ `--policy-rule-number`- Le numéro de règle de l'entrée à supprimer

**Pour afficher et supprimer des entrées de politique à l'aide de la AWS CLI**

1. (Facultatif) Affichez les entrées de politique existantes à l'aide de la **get-transit-gateway-metering-policy-entries** commande pour voir les paramètres de configuration actuels :

   ```
   aws ec2 get-transit-gateway-metering-policy-entries \
       --transit-gateway-metering-policy-id tgw-mp-0123456789abcdefg
   ```

   Cette commande renvoie toutes les entrées correspondant à la politique spécifiée, en indiquant leurs numéros de règles, leurs critères de correspondance et leurs comptes mesurés.

1. Supprimez une entrée de politique à l'aide de la **delete-transit-gateway-metering-policy-entry** commande pour supprimer définitivement l'entrée :

   ```
   aws ec2 delete-transit-gateway-metering-policy-entry \
       --transit-gateway-metering-policy-id tgw-mp-0123456789abcdefg \
       --policy-rule-number 100
   ```

   Cette commande supprime définitivement l'entrée spécifiée de la politique. Le trafic correspondant précédemment à cette entrée sera immédiatement réévalué par rapport aux entrées restantes ou reviendra au comportement de politique par défaut.

1. La commande renvoie le résultat suivant lorsque l'entrée est correctement supprimée :

   ```
   {
       "TransitGatewayMeteringPolicyEntry": [
           {
               "PolicyRuleNumber": 100,
               "MeteredAccount": "destination-attachment-owner",
               "UpdateEffectiveAt": "2024-01-01T01:00:00+00:00",
               "state": "deleted",
               "MeteringPolicyRule": {
                   "DestinationTransitGatewayAttachmentType": "vpc"
               }
           }
   }
   ```

   La réponse confirme que l'entrée est supprimée avec un état « supprimé » pendant que la suppression est traitée dans l'infrastructure de la passerelle de transit.

# Gérez les pièces AWS jointes de la boîte intermédiaire de la politique de comptage de Transit Gateway
<a name="metering-policy-middlebox"></a>

les politiques de mesure des passerelles de transit prennent en charge les accessoires Middlebox, ce qui vous permet d'allouer de manière flexible les frais de traitement des données pour le trafic réseau acheminé via des appareils middlebox tels que des pare-feux réseau et des équilibreurs de charge. Parmi les pièces jointes de type middlebox, on peut citer l'attachement de fonctions réseau à AWS Network Firewall ou les pièces jointes VPC qui acheminent le trafic vers des dispositifs de sécurité tiers dans un VPC. Le trafic entre les pièces jointes de la passerelle de transit source et de destination passe par ces pièces jointes du boîtier intermédiaire pour les cas d'utilisation typiques de l'inspection de sécurité. Vous pouvez définir des politiques de mesure pour répartir de manière flexible l'utilisation du traitement des données sur les pièces jointes intermédiaires à la pièce jointe source d'origine, à la pièce jointe de destination finale ou au propriétaire du compte de passerelle de transit. Pour les accessoires Network Function, les frais de traitement des données du AWS Network Firewall sont également imputés au compte mesuré.

Pièces jointes de passerelle de transit désignées qui acheminent le trafic via des appareils réseau à des fins d'inspection de sécurité, d'équilibrage de charge ou d'autres fonctions réseau. L'utilisation des données pour le trafic traversant les pièces jointes du middlebox est mesurée en fonction du propriétaire du compte spécifié dans la politique de mesure. Vous pouvez spécifier un maximum de 10 pièces jointes de type middlebox. Les types de pièces jointes middlebox pris en charge sont les pièces jointes Network Function (AWS Network Firewall), VPC et VPN.

**Topics**
+ [Ajouter des pièces jointes au middlebox](create-middlebox-attachment.md)
+ [Supprimer les pièces jointes du middlebox](edit-middlebox-attachment.md)

# Ajouter des pièces AWS jointes à la politique de comptage Transit Gateway (middlebox)
<a name="create-middlebox-attachment"></a>

Vous pouvez ajouter des pièces jointes à un boîtier intermédiaire pour intégrer les appareils réseau à votre politique de comptage Transit Gateway. Cela vous permet d'acheminer un trafic spécifique via des dispositifs de sécurité, des équilibreurs de charge ou d'autres fonctions réseau tout en maintenant un contrôle précis de la répartition des coûts.

**Important**  
Assurez-vous que les appareils middlebox sont correctement configurés et accessibles
Testez le routage du trafic avant de l'appliquer aux charges de travail de production
Surveillez les performances du middlebox pour éviter d'introduire de la latence
Configurer un comportement de basculement approprié pour une haute disponibilité

## Ajouter des pièces jointes au middlebox à l'aide de la console
<a name="create-middlebox-console"></a>

**Pour ajouter une entrée de pièce jointe dans une boîte intermédiaire**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Metering policies**.

1. Sélectionnez le lien de l'identifiant de la politique de mesure pour en afficher les détails.

1. Choisissez l'onglet **Pièces jointes de Middlebox**.

1. Choisissez **Ajouter**.

1. Lorsque vous y êtes invité, sélectionnez la pièce jointe à la boîte intermédiaire IDs qui doit être traitée comme une boîte intermédiaire pour la facturation spécialisée. Vous pouvez sélectionner jusqu'à 10 pièces jointes du middlebox.

1. Choisissez **Ajouter des pièces jointes au middlebox** pour enregistrer la configuration.

## Ajoutez des pièces jointes au middlebox à l'aide du AWS CLI
<a name="create-middlebox-cli"></a>

Utilisez la **modify-transit-gateway-metering-policy** commande pour ajouter des pièces jointes.

Avant de commencer, assurez-vous de disposer des paramètres obligatoires suivants :
+ `--transit-gateway-metering-policy-id`- L'identifiant de la politique de mesure existante
+ `--add-middle-box-attachment-ids`- Une ou plusieurs pièces jointes IDs à ajouter à la politique (pour ajouter des pièces jointes)

**Pour ajouter des pièces jointes de type middlebox à une politique existante à l'aide de la CLI AWS**

1. Dans l'exemple suivant, **modify-transit-gateway-metering-policy** est utilisé pour ajouter quatre pièces jointes de type middlebox à une politique de mesure existante. La commande ajoute la pièce jointe spécifiée IDs à la liste existante sans supprimer les pièces jointes actuelles :

   ```
   aws ec2 modify-transit-gateway-metering-policy \
       --transit-gateway-metering-policy-id tgw-mp-0123456789abcdefg \
       --add-middle-box-attachment-ids tgw-attach-0bdc681c211bf71f3 tgw-attach-0987654321fedcba0 tgw-attach-0456789012345abcd tgw-attach-0fedcba0987654321
   ```

1. Dans l'exemple de réponse suivant, la sortie JSON montre la configuration de politique mise à jour avec les quatre pièces jointes du middlebox désormais incluses :

   ```
   {
       "TransitGatewayMeteringPolicy": {
           "TransitGatewayMeteringPolicyId": "tgw-mp-0123456789abcdefg",
           "TransitGatewayId": "tgw-0ecec6433f4bfe55a",
           "MiddleBoxAttachmentIds": [
               "tgw-attach-0bdc681c211bf71f3",
               "tgw-attach-0987654321fedcba0",
               "tgw-attach-0456789012345abcd",
               "tgw-attach-0fedcba0987654321"
           ],
           "State": "available",
           "UpdateEffectiveAt": "2024-09-05T16:00:00.000Z"
       }
   }
   ```

# Supprimer les pièces AWS jointes de la boîte intermédiaire relative à la politique de mesure de Transit Gateway
<a name="edit-middlebox-attachment"></a>

Par défaut, les coûts de mesure sont attribués au propriétaire de la pièce jointe du middlebox. Vous pouvez toutefois modifier ces affectations pour vous assurer que les coûts sont correctement alloués à la source ou à la destination réelle du trafic. Vous pouvez ajouter ou supprimer jusqu'à 10 pièces jointes au middlebox au total pour une politique de mesure.

## Supprimer les pièces jointes du middlebox à l'aide de la console
<a name="modify-middlebox-console"></a>

Utilisez la console Amazon VPC pour supprimer les pièces jointes du middlebox de la configuration de votre politique de mesure.

**Pour supprimer les pièces jointes du middlebox**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Transit gateways**, **Metering policies.**

1. Sélectionnez la politique de mesure que vous souhaitez modifier.

1. Choisissez l'onglet **Pièces jointes de Middlebox**.

1. Sélectionnez jusqu'à 10 pièces jointes de la boîte intermédiaire à supprimer de la politique de mesure.

1. Cliquez sur **Supprimer**.

1. Lorsque vous y êtes invité, vous pouvez mettre à jour les pièces jointes de la boîte intermédiaire que vous avez choisie pour les supprimer. Le trafic passant par les pièces jointes supprimées sera mesuré en fonction du propriétaire de la pièce jointe du middlebox.

1. Choisissez **Supprimer les pièces jointes du middlebox.**

## Supprimez les pièces jointes du middlebox à l'aide du AWS CLI
<a name="edit-middlebox-cli"></a>

Utilisez la **modify-transit-gateway-metering-policy** commande pour supprimer les pièces jointes.

Avant de commencer, assurez-vous de disposer des paramètres obligatoires suivants :
+ `--transit-gateway-metering-policy-id`- L'identifiant de la politique de mesure existante
+ `--remove-middle-box-attachment-ids`- Une ou plusieurs pièces jointes IDs à supprimer de la politique (pour supprimer des pièces jointes)

**Pour supprimer les pièces jointes du middlebox d'une politique existante à l'aide de la CLI AWS**

1. Dans l'exemple suivant, **modify-transit-gateway-metering-policy** est utilisé pour supprimer deux pièces jointes spécifiques à un boîtier intermédiaire d'une politique de mesure existante. La commande supprime uniquement la pièce jointe spécifiée IDs tout en préservant les pièces jointes restantes :

   ```
   aws ec2 modify-transit-gateway-metering-policy \
       --transit-gateway-metering-policy-id tgw-mp-0123456789abcdefg \
       --remove-middle-box-attachment-ids tgw-attach-0456789012345abcd tgw-attach-0fedcba0987654321
   ```

1. Dans l'exemple de réponse suivant, la sortie JSON montre la configuration de politique mise à jour avec les pièces jointes spécifiées supprimées et les pièces jointes restantes toujours actives :

   ```
   {
       "TransitGatewayMeteringPolicy": {
           "TransitGatewayMeteringPolicyId": "tgw-mp-0123456789abcdefg",
           "TransitGatewayId": "tgw-0ecec6433f4bfe55a",
           "MiddleBoxAttachmentIds": [
               "tgw-attach-0bdc681c211bf71f3",
               "tgw-attach-0987654321fedcba0"
           ],
           "State": "available",
           "UpdateEffectiveAt": "2024-09-05T16:00:00.000Z"
       }
   }
   ```

**Topics**
+ [Politiques de mesure](#metering-policies-main)
+ [Création d'une politique de mesure](metering-policy-create-policy.md)
+ [Gérer les politiques de mesure](metering-policy-manage-policy.md)
+ [Création d'une entrée de politique de mesure](create-metering-policy-entry.md)
+ [Supprimer une entrée de politique de mesure](metering-policy-entry-delete.md)
+ [Gérer les pièces jointes de la boîte intermédiaire des politiques de mesure](metering-policy-middlebox.md)