本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# T AWS ransit Gateway 的加密支持
加密控制允许您审计 VPC 中流量流的加密状态,然后对 VPC 内的所有流量强制执行 encryption-in-transit加密状态。当 VPC 加密控制处于强制模式时,该 VPC 中的所有弹性网络接口 (ENI) 都只能连接到支持 AWS Nitro 加密的实例;只有加密传输中数据的 AWS 服务才允许连接到加密控制实施的 VPC。有关 VPC 加密控制的更多信息,请参阅此[文档](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-encryption-controls.html)。
## Transit Gateway 加密支持和 VPC 加密控制
Transit Gateway 上的加密支持允许你强制 encryption-in-transit VPCs连接到 Transit Gateway 之间的流量。您需要使用[modify-transit-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-transit-gateway.html)命令在 Transit Gateway 上手动激活 Encryption Support 以加密两者之间的流量 VPCs。启用后,所有流量都将通过 Transit Gateway 在 “强制” 模式(不 VPCs 包含排除项)之间的 100% 加密链路之间穿行。您还可以通过启用了加密支持 VPCs 的 Transit Gateway 连接未开启加密控制或处于监控模式的 Transit Gateway。在这种情况下,Transit Gateway 可以保证对未在强制模式下运行的 VPC 中直到 Transit Gateway 连接的流量进行加密。除此之外,它还取决于在未以强制模式运行的 VPC 中将流量发送到的实例。
您只能为现有的公交网关添加加密支持,而不能在创建公交网关时添加加密支持。当 Transit Gateway 过渡到 “启用加密支持” 状态时,Transit Gateway 或附件将不会出现停机时间。迁移是无缝和透明的,不会丢弃任何流量。有关修改传输网关以添加 Encryption Support 的步骤,请参阅[修改中转网关](tgw-modifying.md#tgw-modifying.title)。
### 要求
在对传输网关启用加密支持之前,请确保:
+ 公交网关没有 Connect 附件
+ 公交网关没有对等连接附件
+ 传输网关没有 Network Firewall 附件
+ 传输网关没有 VPN 集中器附件
+ 传输网关未启用安全组引用
+ 传输网关未启用多播功能
### 加密 Support 状态
传输网关可以具有以下加密状态之一:
+ **启用**-传输网关正在启用加密支持。此过程最多可能需要 14 天才能完成。
+ **已启用**-传输网关已启用加密支持。您可以在强制执行加密控制的情况下创建 VPC 附件。
+ **禁用**-传输网关正在禁用加密支持。
+ **已禁用**-传输网关上已禁用加密支持。
### Transit Gateway 的
当传输网关启用了加密支持时,以下连接规则适用:
+ 当传输网关加密状态为**启用**或**禁用**时,您可以创建未处于加密控制强制或强制模式的 Direct Connect 附件、VPN 附件和 VPC 附件。
+ **启用传输网关加密状态后**,您可以在任何加密控制模式下创建 VPC、Direct Connect 附件、VPN 附件和 VPC 附件。
+ 当传输网关加密状态为**禁用**时,您无法在强制加密控制的情况下创建新的 VPC 附件。
+ 加密支持(Encryption Support)不支持 Connect 附件、对等连接附件、安全组引用和多播功能。
尝试创建不兼容的附件将失败,并出现 API 错误。