

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用 Secrets Manager 增强 AWS Site-to-Site VPN 安全功能
<a name="enhanced-security"></a>

AWS Site-to-Site VPN 的 Security Rebase 功能提供了增强的安全功能，可让您更好地控制和了解自己的 VPN 连接。一项关键改进是能够将预共享密钥 (PSKs) 存储在 VPN 服务中， AWS Secrets Manager 而不是直接存储在 Site-to-Site VPN 服务中，从而实现更好的机密管理并符合安全最佳实践。该功能还包括一个 `GetActiveVpnTunnelStatus` API，可用于实时了解活动 VPN 隧道中使用的安全参数，包括两个 IKE 阶段的加密算法、完整性算法和 Diffie-Hellman 组。此外，您现在可以生成推荐的安全配置，通过排除传统选项（例如）来强制使用现代协议 IKEv1。如果贵企业需要持续遵循严格的安全标准、要求提供详细的 VPN 配置审计跟踪记录，或者想要确保 VPN 连接使用最安全的可用协议，则这些改进非常有用。

**Topics**
+ [更改 Secrets Manager 预共享密钥](enhanced-security-tunnel.md)
+ [更改预共享密钥存储模式](enhanced-security-storage.md)

# 在中更改 Secrets Manager 的预共享密钥 AWS Site-to-Site VPN
<a name="enhanced-security-tunnel"></a>

如果您在 Secrets Manager 中无法访问您的隧道，则可以更改该隧道的预共享密钥。

**注意**  
更改预共享密钥时，请确保您拥有两个 Secrets Manager 服务所必需的 IAM 权限。
更改 VPN 隧道的预共享密钥后，连接中断可能持续数分钟。确保您为预期的停机时间做了计划。

**要更改 VPN 隧道的 Secrets Manager 预共享密钥，请执行以下操作**

1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。

1. 在导航窗格中，选择 **Site-to-Site VPN 连接**。

1. 选择 Site-to-Site VPN 连接，然后选择**操作**、**修改 VPN 隧道选项**。

1. 对于 **VPN 隧道外部 IP 地址**，选择 VPN 隧道的隧道端点 IP。

1. 在**新的预共享密钥**中，选择新的预共享密钥。
**注意**  
此选项仅适用于存储在 Secrets Manager 中的密钥。

1. 选择**保存更改**。

1. 对任何其他隧道重复这些步骤。

# 在中更改预共享密钥存储模式 AWS Site-to-Site VPN
<a name="enhanced-security-storage"></a>

更改现有 VPN 隧道的预共享密钥存储模式。

**注意**  
更改存储模式时，请确保您拥有 Site-to-Site VPN 和 Secrets Manager 服务所必需的 IAM 权限。
更改 VPN 隧道的存储模式后，连接中断可能持续数分钟。确保您为预期的停机时间做了计划。

**要更改预共享密钥存储模式，请执行以下操作**

1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。

1. 在导航窗格中，选择 **Site-to-Site VPN 连接**。

1. 选择 Site-to-Site VPN 连接，然后选择**操作**、**修改 VPN 隧道选项**。

1. 对于 **VPN 隧道外部 IP 地址**，选择 VPN 隧道的隧道端点 IP。

1. 在**预共享密钥存储**下，选择以下预共享密钥存储类型之一。
   + **标准**-预共享密钥直接存储在 Site-to-Site VPN 服务中。
   + **Secrets Manager**：使用 AWS Secrets Manager存储预共享密钥。有关 Secrets Manager 的更多信息，请参阅[使用 Secrets Manager 增强安全功能](enhanced-security.md)。

1. 选择**保存更改**。

如果将存储模式从“Secrets Manager”更改为“标准”：
+ 预共享密钥将从 Secrets Manager 中移除并移至 Site-to-Site VPN 服务。
+ 系统会将隧道的条目从 Secrets Manager 密钥中移除。

如果将存储模式从“标准”更改为“Secrets Manager”：
+ 预共享密钥已从 Site-to-Site VPN 服务中删除 
+ 如果没有 Secrets Manager 密钥，则系统会创建一个新的。
+ 新的预共享密钥存储在 Secrets Manager 中。