本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS Transit Gateway 的加密支援
<a name="tgw-encryption-support"></a>

加密控制可讓您稽核 VPC 中流量流程的加密狀態，然後強制執行 VPC 內所有流量的encryption-in-transit。當 VPC 加密控制處於強制執行模式時，該 VPC 中的所有彈性網路界面 (ENI) 將限制為僅連接至支援 AWS Nitro 加密的執行個體；而且僅允許加密傳輸中資料 AWS 的服務連接到加密控制強制執行的 VPC。如需 VPC 加密控制的詳細資訊，請參閱[本文件](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-encryption-controls.html)。

## 傳輸閘道加密支援和 VPC 加密控制
<a name="tgw-encryption-support-overview"></a>

傳輸閘道上的加密支援可讓您針對連接到傳輸閘道VPCs 之間的流量強制執行encryption-in-transit。您需要使用 [modify-transit-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-transit-gateway.html) 命令在 Transit Gateway 上手動啟用加密支援，以加密 VPCs之間的流量。啟用後，所有流量將透過 Transit Gateway 在處於強制模式 （無排除） VPCs 之間周遊 100% 加密連結。您也可以透過啟用加密支援的傳輸閘道，連接未開啟加密控制或處於監控模式的 VPCs。在此案例中，Transit Gateway 保證會加密 VPC 中未在強制模式下執行之 Transit Gateway 附件的流量。除此之外，它取決於流量在 VPC 中傳送到的執行個體，而不是在強制執行模式下執行。

您只能將加密支援新增至現有的傳輸閘道，而不能在建立時新增。當 Transit Gateway 轉換為已啟用加密支援狀態時，傳輸閘道或附件上不會有停機時間。遷移是無縫且透明的，不會捨棄任何流量。如需修改傳輸閘道以新增加密支援的步驟，請參閱 [修改傳輸閘道](tgw-modifying.md#tgw-modifying.title)。

### 要求
<a name="tgw-encryption-support-requirements"></a>

在傳輸閘道上啟用加密支援之前，請確定：
+ 傳輸閘道沒有 Connect 連接
+ 傳輸閘道沒有對等連接
+ 傳輸閘道沒有 Network Firewall 附件
+ 傳輸閘道沒有 VPN 集中器連接
+ 傳輸閘道未啟用安全群組參考
+ 傳輸閘道未啟用多點傳送功能

### 加密支援狀態
<a name="tgw-encryption-support-states"></a>

傳輸閘道可以具有下列其中一個加密狀態：
+ **啟用** - 傳輸閘道正在啟用加密支援。此程序最多可能需要 14 天才能完成。
+ **已啟用** - 在傳輸閘道上啟用加密支援。您可以在強制執行加密控制的情況下建立 VPC 連接。
+ **停用** - 傳輸閘道正在停用加密支援。
+ **已停用** - 在傳輸閘道上停用加密支援。

### Transit Gateway 連接規則
<a name="tgw-encryption-support-attachments"></a>

當傳輸閘道啟用加密支援時，適用下列附件規則：
+ 當傳輸閘道加密狀態為**啟用或停用**時****，您可以建立 Direct Connect 連接、VPN 連接和不在加密控制強制執行或強制執行模式中的 VPC 連接。
+ **啟用**傳輸閘道加密狀態時，您可以在任何加密控制模式中建立 VPC、Direct Connect 連接、VPN 連接和 VPC 連接。
+ 當傳輸閘道加密狀態**停用**時，您無法在強制執行加密控制的情況下建立新的 VPC 連接。
+ Encryption Support 不支援連線附件、對等附件、安全群組參考和多點傳送功能。

嘗試建立不相容的附件將會失敗並出現 API 錯誤。