Memulai dengan MACsec pada koneksi khusus - AWS Direct Connect
Prasyarat MACsec Peran Tertaut LayananPertimbangan kunci CKN/CAK yang dibagikan sebelumnya MACsec Langkah 1: Buat koneksi(Opsional) Langkah 2: Buat link aggregation group (grup agregasi tautan/LAG)Langkah 3: Kaitkan CKN/CAK dengan koneksi atau LAGLangkah 4: Konfigurasikan router on-premiseLangkah 5: (Opsional) Hapus hubungan antara CKN/CAK dan koneksi atau LAG

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memulai dengan MACsec pada koneksi khusus

Tugas-tugas berikut membantu Anda menjadi akrab dengan MacSec pada koneksi AWS Direct Connect khusus. Tidak ada biaya tambahan untuk menggunakan MacSec.

Sebelum mengonfigurasi MacSec pada koneksi khusus, perhatikan hal berikut:

  • MacSec didukung pada koneksi Direct Connect khusus 10 Gbps dan 100 Gbps di titik-titik kehadiran tertentu. Untuk koneksi ini, suite cipher MacSec berikut didukung:

    • Untuk koneksi 10Gbps, GCM-AES-256 dan GCM-AES-XPN-256.

    • Untuk koneksi 100 Gbps, GCM-AES-XPN-256.

  • Hanya kunci MacSec 256-bit yang didukung.

  • Extended Packet Numbering (XPN) diperlukan untuk koneksi 100Gbps. Untuk koneksi 10Gbps Direct Connect mendukung GCM-AES-256 dan GCM-AES-XPN-256. Koneksi berkecepatan tinggi, seperti koneksi khusus 100 Gbps, dapat dengan cepat menghabiskan ruang penomoran paket 32-bit asli MacSec, yang mengharuskan Anda memutar kunci enkripsi Anda setiap beberapa menit untuk membentuk Asosiasi Konektivitas baru. Untuk menghindari situasi ini, amandemen IEEE Std 802.1AEBW-2013 memperkenalkan penomoran paket yang diperluas, meningkatkan ruang penomoran menjadi 64-bit, mengurangi persyaratan ketepatan waktu untuk rotasi kunci.

  • Secure Channel Identifier (SCI) diperlukan dan harus dihidupkan. Pengaturan ini tidak dapat disesuaikan.

  • IEEE 802.1Q (dot1q/VLAN) tag q-in-clear offset/dot1 tidak didukung untuk memindahkan tag VLAN di luar muatan terenkripsi.

Untuk informasi tambahan tentang Direct Connect dan MacSec, lihat bagian MacSec di AWS Direct Connect FAQ.

Prasyarat MACsec

Selesaikan tugas-tugas berikut sebelum Anda mengonfigurasi MACsec pada koneksi khusus.

  • Buat pasangan CKN/CAK untuk kunci rahasia MACsec.

    Anda dapat membuat pasangan menggunakan alat standar terbuka. Pasangan ini harus memenuhi persyaratan yang ditentukan dalam Langkah 4: Konfigurasikan router on-premise.

  • Pastikan Anda memiliki perangkat di sisi koneksi yang mendukung MACsec.

  • Secure Channel Identifier (SCI) harus dihidupkan.

  • Hanya kunci MacSec 256-bit yang didukung, memberikan perlindungan data canggih terbaru.

Peran Tertaut Layanan

AWS Direct Connect menggunakan AWS Identity and Access Management peran terkait layanan (IAM). Peran terkait layanan adalah jenis unik peran IAM yang ditautkan langsung ke. AWS Direct Connect Peran terkait layanan telah ditentukan sebelumnya oleh AWS Direct Connect dan mencakup semua izin yang diperlukan layanan untuk memanggil AWS layanan lain atas nama Anda. Peran terkait layanan membuat pengaturan AWS Direct Connect lebih mudah karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. AWS Direct Connect mendefinisikan izin peran terkait layanan, dan kecuali ditentukan lain, hanya AWS Direct Connect dapat mengambil perannya. Izin yang ditentukan meliputi kebijakan kepercayaan serta kebijakan izin, dan kebijakan izin tersebut tidak dapat dilampirkan ke entitas IAM lainnya. Untuk informasi selengkapnya, lihat Peran terkait layanan untuk Direct Connect.

Pertimbangan kunci CKN/CAK yang dibagikan sebelumnya MACsec

AWS Direct Connect menggunakan CMK AWS terkelola untuk kunci yang telah dibagikan sebelumnya yang Anda kaitkan dengan koneksi atau LAG. Secrets Manager menyimpan pasangan CKN dan CAK yang dibagikan sebelumnya sebagai rahasia yang dienkripsi oleh kunci root Secrets Manager. Untuk informasi selengkapnya, lihat AWS CMK terkelola di AWS Key Management Service Panduan Developer.

Kunci yang disimpan hanya dibaca berdasarkan desain, tetapi Anda dapat menjadwalkan penghapusan tujuh hingga tiga puluh hari menggunakan konsol Secrets AWS Manager atau API. Saat menjadwalkan penghapusan, CKN tidak dapat dibaca, dan ini dapat memengaruhi konektivitas jaringan Anda. Kami menerapkan aturan berikut saat ini terjadi:

  • Jika koneksi dalam status tertunda, kami akan memisahkan CKN dari koneksi.

  • Jika koneksi dalam status tersedia, kami akan memberi tahu pemilik koneksi melalui email. Jika Anda tidak mengambil tindakan apa pun dalam waktu 30 hari, kami akan memisahkan CKN dari koneksi Anda.

Saat kami memisahkan CKN terakhir dari koneksi Anda dan mode enkripsi koneksi diatur ke “harus mengenkripsi”, kami akan mengatur mode ke “should_encrypt” untuk mencegah hilangnya paket secara tiba-tiba.

Langkah 1: Buat koneksi

Untuk mulai menggunakan MACsec, Anda harus mengaktifkan fitur saat membuat koneksi khusus. Untuk informasi selengkapnya, lihat Buat koneksi menggunakan wizard Koneksi.

(Opsional) Langkah 2: Buat link aggregation group (grup agregasi tautan/LAG)

Jika Anda menggunakan beberapa koneksi untuk redundansi, Anda dapat membuat LAG yang mendukung MACsec. Untuk informasi selengkapnya, lihat Pertimbangan MACsec dan Membuat LAG.

Langkah 3: Kaitkan CKN/CAK dengan koneksi atau LAG

Setelah Anda membuat koneksi atau LAG yang mendukung MACsec, Anda perlu mengaitkan CKN/CAK dengan koneksi. Untuk informasi selengkapnya, lihat hal berikut:

Langkah 4: Konfigurasikan router on-premise

Perbarui router on-premise dengan kunci rahasia MACsec. Kunci rahasia MacSec pada router lokal dan di AWS Direct Connect lokasi harus cocok. Untuk informasi selengkapnya, lihat Mengunduh file konfigurasi router.

Langkah 5: (Opsional) Hapus hubungan antara CKN/CAK dan koneksi atau LAG

Jika Anda perlu menghapus hubungan antara kunci MACsec dan koneksi atau LAG, lihat salah satu hal berikut: