専用接続での MacSec の使用開始

以下のタスクは、 AWS Direct Connect 専用接続の MACsec に慣れるのに役立ちます。MACsec の使用に追加料金はかかりません。

専用接続で MACsec を設定する前に、次の点に注意してください。

• MACsec は、選択された POP (Point Of Presence) での 10 Gbps および 100 Gbps の専用 Direct Connect 接続でサポートされます。これらの接続では、次の MACsec 暗号スイートがサポートされています。

  • 10Gbps の接続の場合、GCM-AES-256 および GCM-AES-XPN-256。

  • 100 Gbps の接続の場合、GCM-AES-XPN-256。

• 256 ビットの MACsec キーのみがサポートされています。

• 100Gbps の接続には拡張パケット番号付け (XPN) が必要です。10Gbps の接続の場合、Direct Connect は GCM-AES-256 と GCM-AES-XPN-256 の両方をサポートします。100 Gbps の専用接続などの高速接続では、MACsec の元の 32 ビットパケット番号空間がすぐに使い果たす可能性があるため、新しい接続アソシエーションを確立するために暗号化キーを数分ごとにローテーションする必要があります。このような状況を回避するため、IEEE Std 802.1AEbw -2013 の会社では、パケット番号が拡張され、番号付けスペースが 64 ビットに増加し、キーローテーションのタイムライン要件が軽減されました。

• Secure Channel Identifier (SCI) は必須であり、オンにする必要があります。この設定は調整できません。

• IEEE 802.1Q (Dot1q/VLAN) タグ offset/dot1 q-in-clear は、暗号化されたペイロードの外部での VLAN タグの移動ではサポートされていません。

Direct Connect と MACsec の詳細については、よくある質問の「MACsecAWS Direct Connect FAQs」セクションを参照してください。

MacSec の前提条件

専用接続で MACSec の設定を行う前に、以下のタスクを完了してください。

• MACsec シークレットキー用の CKN/CAK ペアを作成します。

  このペアの作成には、公開された標準ツールが使用できます。作成するペアは、ステップ 4: オンプレミスのルーターを設定する で指定された要件を満たしている必要があります。

• 接続の末端には、MacSec をサポートする適切なデバイスが設置されている必要があります。

• Secure Channel Identifier (SCI) をオンにする必要があります。

• 256 ビットの MACsec キーのみがサポートされており、最新の高度なデータ保護を提供します。

サービスにリンクされたロール

AWS Direct Connect は AWS Identity and Access Management (IAM) サービスにリンクされたロール を使用します。サービスにリンクされたロールは、 に直接リンクされた一意のタイプの IAM ロールです AWS Direct Connect。サービスにリンクされたロールは、 によって事前定義 AWS Direct Connect されており、ユーザーに代わってサービスから他の AWS のサービスを呼び出す必要のあるアクセス許可がすべて含まれています。サービスにリンクされたロールを使用すると、必要なアクセス許可を手動で追加する必要がなくなるため、 の設定 AWS Direct Connect が簡単になります。 は、サービスにリンクされたロールのアクセス許可 AWS Direct Connect を定義し、特に定義されている場合を除き、 のみがそのロールを引き受け AWS Direct Connect ることができます。定義されるアクセス許可には、信頼ポリシーと許可ポリシーが含まれており、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。詳細については、「Direct Connect のサービスにリンクされたロールの使用」を参照してください。

MACSec の事前共有 CKN/CAK キーに関する考慮事項

AWS Direct Connect は、接続または LAGs に関連付ける事前共有キーに AWS マネージド CMK を使用します。 CMKs Secrets Manager は、Secrets Manager のルートキーが暗号化するシークレットとして、事前共有された CKN と CAK のペアを保存します。詳細については、AWS Key Management Service デベロッパーガイドの「AWS 管理の CMK」を参照してください。

保存されているキーは設計上読み取り専用ですが、 AWS Secrets Manager コンソールまたは API を使用して、7 日から 30 日の削除をスケジュールできます。削除をスケジュールすると、CKN を読み取ることができなくなるため、ネットワーク接続に影響が生じる場合があります。この場合、次のルールが適用されます。

• 接続が保留状態の場合は、その接続での CKN の関連付けを解除します。

• 接続が使用可能な状態の場合は、接続の所有者に電子メールで通知します。所有者が 30日以内に何らかの措置を講じなかった場合は、対象の CKN の接続との関連付けが当社により解除されます。

接続から最後の CKN の関連付けを解除した際に、接続の暗号化モードが「must encrypt」に設定されている場合は、モードを「should_encrypt」に設定して突然のパケット損失を防ぎます。

ステップ 1: 接続を作成する

MACsec の使用を開始するには、専用接続を作成する際に、この機能をオンにする必要があります。詳細については、「接続ウィザードを使用して接続を作成する」を参照してください。

(オプション) ステップ 2: Link Aggregation Group (LAG) を作成する

冗長性のために複数の接続を使用する場合は、MACsec をサポートする LAG を作成できます。詳細については、「MacSec に関する考慮事項」および「LAG を作成する」を参照してください。

ステップ 3: CKN/CAK を、接続または LAG に関連付ける

MACsec をサポートする接続または LAG の作成後は、CKN/CAK をその接続に関連付ける必要があります。詳細については、以下のいずれかを参照してください。

• MACSec CKN/CAK を接続に関連付ける

• MACSec CKN/CAK と LAG を関連付ける

ステップ 4: オンプレミスのルーターを設定する

MACsec シークレットキーを使用するように、オンプレミスのルーターを更新します。オンプレミスルーターと AWS Direct Connect ロケーションの MACsec シークレットキーは一致する必要があります。詳細については、「ルーター設定ファイルをダウンロードする」を参照してください。

(オプション) ステップ 5：CKN/CAK と接続または LAG 間での関連付けを解除する

接続または LAG と MACsec キーとの間の関連付けを解除する方法に関しては、次のいずれかを参照してください。

• MACsec シークレットキーと接続の間の関連付けを解除する

• MACsec シークレットキーと LAG の間の関連付けを解除する