在專用連線上開始使用 MACsec - AWS Direct Connect
MACsec 先決條件 服務連結角色MACsec 預先共用 CKN/CAK 金鑰考量 步驟 1:建立連線(選用) 步驟 2:建立鏈路彙整群組 (LAG)步驟 3:將 CKN/CAK 與連線或 LAG 產生關聯步驟 4:設定內部部署路由器步驟 5:(選用) 移除 CKN/CAK 與連線或 LAG 之間的關聯

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在專用連線上開始使用 MACsec

下列工作可協助您熟悉 MacSec 的 AWS Direct Connect 專用連線。使用 MacSec 不收取額外費用。

在專用連線上設定 MacSec 之前,請注意下列事項:

  • 在選定的存在點,支援 10 Gbps、100 Gbps 和 400 Gbps 的專用直 Connect 連線連線。對於這些連線,支援下列 MacSec 加密套件:

    • 對於 10 吉比特的連接,GCM-AES-256 和 GCM-AES-XPN-256。

    • 對於 100 吉比特和 400 吉比特的連接,GCM-AES-XPN-256。

  • 僅支援 256 位元的 Macsec 金鑰。

  • 100 Gbps 和 400 Gbps 的連線需要延伸封包編號 (XPN)。對於 10Gbps 的 Connect,直接連接支持 GCM-AES-256 和 GCM-AES-XPN-256。高速連接,如 100 Gbps 和 400 Gbps 的專用連接,可以快速耗盡 MacSec 原來的 32 位數據包編號空間,這需要您每隔幾分鐘輪換一次加密密鑰,以建立新的連接關聯。為了避免這種情況,IEEE Std 802.1AEBW-2013 修正案引入了延伸封包編號,將編號空間增加到 64 位元,從而簡化了金鑰輪換的及時性要求。

  • 安全通道識別碼 (SCI) 為必要項目,且必須開啟。無法調整此設定。

  • IEEE 802.1Q (點 1Q) 標籤偏移量/點 1 不支援將 VLAN 標籤移q-in-clear 到加密承載之外。

有關直接 Connect 和 MacSec 的其他信息,請參閱常見問題解答的 MacSec 部AWS Direct Connect 分。

MACsec 先決條件

在您於專用連線上設定 MACsec 之前,請完成以下任務。

  • 為 MACsec 私密金鑰建立一對 CKN/CAK。

    您可以使用開放的標準工具建立配對。配對必須符合 步驟 4:設定內部部署路由器 中指定的要求。

  • 確認您連線端的裝置支援 MACsec。

  • 必須開啟安全通道識別碼 (SCI)。

  • 僅支援 256 位元 MacSec 金鑰,提供最新的進階資料保護。

服務連結角色

AWS Direct Connect 使用 AWS Identity and Access Management (IAM) 服務連結角色。服務連結角色是直接連結到 AWS Direct Connect的唯一 IAM 角色類型。服務連結角色由預先定義, AWS Direct Connect 並包含服務代表您呼叫其他 AWS 服務所需的所有權限。服務連結角色可讓您 AWS Direct Connect 更輕鬆地設定,因為您不需要手動新增必要的權限。 AWS Direct Connect 定義其服務連結角色的權限,除非另有定義,否則只 AWS Direct Connect 能擔任其角色。定義的許可包括信任政策和許可政策,且該許可政策無法附加至其他 IAM 實體。如需詳細資訊,請參閱 Direct Connect 的服務連結角色

MACsec 預先共用 CKN/CAK 金鑰考量

AWS Direct Connect 針對您與連線或 LAG 建立關聯的預先共用金鑰,使用 AWS Managed CMK。Secrets Manager 將您預先共用的 CKN 和 CAK 對儲存為密碼,Secrets Manager 的根金鑰會對該密碼加密。如需詳細資訊,請參閱《AWS Key Management Service 開發人員指南》中的 AWS 受管 CMK

儲存的金鑰在設計上是唯讀的,但是您可以使用 AWS Secrets Manager 主控台或 API 排程七至三十天的刪除作業。排程刪除作業時無法讀取 CKN,這可能會影響您的網路連線。發生這種情況時,我們將採用以下規則:

  • 如果連線處於擱置狀態,我們會取消 CKN 與連線的關聯。

  • 如果連線處於可用狀態,我們會透過電子郵件通知連線擁有者。如果您在 30 天內未採取任何行動,我們會取消 CKN 與您連線的關聯。

當我們取消最後一個 CKN 與您連線的關聯,並且將連線加密模式設為「必須加密」時,我們會將模式設置為「should_encrypt」以防止突然遺失封包。

步驟 1:建立連線

若要開始使用 MACsec,您必須在建立專用連線時開啟此功能。如需詳細資訊,請參閱 使用連線精靈建立連線

(選用) 步驟 2:建立鏈路彙整群組 (LAG)

如果您使用多個連線進行備援,您可以建立支援 MACsec 的 LAG。如需詳細資訊,請參閱 MACsec 考量建立 LAG

步驟 3:將 CKN/CAK 與連線或 LAG 產生關聯

建立支援 MACsec 的連線或 LAG 之後,您需要將 CKN/CAK 與連線產生關聯。如需詳細資訊,請參閱下列其中一個項目:

步驟 4:設定內部部署路由器

使用 MACsec 私密金鑰來更新您的內部部署路由器。內部部署路由器和 AWS Direct Connect 位置中的 MacSec 秘密金鑰必須相符。如需詳細資訊,請參閱 下載路由組態檔案

步驟 5:(選用) 移除 CKN/CAK 與連線或 LAG 之間的關聯

若您需要移除 MACsec 金鑰與連線或 LAG 之間的關聯,請參閱以下其中一項: