Comment établir une connexion chiffrée via une connexion AWS Direct Connect ?

Brève description

Pour chiffrer le trafic via une connexion AWS Direct Connect, utilisez l'une des méthodes suivantes :

• Utilisez la sécurité MAC (MACsec) dans AWS Direct Connect. Pour plus d'informations sur les connexions qui prennent en charge MACsec, consulte la section Connexions prises en charge.
• Créez un AWS Site-to-Site VPN via Direct Connect. Le VPN site à site assure le chiffrement entre une passerelle client et une passerelle AWS. La passerelle AWS peut être une passerelle AWS Transit Gateway ou une passerelle privée virtuelle.

Pour créer un VPN site à site via Direct Connect à Amazon VPC, utilisez une interface virtuelle publique Direct Connect. Pour créer un VPN site à site entre un équipement sur site et AWS Transit Gateway, choisissez une interface virtuelle de transit Direct Connect.

Network to Amazon VPC prend en charge plusieurs options de connectivité.

Résolution

Remarque : Si des erreurs surviennent lorsque vous exécutez des commandes de l'interface de la ligne de commande AWS (AWS CLI), consultez la section Résoudre des erreurs liées à l’AWS CLI. Vérifiez également que vous utilisez bien la version la plus récente de l'interface.

Utiliser MACsec

Pour utiliser MACsec, consultez la section Commencer à utiliser MACsec sur une connexion AWS Direct Connect dédiée.

Créer un VPN site à site via une interface virtuelle publique

Procédez comme suit :

1. Utilisez l'assistant de connexion pour créer votre connexion dédiée Direct Connect.
2. Créez une interface virtuelle publique Direct Connect. Dans Préfixes que vous souhaitez promouvoir, entrez l'adresse IP publique de votre périphérique de passerelle client VPN site à site et les préfixes réseau que vous souhaitez promouvoir.
   Remarque : Votre interface virtuelle publique reçoit tous les préfixes d'adresses IP publiques AWS de chaque région AWS, à l'exception de la région AWS Chine. Il s'agit notamment des adresses IP publiques des points de terminaison VPN gérés par AWS. Utilisez les communautés BGP (protocole de passerelle frontière) pour filtrer les préfixes par région locale ou par région d'un continent.
3. Créez une nouvelle connexion VPN à votre passerelle privée virtuelle ou votre passerelle de transit.
4. Dans Passerelle client, choisissez Existant, puis sélectionnez la passerelle client que vous avez créée.
5. Configurez votre périphérique de passerelle client pour créer les tunnels VPN. Vous pouvez utiliser la console Amazon VPC ou l'interface de ligne de commande AWS pour télécharger l'exemple de fichier de configuration.

Créer un VPN site à site via une interface virtuelle de transit

Procédez comme suit :

1. Utilisez l'assistant de connexion pour créer votre connexion dédiée Direct Connect.
2. Dans Blocs d'adresse CIDR de la passerelle de transit, spécifiez des blocs d'adresse CIDR IPv4 ou IPv6.
3. Créez une interface virtuelle de transit.
4. Dans la configuration de l'interface virtuelle de transit, sélectionnez une passerelle Direct Connect existante ou créez-en une nouvelle.
   Remarque : Il n’est pas possible d’associer une passerelle Direct Connect à une passerelle privée virtuelle et à une passerelle de transit en même temps.
5. Associez votre passerelle Direct Connect à votre passerelle de transit. Assurez-vous de promouvoir le bloc CIDR de la passerelle de transit à votre réseau local par le biais de préfixes autorisés.
6. Créez un nouveau VPN site à site d’adresses IP privées via Direct Connect sur la passerelle de transit.
7. Configurez votre périphérique de passerelle client pour créer les tunnels VPN. Vous pouvez utiliser la console Amazon VPC ou l'interface de ligne de commande AWS pour télécharger l'exemple de fichier de configuration.

Informations connexes

Résolution de problèmes liés à AWS Direct Connect

Journaux AWS Site-to-Site VPN

Surveiller une connexion AWS Site-to-Site VPN