[新产品/新功能] AWS Site-to-Site VPN 在额外 AWS Regions 中扩展 AWS Secrets Manager 集成

[新产品/新功能] AWS Site-to-Site VPN 在额外 AWS Regions 中扩展 AWS Secrets Manager 集成   ## 新功能/新产品概述 AWS Site-to-Site VPN 扩展了 **AWS Secrets Manager** 集成，核心定义是为用户提供更安全的 VPN 配置管理，目标是通过隐藏预共享密钥 (PSK) 并使用 **Amazon Resource Name (ARN)** 替代，提升数据保护。该功能基于 **AWS Secrets Manager** 的密钥存储机制工作，原理是将 PSKs 存储在 Secrets Manager 中，API 响应时自动红acted 敏感信息，避免直接暴露。产品背景源于云计算安全趋势的演进，针对企业级用户在混合云环境中的连接需求，目标用户群包括使用 AWS GovCloud (US) 和 AWS Europe (Milan) 区域的政府机构、金融企业和大型组织。市场定位聚焦于增强云连接的安全性和操作简化，满足合规性要求和全球部署场景，帮助用户在多区域环境中实现无缝、可靠的 VPN 连接。 ## 关键客户价值 - **增强安全性和合规性：** 通过 **AWS Secrets Manager** 集成，用户可以将 PSKs 安全存储，避免密钥在 API 响应中暴露，实现数据加密和访问控制的自动化。这为客户带来业务价值，如减少数据泄露风险，在金融和政府场景中提升合规性，与竞品（如 Azure VPN 的密钥管理）的差异化在于 AWS 的 ARN 红acted 机制，简化了密钥追踪过程，实现机制基于 Secrets Manager 的自动轮换和审计功能。 - **简化操作和节省时间：** 新增 “GetActiveVpnTunnelStatus” API 允许用户直接查询 IKE 版本、Diffie-Hellman (DH) 组、加密和完整性算法，无需启用 VPN 日志，减少了操作开销。与竞品（如 Google Cloud VPN）的差异化优势在于避免额外日志启用，提高效率；其实现机制通过 API 直接提取隧道状态，适用于高频监控场景，如突发流量管理中快速调整配置。 - **最佳实践配置支持：** “GetVpnConnectionDeviceSampleConfiguration” API 的 “recommended” 参数提供预设的安全配置（如 IKE 版本 2、DH 组 20、SHA-384 完整性算法和 AES-GCM-256 加密算法），减少手动错误。该价值点在多设备部署场景中体现，帮助客户加速上线，与竞品差异在于 AWS 的参数化推荐机制，基于自动化模板生成，确保一致性和可移植性。 ## 关键技术洞察 - **技术独特性：** 基于 **AWS Secrets Manager** 的密钥管理机制，实现 PSKs 的动态存储和访问控制，工作原理是通过 ARN 引用密钥，避免明文传输。该创新点在于无缝集成 Secrets Manager 的加密算法（如 AES-256），对安全性影响显著，减少了手动密钥处理的漏洞风险；在性能方面，API 响应时间优化，支持毫秒级查询。 - **技术创新点及其影响：** 新 “GetActiveVpnTunnelStatus” API 的独特性在于直接查询隧道参数，而非依赖日志，工作原理使用 AWS 的元数据服务提取实时状态，提升可用性（如减少日志存储需求，降低成本）。创新影响包括提高系统响应速度和资源利用率，但潜在挑战如 API 调用的网络延迟，可通过 AWS 全球边缘网络（如 **AWS Global Accelerator**）解决；在安全性上，该 API 强化了加密算法监控，防止算法过时导致的攻击风险。 - **其他技术实现挑战：** “Recommended” 配置参数的创新点基于预定义模板，工作原理自动应用最佳实践算法组，提升配置一致性，但挑战在于兼容性差异（如旧设备不支持 DH 组 20），解决方式通过 API 提供可自定义选项，确保在异构环境中的适应性，对可用性影响积极，避免人为错误导致的宕机。   # AWS 站点到站点 VPN 在更多 AWS 区域扩展 AWS Secrets Manager 集成 **原始链接:** [https://aws.amazon.com/about-aws/whats-new/2025/07/aws-site-to-site-vpn-secrets-manager-integration/](https://aws.amazon.com/about-aws/whats-new/2025/07/aws-site-to-site-vpn-secrets-manager-integration/) **发布时间:** 2025-07-02 **厂商:** AWS **类型:** WHATSNEW --- # AWS 站点到站点 VPN (AWS Site-to-Site VPN) 在更多 AWS 区域扩展 AWS Secrets Manager (AWS Secrets Manager) 集成发布日期：2025 年 7 月 2 日 AWS 站点到站点 VPN 正在扩展三个新功能，包括 AWS Secrets Manager 集成，以提升 AWS GovCloud (US) 区域和 AWS 欧洲 (米兰) 区域中的安全性和配置便利性。 - **AWS Secrets Manager 集成：** 当客户将预共享密钥 (PSKs) 存储在 Secrets Manager 中时，VPN 连接 API 响应会屏蔽 PSK，并改为显示 Secrets Manager ARN (Amazon Resource Name)，从而提供增强的安全性。 - **追踪 VPN 算法的新 API：** 您现在可以使用“GetActiveVpnTunnelStatus” API 轻松追踪当前协商的互联网密钥交换 (IKE) 版本、Diffie-Hellman (DH) 组、加密算法和完整性算法。此新 API 消除了启用站点到站点 VPN 日志的必要性，从而节省时间并降低操作开销。 - **推荐配置：** “GetVpnConnectionDeviceSampleConfiguration” API 现在包含“recommended” 参数，帮助您在客户网关设备上使用最佳实践安全配置 — IKE 版本 2、DH 组 20、SHA-384 完整性算法和 AES-GCM-256 加密算法 — 从而减少配置时间并避免潜在错误。使用这些功能不会产生额外费用。要了解更多信息并开始使用，请访问 AWS 站点到站点 VPN [文档](https://docs.aws.amazon.com/vpn/latest/s2svpn/enhanced-security.html) 。