AWS 推出 VPC 加密控制：強制VPC 傳輸中加密

AWS 剛剛推出咗一個全新 VPC 加密控制功能，畀用戶可以審核同強制區域內同跨 VPC 嘅所有流量都要加密傳輸啦！

呢個功能特別適合金融服務、醫療保健、政府機構同零售業，因為佢哋好需要嚴格遵守加密合規要求，以前要靠複雜嘅公钥基礎設施（PKI）同埋 spreadsheet 手動追蹤，好麻煩。

依家用 AWS Nitro 硬件，自動提供 AES-256-GCM 加密，流量匿名化，性能完全唔受影響。

功能有兩個模式：監控模式（monitor mode）可以透過 VPC flow logs 睇加密狀態（0 代表明文、1 代表 Nitro 網絡層加密、2 代表應用層加密、3 代表兩者都有），方便審核；強制模式（enforce mode）就直接 drop 未加密嘅流量。

用戶可以先開監控模式嚟檢查，逐步遷移資源，再切換去強制模式，過程唔會中斷服務。

部分 AWS 服務如 Network Load Balancer、Application Load Balancer 同 Fargate 會自動遷移到 Nitro 硬件，其他如 EC2、RDS、ElastiCache 等需要手動升級到 Nitro-based instances，或者喺應用層加 TLS 加密。

對於 Transit Gateway，需要手動啟用加密控制，先可以加密跨 VPC 流量。

呢個功能現已在多個 AWS 區域推出，包括美國東部、西部、歐洲等地。

定價方面，由 2025 年 11 月 20 日至 2026 年 2 月 28 日免費使用，2026 年 3 月 1 日起，每個啟用加密控制嘅 VPC 及網絡介面會收取固定每小時費用。

更多詳情，請參閱官方博客：https://aws.amazon.com/blogs/aws/introducing-vpc-encryption-controls-enforce-encryption-in-transit-within-and-across-vpcs-in-a-region/