Eine AS2 Konfiguration einrichten - AWS Transfer Family
Schritt 1: Erstellen Sie Zertifikate für AS2Schritt 2: Erstellen Sie einen Transfer Family Family-Server, der das AS2 Protokoll verwendetSchritt 3: Zertifikate als Transfer Family Family-Zertifikatsressourcen importierenSchritt 4: Erstellen Sie Profile für Sie und Ihren HandelspartnerSchritt 5: Erstellen Sie eine Vereinbarung zwischen Ihnen und Ihrem PartnerSchritt 6: Stellen Sie eine Verbindung zwischen Ihnen und Ihrem Partner herSchritt 7: Testen Sie den Dateiaustausch AS2 mithilfe von Transfer Family

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Eine AS2 Konfiguration einrichten

In diesem Tutorial wird beschrieben, wie Sie eine Applicability Statement 2 (AS2) -Konfiguration mit einrichten. AWS Transfer Family Nachdem Sie die hier beschriebenen Schritte abgeschlossen haben, verfügen Sie über einen AS2 -fähigen Server, der bereit ist, AS2 Nachrichten von einem Beispielhandelspartner anzunehmen. Sie werden auch über einen Konnektor verfügen, über den Sie AS2 Nachrichten an den Musterhandelspartner senden können.

Anmerkung

In einigen Teilen des Beispiel-Setups wird das AWS Command Line Interface (AWS CLI) verwendet. Falls Sie das noch nicht installiert haben AWS CLI, finden Sie weitere Informationen unter Installieren oder Aktualisieren der neuesten Version von AWS CLI im AWS Command Line Interface Benutzerhandbuch.

  1. Erstellen Sie Zertifikate für sich und Ihren Handelspartner. Wenn Sie bereits Zertifikate haben, die Sie verwenden können, können Sie diesen Abschnitt überspringen.

    Dieser Vorgang wird unter beschriebenSchritt 1: Erstellen Sie Zertifikate für AS2.

  2. Erstellen Sie einen AWS Transfer Family Server, der das AS2 Protokoll verwendet. Optional können Sie dem Server eine Elastic IP-Adresse hinzufügen, sodass er mit dem Internet verbunden ist.

    Dieser Prozess wird unter beschrieben. Schritt 2: Erstellen Sie einen Transfer Family Family-Server, der das AS2 Protokoll verwendet

    Anmerkung

    Sie müssen einen Transfer Family Family-Server nur für eingehende Übertragungen erstellen. Wenn Sie nur ausgehende Übertragungen durchführen, benötigen Sie keinen Transfer Family Family-Server.

  3. Importieren Sie die Zertifikate, die Sie in Schritt 1 erstellt haben.

    Dieser Vorgang wird unter beschriebenSchritt 3: Zertifikate als Transfer Family Family-Zertifikatsressourcen importieren.

  4. Um Ihre Handelspartner einzurichten, erstellen Sie ein lokales Profil und ein Partnerprofil.

    Dieser Vorgang wird unter beschriebenSchritt 4: Erstellen Sie Profile für Sie und Ihren Handelspartner.

  5. Erstellen Sie eine Vereinbarung zwischen Ihnen und Ihrem Handelspartner.

    Dieser Prozess wird unter beschriebenSchritt 5: Erstellen Sie eine Vereinbarung zwischen Ihnen und Ihrem Partner.

    Anmerkung

    Sie müssen eine Vereinbarung nur für eingehende Übertragungen erstellen. Wenn Sie nur ausgehende Überweisungen durchführen, benötigen Sie keine Vereinbarung.

  6. Stellen Sie eine Verbindung zwischen Ihnen und Ihrem Handelspartner her.

    Dieser Prozess wird unter beschriebenSchritt 6: Stellen Sie eine Verbindung zwischen Ihnen und Ihrem Partner her.

    Anmerkung

    Sie müssen einen Connector nur für ausgehende Übertragungen erstellen. Wenn Sie nur eingehende Übertragungen durchführen, benötigen Sie keinen Connector.

  7. Testen Sie einen AS2 Dateiaustausch.

    Dieser Vorgang wird unter beschriebenSchritt 7: Testen Sie den Dateiaustausch AS2 mithilfe von Transfer Family.

Nachdem Sie diese Schritte abgeschlossen haben, können Sie wie folgt vorgehen:

  • Senden Sie Dateien mit dem Befehl Transfer Family start-file-transfer AWS Command Line Interface (AWS CLI) an einen AS2 Remote-fähigen Partnerserver.

  • Empfangen Sie Dateien von einem AS2 Remote-Partnerserver auf Port 5080 über Ihren Virtual Private Cloud () VPC -Endpunkt.

Schritt 1: Erstellen Sie Zertifikate für AS2

Beide Parteien an einem AS2 Austausch benötigen X.509-Zertifikate. Sie können diese Zertifikate auf beliebige Weise erstellen. In diesem Thema wird beschrieben, wie Sie Open SSL von der Befehlszeile aus verwenden, um ein Stammzertifikat zu erstellen und anschließend untergeordnete Zertifikate zu signieren. Beide Parteien müssen ihre eigenen Zertifikate generieren.

Anmerkung

Die Schlüssellänge für AS2 Zertifikate muss mindestens 2048 Bit und höchstens 4096 Bit betragen.

Beachten Sie Folgendes, um Dateien mit einem Partner zu übertragen:

  • Sie können Zertifikate an Profile anhängen. Die Zertifikate enthalten öffentliche oder private Schlüssel.

  • Ihr Handelspartner sendet Ihnen seine öffentlichen Schlüssel und Sie senden ihm Ihre.

  • Ihr Handelspartner verschlüsselt Nachrichten mit Ihrem öffentlichen Schlüssel und signiert sie mit seinem privaten Schlüssel. Umgekehrt verschlüsseln Sie Nachrichten mit dem öffentlichen Schlüssel Ihres Partners und signieren sie mit Ihrem privaten Schlüssel.

    Anmerkung

    Wenn Sie Schlüssel lieber mit einem verwalten möchten, GUI Portecleist eine Option, die Sie verwenden können.

Um Beispielzertifikate zu generieren
Wichtig

Senden Sie Ihrem Partner nicht Ihre privaten Schlüssel. In diesem Beispiel generieren Sie einen Satz selbstsignierter öffentlicher und privater Schlüssel für eine Partei. Wenn Sie zu Testzwecken als beide Handelspartner agieren möchten, können Sie diese Anweisungen wiederholen, um zwei Schlüsselsätze zu generieren: einen für jeden Geschäftspartner. In diesem Fall müssen Sie nicht zwei Stammzertifizierungsstellen (CAs) generieren.

  1. Führen Sie den folgenden Befehl aus, um einen RSA privaten Schlüssel mit einem 2048-Bit-Modul zu generieren.

    /usr/bin/openssl genrsa -out root-ca-key.pem 2048

  2. Führen Sie den folgenden Befehl aus, um ein selbstsigniertes Zertifikat mit Ihrer Datei zu erstellen. root-ca-key.pem

    /usr/bin/openssl req \
-x509 -new -nodes -sha256 \
-days 1825 \
-subj "/C=US/ST=MA/L=Boston/O=TransferFamilyCustomer/OU=IT-dept/CN=ROOTCA" \
-key root-ca-key.pem \
-out root-ca.pem

    Das -subj Argument besteht aus den folgenden Werten.

    Name Beschreibung
    C Ländercode Ein aus zwei Buchstaben bestehender Code für das Land, in dem Ihre Organisation ansässig ist.
    ST Bundesland, Region oder Provinz Das Bundesland, die Region oder die Provinz, in der Ihre Organisation ansässig ist. (In diesem Fall bezieht sich Region nicht auf Ihre AWS-Region.)
    L Ortsname Die Stadt, in der sich Ihre Organisation befindet.
    O Name der Organisation Der vollständige offizielle Name Ihrer Organisation, einschließlich LLC Suffixen wie Corp usw.
    OU Name der Organisationseinheit Die Abteilung in Ihrer Organisation, die sich mit diesem Zertifikat befasst.
    CN Allgemeiner Name oder vollqualifizierter Domänenname (FQDN) In diesem Fall erstellen wir ein Stammzertifikat, der Wert ist alsoROOTCA. In diesen Beispielen beschreiben wir den Zweck des Zertifikats. CN

  3. Erstellen Sie einen Signaturschlüssel und einen Verschlüsselungsschlüssel für Ihr lokales Profil.

    /usr/bin/openssl genrsa -out signing-key.pem 2048
/usr/bin/openssl genrsa -out encryption-key.pem 2048
    Anmerkung

    Bei einigen Servern mit AS2 aktivierter Option, z. B. OpenAS2, müssen Sie dasselbe Zertifikat sowohl für das Signieren als auch für die Verschlüsselung verwenden. In diesem Fall können Sie denselben privaten Schlüssel und dasselbe Zertifikat für beide Zwecke importieren. Führen Sie dazu diesen Befehl anstelle der beiden vorherigen Befehle aus:

    /usr/bin/openssl genrsa -out signing-and-encryption-key.pem 2048

  4. Führen Sie die folgenden Befehle aus, um Certificate Signing Requests (CSRs) für den Stammschlüssel zum Signieren zu erstellen.

    /usr/bin/openssl req -new -key signing-key.pem -subj \
"/C=US/ST=MA/L=Boston/O=TransferFamilyCustomer/OU=IT-dept/CN=Signer" -out signing-key-csr.pem
    /usr/bin/openssl req -new -key encryption-key.pem -subj \
"/C=US/ST=MA/L=Boston/O=TransferFamilyCustomer/OU=IT-dept/CN=Encrypter" -out encryption-key-csr.pem

  5. Als Nächstes müssen Sie eine signing-cert.conf Datei und eine encryption-cert.conf Datei erstellen.

    • Verwenden Sie einen Texteditor, um die signing-cert.conf Datei mit dem folgenden Inhalt zu erstellen:

      authorityKeyIdentifier=keyid,issuer
keyUsage = digitalSignature, nonRepudiation

    • Verwenden Sie einen Texteditor, um die encryption-cert.conf Datei mit dem folgenden Inhalt zu erstellen:

      authorityKeyIdentifier=keyid,issuer
keyUsage = dataEncipherment

  6. Schließlich erstellen Sie die signierten Zertifikate, indem Sie die folgenden Befehle ausführen.

    /usr/bin/openssl x509 -req -sha256 -CAcreateserial -days 1825 -in signing-key-csr.pem -out signing-cert.pem -CA \
root-ca.pem -CAkey root-ca-key.pem -extfile signing-cert.conf
    /usr/bin/openssl x509 -req -sha256 -CAcreateserial -days 1825 -in encryption-key-csr.pem -out encryption-cert.pem \
-CA root-ca.pem -CAkey root-ca-key.pem -extfile encryption-cert.conf

Schritt 2: Erstellen Sie einen Transfer Family Family-Server, der das AS2 Protokoll verwendet

In diesem Verfahren wird erklärt, wie Sie mithilfe der AS2 Transfer-Familie AWS CLI einen -fähigen Server erstellen.

Anmerkung

In vielen der Beispielschritte werden Befehle verwendet, mit denen Parameter aus einer Datei geladen werden. Weitere Informationen zur Verwendung von Dateien zum Laden von Parametern finden Sie unter So laden Sie Parameter aus einer Datei.

Wenn Sie stattdessen die Konsole verwenden möchten, finden Sie weitere Informationen unterErstellen Sie einen AS2 Server mit der Transfer Family Family-Konsole.

Ähnlich wie beim Erstellen eines SFTP FTPS AWS Transfer Family OR-Servers erstellen Sie einen Server, für den AS2 -aktiviert ist, indem Sie den --protocols AS2 Parameter des create-server AWS CLI Befehls verwenden. Derzeit unterstützt Transfer Family nur VPC Endpunkttypen und Amazon S3 S3-Speicher mit dem AS2 Protokoll.

Wenn Sie Ihren AS2 -fähigen Server für Transfer Family mithilfe des create-server Befehls erstellen, wird automatisch ein VPC Endpunkt für Sie erstellt. Dieser Endpunkt macht TCP Port 5080 verfügbar, sodass er Nachrichten annehmen kann. AS2

Wenn Sie Ihren VPC Endpunkt öffentlich dem Internet zugänglich machen möchten, können Sie Ihrem VPC Endpunkt Elastic IP-Adressen zuordnen.

Um diese Anweisungen verwenden zu können, benötigen Sie Folgendes:

  • Ihre ID VPC (zum Beispiel vpc-abcdef01).

  • Die IDs Ihrer VPC Subnetze (zum Beispiel subnet-abcdef01, 01, subnet-021345ab). subnet-subnet-abcdef

  • Eine oder mehrere Sicherheitsgruppen, die eingehenden Datenverkehr auf TCP Port 5080 IDs von Ihren Handelspartnern zulassen (z. B. sg-1234567890abcdef0 und sg-abcdef01234567890).

  • (Optional) Die Elastic IP-Adressen, die Sie Ihrem Endpunkt zuordnen möchten. VPC

  • Wenn Ihr Handelspartner nicht VPC über a mit Ihrem verbunden istVPN, benötigen Sie ein Internet-Gateway. Weitere Informationen finden Sie unter Connect zum Internet mithilfe eines Internet-Gateways im VPCAmazon-Benutzerhandbuch.

Um einen AS2 -fähigen Server zu erstellen

  1. Führen Sie den folgenden Befehl aus. Ersetzen Sie jeden user input placeholder durch Ihre Informationen.

    aws transfer create-server --endpoint-type VPC \
--endpoint-details VpcId=vpc-abcdef01,SubnetIds=subnet-abcdef01,subnet-abcdef01,subnet-
021345ab,SecurityGroupIds=sg-abcdef01234567890,sg-1234567890abcdef0 --protocols AS2 \
--protocol-details As2Transports=HTTP

  2. (Optional) Sie können den VPC Endpunkt öffentlich machen. Sie können Elastic IP-Adressen nur über einen update-server Vorgang an einen Transfer Family Family-Server anhängen. Die folgenden Befehle stoppen den Server, aktualisieren ihn mit Elastic IP-Adressen und starten ihn dann erneut.

    aws transfer stop-server --server-id your-server-id
    aws transfer update-server --server-id your-server-id --endpoint-details \
AddressAllocationIds=eipalloc-abcdef01234567890,eipalloc-1234567890abcdef0,eipalloc-abcd012345ccccccc
    aws transfer start-server --server-id your-server-id

    Dieser start-server Befehl erstellt automatisch einen DNS Datensatz für Sie, der die öffentliche IP-Adresse für Ihren Server enthält. Um Ihrem Handelspartner Zugriff auf den Server zu gewähren, stellen Sie ihm die folgenden Informationen zur Verfügung. your-regionBezieht sich in diesem Fall auf Ihre AWS-Region.

    s-your-server-id.server.transfer.your-region.amazonaws.com

    Der GesamtbetragURL, den Sie Ihrem Handelspartner zur Verfügung stellen, lautet wie folgt:

    http://s-your-server-id.server.transfer.your-region.amazonaws.com:5080

  3. Verwenden Sie die folgenden Befehle, um zu testen, ob auf Ihren AS2 -fähigen Server zugegriffen werden kann. Stellen Sie sicher, dass auf Ihren Server entweder über die private DNS Adresse Ihres VPC Endpunkts oder über Ihren öffentlichen Endpunkt zugegriffen werden kann (wenn Sie Ihrem Endpunkt eine Elastic IP-Adresse zugeordnet haben).

    Wenn Ihr Server korrekt konfiguriert ist, ist die Verbindung erfolgreich. Sie erhalten jedoch eine Antwort mit dem HTTP Statuscode 400 (Bad Request), da Sie keine gültige AS2 Nachricht senden.

    • Führen Sie für einen öffentlichen Endpunkt (wenn Sie im vorherigen Schritt eine Elastic IP-Adresse zugewiesen haben) den folgenden Befehl aus und ersetzen Sie dabei Ihre Server-ID und Region.

      curl -vv -X POST http://s-your-server-id.transfer.your-region.amazonaws.com:5080

    • Wenn Sie eine Verbindung innerhalb Ihres herstellenVPC, suchen Sie nach dem privaten DNS Namen Ihres VPC Endpunkts, indem Sie die folgenden Befehle ausführen.

      aws transfer describe-server --server-id s-your-server-id

      Dieser describe-server Befehl gibt Ihre VPC Endpunkt-ID im VpcEndpointId Parameter zurück. Verwenden Sie diesen Wert, um den folgenden Befehl auszuführen.

      aws ec2 describe-vpc-endpoints --vpc-endpoint-ids vpce-your-vpc-endpoint-id

      Dieser describe-vpc-endpoints Befehl gibt ein DNSEntries Array mit mehreren DnsName Parametern zurück. Verwenden Sie im folgenden Befehl den regionalen DNS Namen (den Namen, der die Availability Zone nicht enthält).

      curl -vv -X POST http://vpce-your-vpce.vpce-svc-your-vpce-svc.your-region.vpce.amazonaws.com:5080

      Der folgende Befehl zeigt beispielsweise Beispielwerte für die Platzhalter im vorherigen Befehl.

      curl -vv -X POST http://vpce-0123456789abcdefg-fghij123.vpce-svc-11111aaaa2222bbbb.us-east-1.vpce.amazonaws.com:5080

  4. (Optional) Konfigurieren Sie eine Protokollierungsrolle. Transfer Family protokolliert den Status der gesendeten und empfangenen Nachrichten in einem strukturierten JSON Format in CloudWatch Amazon-Protokollen. Um Transfer Family Zugriff auf die CloudWatch Protokolle in Ihrem Konto zu gewähren, müssen Sie eine Protokollierungsrolle auf Ihrem Server konfigurieren.

    Erstellen Sie eine Rolle AWS Identity and Access Management (IAM), die vertrauttransfer.amazonaws.com, und fügen Sie die AWSTransferLoggingAccess verwaltete Richtlinie hinzu. Details hierzu finden Sie unter Erstellen Sie eine IAM Rolle und eine Richtlinie. Notieren Sie sich den Amazon-Ressourcennamen (ARN) der IAM Rolle, die Sie gerade erstellt haben, und verknüpfen Sie ihn mit dem Server, indem Sie den folgenden update-server Befehl ausführen:

    aws transfer update-server --server-id your-server-id --logging-role arn:aws:iam::your-account-id:role/logging-role-name
    Anmerkung

    Auch wenn die Logging-Rolle optional ist, empfehlen wir dringend, sie so einzurichten, dass Sie den Status Ihrer Nachrichten einsehen und Konfigurationsprobleme beheben können.

Schritt 3: Zertifikate als Transfer Family Family-Zertifikatsressourcen importieren

In diesem Verfahren wird erklärt, wie Zertifikate mithilfe von importiert AWS CLI werden. Wenn Sie stattdessen die Transfer Family Family-Konsole verwenden möchten, finden Sie weitere Informationen unterAS2Zertifikate importieren.

Führen Sie die folgenden import-certificate Befehle aus, um die Signatur- und Verschlüsselungszertifikate zu importieren, die Sie in Schritt 1 erstellt haben. Wenn Sie dasselbe Zertifikat für Verschlüsselung und Signierung verwenden, importieren Sie dasselbe Zertifikat zweimal (einmal mit der SIGNING Verwendung und erneut mit der ENCRYPTION Verwendung).

aws transfer import-certificate --usage SIGNING --certificate file://signing-cert.pem \
            --private-key file://signing-key.pem --certificate-chain file://root-ca.pem

Dieser Befehl gibt Ihre Signatur zurückCertificateId. Im nächsten Abschnitt wird diese Zertifikat-ID als bezeichnetmy-signing-cert-id.

aws transfer import-certificate --usage ENCRYPTION --certificate file://encryption-cert.pem \
            --private-key file://encryption-key.pem --certificate-chain file://root-ca.pem

Dieser Befehl gibt Ihre Verschlüsselung zurückCertificateId. Im nächsten Abschnitt wird diese Zertifikat-ID als bezeichnetmy-encrypt-cert-id.

Importieren Sie als Nächstes die Verschlüsselungs- und Signaturzertifikate Ihres Partners, indem Sie die folgenden Befehle ausführen.

aws transfer import-certificate --usage ENCRYPTION --certificate file://partner-encryption-cert.pem \
--certificate-chain file://partner-root-ca.pem

Dieser Befehl gibt die Verschlüsselung Ihres Partners zurückCertificateId. Im nächsten Abschnitt wird diese Zertifikat-ID als bezeichnetpartner-encrypt-cert-id.

aws transfer import-certificate --usage SIGNING --certificate file://partner-signing-cert.pem \
--certificate-chain file://partner-root-ca.pem

Dieser Befehl gibt die Signatur Ihres Partners zurückCertificateId. Im nächsten Abschnitt wird diese Zertifikat-ID als bezeichnetpartner-signing-cert-id.

Schritt 4: Erstellen Sie Profile für Sie und Ihren Handelspartner

In diesem Verfahren wird erklärt, wie Sie AS2 Profile mithilfe von erstellen AWS CLI. Wenn Sie stattdessen die Transfer Family Family-Konsole verwenden möchten, finden Sie weitere Informationen unterProfile erstellen AS2.

Erstellen Sie Ihr lokales AS2 Profil, indem Sie den folgenden Befehl ausführen. Dieser Befehl verweist auf die Zertifikate, die Ihre öffentlichen und privaten Schlüssel enthalten.

aws transfer create-profile --as2-id MYCORP --profile-type LOCAL --certificate-ids \
my-signing-cert-id my-encrypt-cert-id

Dieser Befehl gibt Ihre Profil-ID zurück. Im nächsten Abschnitt wird diese ID als bezeichnetmy-profile-id.

Erstellen Sie nun das Partnerprofil, indem Sie den folgenden Befehl ausführen. Dieser Befehl verwendet nur die Public-Key-Zertifikate Ihres Partners. Um diesen Befehl zu verwenden, ersetzen Sie das user input placeholders durch Ihre eigenen Informationen, z. B. den AS2 Namen und das Zertifikat Ihres PartnersIDs.

aws transfer create-profile --as2-id PARTNER-COMPANY --profile-type PARTNER --certificate-ids \
partner-signing-cert-id partner-encrypt-cert-id

Dieser Befehl gibt die Profil-ID Ihres Partners zurück. Im nächsten Abschnitt wird diese ID als bezeichnetpartner-profile-id.

Anmerkung

Ersetzen Sie in den vorherigen Befehlen MYCORP mit dem Namen Ihrer Organisation und PARTNER-COMPANY mit dem Namen der Organisation Ihres Handelspartners.

Schritt 5: Erstellen Sie eine Vereinbarung zwischen Ihnen und Ihrem Partner

In diesem Verfahren wird erklärt, wie Sie AS2 Vereinbarungen mithilfe von erstellen AWS CLI. Wenn Sie stattdessen die Transfer Family Family-Konsole verwenden möchten, finden Sie weitere Informationen unterAS2Vereinbarungen erstellen.

In Vereinbarungen werden die beiden Profile (lokal und Partner), ihre Zertifikate und eine Serverkonfiguration zusammengeführt, die eingehende AS2 Übertragungen zwischen zwei Parteien ermöglicht. Sie können Ihre Artikel auflisten, indem Sie die folgenden Befehle ausführen.

aws transfer list-profiles --profile-type LOCAL
aws transfer list-profiles --profile-type PARTNER
aws transfer list-servers

Für diesen Schritt sind ein Amazon S3 S3-Bucket und IAM eine Rolle mit Lese-/Schreibzugriff auf und vom Bucket erforderlich. Die Anweisungen zum Erstellen dieser Rolle entsprechen denen für die Transfer Family SFTP und die FTPS Protokolle und sind unter verfügbarErstellen Sie eine IAM Rolle und eine Richtlinie. FTP

Um eine Vereinbarung zu erstellen, benötigen Sie die folgenden Elemente:

  • Der Amazon S3 S3-Bucket-Name (und das Objektpräfix, falls angegeben)

  • Die ARN der IAM Rolle mit Zugriff auf den Bucket

  • Ihre Transfer Family Family-Server-ID

  • Ihre Profil-ID und die Profil-ID Ihres Partners

Erstellen Sie die Vereinbarung, indem Sie den folgenden Befehl ausführen.

aws transfer create-agreement --description "ExampleAgreementName" --server-id your-server-id \
--local-profile-id your-profile-id --partner-profile-id your-partner-profile-id --base-directory /DOC-EXAMPLE-DESTINATION-BUCKET/AS2-inbox \
--access-role arn:aws:iam::111111111111:role/TransferAS2AccessRole

Bei Erfolg gibt dieser Befehl die ID für die Vereinbarung zurück. Sie können dann die Details der Vereinbarung mit dem folgenden Befehl anzeigen.

aws transfer describe-agreement --agreement-id agreement-id --server-id your-server-id

Schritt 6: Stellen Sie eine Verbindung zwischen Ihnen und Ihrem Partner her

In diesem Verfahren wird erklärt, wie Sie mithilfe von AS2 Konnektoren erstellen AWS CLI. Wenn Sie stattdessen die Transfer Family Family-Konsole verwenden möchten, finden Sie weitere Informationen unterAS2Konnektoren konfigurieren.

Sie können den StartFileTransfer API Vorgang verwenden, um Dateien, die in Amazon S3 gespeichert sind, mithilfe eines Connectors an den AS2 Endpunkt Ihres Handelspartners zu senden. Sie können die zuvor erstellten Profile finden, indem Sie den folgenden Befehl ausführen.

aws transfer list-profiles

Wenn Sie den Connector erstellen, müssen Sie den AS2 Server Ihres Partners angebenURL. Kopieren Sie den folgenden Text in eine Datei mit dem NamentestAS2Config.json.

{
"Compression": "ZLIB",
"EncryptionAlgorithm": "AES256_CBC",
"LocalProfileId": "your-profile-id",
"MdnResponse": "SYNC",
"MdnSigningAlgorithm": "DEFAULT",
"MessageSubject": "Your Message Subject",
"PartnerProfileId": "partner-profile-id",
"SigningAlgorithm": "SHA256"
}
Anmerkung

Geben Sie den DES_EDE3_CBC Algorithmus nur anEncryptionAlgorithm, wenn Sie einen älteren Client unterstützen müssen, der ihn benötigt, da es sich um einen schwachen Verschlüsselungsalgorithmus handelt.

Führen Sie dann den folgenden Befehl aus, um den Connector zu erstellen.

aws transfer create-connector --url "http://partner-as2-server-url" \
--access-role your-IAM-role-for-bucket-access \
--logging-role arn:aws:iam::your-account-id:role/service-role/AWSTransferLoggingAccess \
--as2-config file:///path/to/testAS2Config.json

Schritt 7: Testen Sie den Dateiaustausch AS2 mithilfe von Transfer Family

Erhalten Sie eine Datei von Ihrem Handelspartner

Wenn Sie Ihrem VPC Endpunkt eine öffentliche Elastic IP-Adresse zugeordnet haben, hat Transfer Family automatisch einen DNS Namen erstellt, der Ihre öffentliche IP-Adresse enthält. Die Subdomain ist Ihre AWS Transfer Family Server-ID (im Formats-1234567890abcdef0). Stellen Sie Ihrem Handelspartner URL Ihren Server im folgenden Format zur Verfügung.

http://s-1234567890abcdef0.server.transfer.us-east-1.amazonaws.com:5080

Wenn Sie Ihrem VPC Endpunkt keine öffentliche Elastic IP-Adresse zugeordnet haben, suchen Sie nach dem Hostnamen des VPC Endpunkts, der AS2 Nachrichten HTTP POST von Ihren Handelspartnern auf Port 5080 annehmen kann. Verwenden Sie den folgenden Befehl, um die VPC Endpunktdetails abzurufen.

aws transfer describe-server --server-id s-1234567890abcdef0

Nehmen wir beispielsweise an, der vorherige Befehl gibt die VPC Endpunkt-ID von zurückvpce-1234abcd5678efghi. Dann würden Sie den folgenden Befehl verwenden, um die DNS Namen abzurufen.

aws ec2 describe-vpc-endpoints --vpc-endpoint-ids vpce-1234abcd5678efghi

Dieser Befehl gibt alle Details für den VPC Endpunkt zurück, die Sie zum Ausführen des folgenden Befehls benötigen.

Der DNS Name ist im DnsEntries Array aufgeführt. Ihr Handelspartner muss sich in Ihrer Nähe befindenVPC, um auf Ihren VPC Endpunkt zugreifen zu können (z. B. über AWS PrivateLink oder aVPN). Stellen Sie Ihrem Partner URL Ihren VPC Endpunkt im folgenden Format zur Verfügung.

http://vpce-your-vpce-id.vpce-svc-your-vpce-svc-id.your-region.vpce.amazonaws.com:5080

Im Folgenden werden beispielsweise Beispielwerte für die Platzhalter in den vorherigen Befehlen URL gezeigt.

http://vpce-0123456789abcdefg-fghij123.vpce-svc-11111aaaa2222bbbb.us-east-1.vpce.amazonaws.com:5080

In diesem Beispiel werden erfolgreiche Übertragungen an dem Speicherort gespeichert, der in dem von Ihnen angegebenen base-directory Parameter angegeben ist. Schritt 5: Erstellen Sie eine Vereinbarung zwischen Ihnen und Ihrem Partner Wenn wir erfolgreich Dateien mit dem Namen myfile1.txt und empfangenmyfile2.txt, werden die Dateien unter gespeichert/path-defined-in-the-agreement/processed/original_filename.messageId.original_extension. Hier werden die Dateien als /DOC-EXAMPLE-DESTINATION-BUCKET/AS2-inbox/processed/myfile1.messageId.txt und gespeichert/DOC-EXAMPLE-DESTINATION-BUCKET/AS2-inbox/processed/myfile2.messageId.txt.

Wenn Sie bei der Erstellung Ihres Transfer Family Family-Servers eine Protokollierungsrolle konfiguriert haben, können Sie Ihre CloudWatch Protokolle auch auf den Status von AS2 Nachrichten überprüfen.

Senden Sie eine Datei an Ihren Handelspartner

Sie können Transfer Family verwenden, um AS2 Nachrichten zu senden, indem Sie auf die Connector-ID und die Pfade zu den Dateien verweisen, wie im folgenden Befehl start-file-transfer AWS Command Line Interface (AWS CLI) dargestellt:

aws transfer start-file-transfer --connector-id c-1234567890abcdef0 \
--send-file-paths "/DOC-EXAMPLE-SOURCE-BUCKET/myfile1.txt" "/DOC-EXAMPLE-SOURCE-BUCKET/myfile2.txt"

Führen Sie den folgenden Befehl aus, um die Details für Ihre Konnektoren abzurufen:

aws transfer list-connectors

Der list-connectors Befehl gibt den Connector IDsURLs, und Amazon Resource Names (ARNs) für Ihre Konnektoren zurück.

Um die Eigenschaften eines bestimmten Connectors zurückzugeben, führen Sie den folgenden Befehl mit der ID aus, die Sie verwenden möchten:

aws transfer describe-connector --connector-id your-connector-id

Der describe-connector Befehl gibt alle Eigenschaften für den Konnektor zurück, einschließlich seiner RollenURL, Profile, Hinweise zur Nachrichtendisposition (MDNs), Tags und Überwachungsmetriken.

Sie können überprüfen, ob der Partner die Dateien erfolgreich erhalten hat, indem Sie sich die MDN Dateien JSON und ansehen. Diese Dateien werden gemäß den unter beschriebenen Konventionen benanntDateinamen und Speicherorte. Wenn Sie bei der Erstellung des Connectors eine Logging-Rolle konfiguriert haben, können Sie Ihre CloudWatch Logs auch auf den Status von AS2 Nachrichten überprüfen.