Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
AS2 konfigurieren
Um einen AS2-enabled Server zu erstellen, müssen Sie außerdem die folgenden Komponenten angeben:
-
Abkommen — Bilaterale Handelspartnerabkommen oder Partnerschaften definieren die Beziehung zwischen den beiden Parteien, die Nachrichten (Dateien) austauschen. Um eine Vereinbarung zu definieren, kombiniert Transfer Family Server-, lokale Profil-, Partnerprofil- und Zertifikatsinformationen. Transfer Family AS2-inbound Familienprozesse verwenden Vereinbarungen.
-
Zertifikate — Public-Key-Zertifikate (X.509) werden in der AS2-Kommunikation zur Nachrichtenverschlüsselung und -verifizierung verwendet. Zertifikate werden auch für Connector-Endpunkte verwendet.
-
Lokale Profile und Partnerprofile — Ein lokales Profil definiert die lokale Organisation oder „Partei“ (AS2-enabledTransfer Family Family-Server). In ähnlicher Weise definiert ein Partnerprofil die Remote-Partnerorganisation außerhalb von Transfer Family.
Obwohl nicht für alle AS2-enabled Server erforderlich, benötigen Sie für ausgehende Übertragungen einen Connector. Ein Connector erfasst die Parameter für eine ausgehende Verbindung. Der Connector ist erforderlich, um Dateien an einen externen Server eines Kunden zu senden, der kein AWS Server ist.
Das folgende Diagramm zeigt die Beziehung zwischen den AS2-Objekten, die an den eingehenden und ausgehenden Prozessen beteiligt sind.
Ein umfassendes Beispiel für eine AS2-Konfiguration finden Sie unter. Einrichtung einer AS2-Konfiguration
AS2-Konfigurationen
In diesem Thema werden die unterstützten Konfigurationen, Funktionen und Funktionen für Übertragungen beschrieben, die das AS2-Protokoll (Applicability Statement 2) verwenden, einschließlich der akzeptierten Chiffren und Digests.
Signierung, Verschlüsselung, Komprimierung, MDN
Sowohl für eingehende als auch für ausgehende Übertragungen sind die folgenden Elemente entweder erforderlich oder optional:
-
Verschlüsselung — Erforderlich (für HTTP-Transport, die einzige derzeit unterstützte Transportmethode). Unverschlüsselte Nachrichten werden nur akzeptiert, wenn sie von einem TLS-terminating Proxy wie einem Application Load Balancer (ALB) weitergeleitet werden und der
X-Forwarded-Proto: httpsHeader vorhanden ist. -
Signieren — optional
-
Komprimierung — Optional (der einzige derzeit unterstützte Komprimierungsalgorithmus ist ZLIB)
-
Hinweis zur Disposition von Nachrichten (MDN) — Optional
Chiffren
Die folgenden Verschlüsselungen werden sowohl für eingehende als auch für ausgehende Übertragungen unterstützt:
-
AES128_CBC
-
AES192_CBC
-
AES256_CBC
-
3DES (nur aus Gründen der Abwärtskompatibilität)
Übersichten
Die folgenden Digests werden unterstützt:
-
Eingehendes Signieren und MDN — SHA1, SHA256, SHA384, SHA512
-
Ausgehendes Signieren und MDN — SHA1, SHA256, SHA384, SHA512
MDN
Für MDN-Antworten werden bestimmte Typen wie folgt unterstützt:
-
Eingehende Übertragungen — Synchron und asynchron
-
Ausgehende Übertragungen — Synchron und asynchron
-
Simple Mail Transfer Protocol (SMTP) (E-Mail MDN) — Nicht unterstützt
Transporte
-
Eingehende Übertragungen — HTTP ist der einzige derzeit unterstützte Transport, und Sie müssen ihn explizit angeben.
Anmerkung
Wenn Sie HTTPS für eingehende Übertragungen verwenden müssen, können Sie TLS auf einem Application Load Balancer oder einem Network Load Balancer beenden. Dieser Vorgang wird unter Empfangen Sie AS2-Nachrichten über HTTPS beschrieben.
-
Ausgehende Übertragungen — Wenn Sie eine HTTP-URL angeben, müssen Sie auch einen Verschlüsselungsalgorithmus angeben. Wenn Sie eine HTTPS-URL angeben, haben Sie die Möglichkeit, NONE für Ihren Verschlüsselungsalgorithmus anzugeben.
AS2-Kontingente und Einschränkungen
In diesem Abschnitt werden Kontingente und Einschränkungen für AS2 beschrieben
AS2-Kontingente
Die folgenden Kontingente gelten für AS2-Dateiübertragungen. Informationen zur Beantragung einer Erhöhung für ein anpassbares Kontingent finden Sie unter AWS-Service Kontingente im Allgemeine AWS-Referenz.
| Name | Standard | Anpassbar |
|---|---|---|
| Maximale Anzahl von Dateien pro ausgehender Anfrage | 10 | Nein |
| Maximale Anzahl ausgehender Anfragen pro Sekunde | 100 | Nein |
| Maximale Anzahl eingehender Anfragen pro Sekunde | 100 | Nein |
| Maximale ausgehende Bandbreite pro Konto (ausgehende SFTP- und AS2-Anfragen tragen beide zu diesem Wert bei) | 50 MB pro Sekunde | Nein |
Kontingente für den Umgang mit Geheimnissen
AWS Transfer Family ruft im Namen von AS2-Kunden AWS Secrets Manager an, die die Standardauthentifizierung verwenden. Zusätzlich ruft Secrets Manager auf AWS KMS.
Anmerkung
Diese Kontingente sind nicht spezifisch für Ihre Verwendung von Geheimnissen für Transfer Family: Sie werden von allen Diensten in Ihrem gemeinsam genutzt AWS-Konto.
Für Secrets Manager GetSecretValue gilt das Kontingent Kombinierte Rate von Anfragen DescribeSecret und GetSecretValue API-Anfragen, wie unter AWS Secrets Manager
Kontingente beschrieben.
| Name | Wert | Description |
|---|---|---|
| Kombinierte Rate von DescribeSecret und GetSecretValue API-Anfragen | Jede unterstützte Region: 10 000 pro Sekunde | Die maximale Anzahl an Transaktionen pro Sekunde für DescribeSecret GetSecretValue API-Operationen zusammen. |
Für gelten AWS KMS die folgenden Kontingente fürDecrypt. Einzelheiten finden Sie unter Kontingente für jeden AWS KMS API-Vorgang anfordern
| Kontingentname | Standardwert (Anforderungen pro Sekunde) |
|---|---|
|
Anforderungsrate für kryptografische Operationen (symmetrisch) |
Diese gemeinsamen Kontingente variieren je nach dem AWS-Region und der Art des in der Anfrage verwendeten AWS KMS Schlüssels. Jedes Kontingent wird separat berechnet.
|
|
Anforderungskontingente für benutzerdefinierte Schlüsselspeicher AnmerkungDieses Kontingent gilt nur, wenn Sie einen externen Schlüsselspeicher verwenden. |
Kontingente für benutzerdefinierte Schlüsselspeicher-Anfragen werden für jeden benutzerdefinierten Schlüsselspeicher separat berechnet.
|
Bekannte Beschränkungen
-
Server-side TCP-Keep-Alive wird nicht unterstützt. Die Verbindung wird nach 350 Sekunden Inaktivität unterbrochen, es sei denn, der Client sendet Keep-Alive-Pakete.
-
Damit eine aktive Vereinbarung vom Service akzeptiert wird und in den CloudWatch Amazon-Protokollen erscheint, müssen Nachrichten gültige AS2-Header enthalten.
-
Der Server, der Nachrichten AWS Transfer Family für AS2 empfängt, muss das Schutzattribut des Algorithmus Cryptographic Message Syntax (CMS) zur Validierung von Nachrichtensignaturen unterstützen, wie in RFC 6211 definiert.
Dieses Attribut wird in einigen älteren IBM Sterling-Produkten nicht unterstützt. -
Doppelte Nachrichten-IDs führen zu einer
processed/Warning: Nachricht mit doppeltem Dokument. -
Die Schlüssellänge für AS2-Zertifikate muss mindestens 2048 Bit und höchstens 4096 Bit betragen.
-
Wenn AS2-Nachrichten oder asynchrone mDNS an den HTTPS-Endpunkt eines Handelspartners gesendet werden, müssen die Nachrichten oder mDNS ein gültiges SSL-Zertifikat verwenden, das von einer öffentlich vertrauenswürdigen Zertifizierungsstelle (CA) signiert ist. Self-signed Zertifikate werden derzeit nur für ausgehende Übertragungen unterstützt.
-
Der Endpunkt muss das TLS-Protokoll der Version 1.2 und einen kryptografischen Algorithmus unterstützen, der gemäß der Sicherheitsrichtlinie zulässig ist (wie unter beschrieben). Sicherheitsrichtlinien für Server AWS Transfer Family
-
Mehrere Anlagen und Certificate Exchange Messaging (CEM) aus AS2 Version 1.2 werden derzeit nicht unterstützt.
-
Die Standardauthentifizierung wird derzeit nur für ausgehende Nachrichten unterstützt.
-
Sie können einen Dateiverarbeitungs-Workflow an einen Transfer Family Family-Server anhängen, der das AS2-Protokoll verwendet. AS2-Nachrichten führen jedoch keine Workflows aus, die an den Server angehängt sind.
Merkmale und Fähigkeiten von AS2
In den folgenden Tabellen sind die Funktionen und Fähigkeiten aufgeführt, die für Transfer Family Family-Ressourcen verfügbar sind, die AS2 verwenden.
AS2-Funktionen
Transfer Family bietet die folgenden Funktionen für AS2.
| Feature | Unterstützt von AWS Transfer Family |
|---|---|
| Drummond-Zertifizierung |
Ja |
| AWS CloudFormation Unterstützung | Ja |
| CloudWatchAmazon-Metriken | Ja |
| SHA-2 kryptografische Algorithmen | Ja |
| Support für Amazon S3 | Ja |
| Support für Amazon EFS | Nein |
| Geplante Nachrichten | Ja 1 |
| AWS Transfer Family Verwaltete Workflows | Nein |
| Zertifikatsaustausch-Messaging (CEM) | Nein |
| Gegenseitiges TLS (mTLS) | Nein |
| Support für selbstsignierte Zertifikate | Ja |
1. Ausgehende geplante Nachrichten sind über AWS Lambda Planungsfunktionen von Amazon verfügbar EventBridge
AS2-Sende- und Empfangsfunktionen
Die folgende Tabelle enthält eine Liste der AWS Transfer Family AS2-Sende- und Empfangsfunktionen.
| Funktion | Eingehend: Empfang mit dem Server | Ausgehend: Senden mit Connector |
|---|---|---|
| TLS-verschlüsselter Transport (HTTPS) | Ja 1 |
Ja |
| Non-TLS Verkehr (HTTP) | Ja |
Ja 2 |
| Synchrones MDN | Ja | Ja |
| Komprimierung von Nachrichten | Ja | Ja |
| Asynchrones MDN | Ja | Ja |
| Statische IP-Adresse | Ja | Ja |
| Bringen Sie Ihre eigene IP-Adresse mit | Ja | Nein |
| Mehrere Dateianhänge | Nein | Nein |
| Ggrundlegende Authentifizierung | Nein | Ja |
| AS2 neu starten | Nicht zutreffend | Nein |
| AS2-Zuverlässigkeit | Nein | Nein |
| Benutzerdefinierter Betreff pro Nachricht | Nicht zutreffend | Nein |
1. Eingehender TLS-verschlüsselter Transport mit Network Load Balancer (NLB) oder Application Load Balancer (ALB) verfügbar
2. Ausgehender Transport ohne TLS ist nur verfügbar, wenn die Verschlüsselung aktiviert ist
