View a markdown version of this page

Configuración de AS2 - AWS Transfer Family
Configuraciones AS2Cuotas de AS2Características y funciones básicas de AS2

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración de AS2

Para crear un AS2-enabled servidor, también debe especificar los siguientes componentes:

  • Acuerdos: los acuerdos bilaterales con socios comerciales o asociaciones definen la relación entre las dos partes que intercambian mensajes (archivos). Para definir un acuerdo, Transfer Family combina un servidor, un perfil local, un perfil de socio, un certificado y otros atributos. Transfer Family AS2-inbound procesa acuerdos de uso.

  • Certificados: los certificados de clave pública (X.509) se utilizan en la comunicación AS2 para el cifrado y la verificación de los mensajes. Los certificados también se utilizan para los puntos de conexión de los conectores.

  • Perfiles locales y perfiles de socios: un perfil local define la organización o «parte» local (servidor AS2-enabled Transfer Family). Del mismo modo, un perfil de socio define la empresa asociada remota, externa a Transfer Family.

Si bien no es obligatorio para todos los AS2-enabled servidores, para las transferencias salientes se necesita un conector. Un conector captura los parámetros de una conexión de salida. El conector es necesario para enviar archivos a un servidor externo, ajeno al AWS servidor, del cliente.

El siguiente diagrama muestra la relación entre los objetos AS2 que participan en los procesos de entrada y salida.

Diagrama que muestra la relación entre los objetos AS2 que participan en los procesos de entrada y salida.

Para obtener un ejemplo integral de una configuración de AS2, consulte Configuración de una configuración AS2.

Configuraciones AS2

En este tema, se describen las configuraciones, características y capacidades admitidas para las transferencias que utilizan el protocolo Applicability Statement 2 (AS2), incluidos los cifrados y resúmenes aceptados.

Firma, cifrado, compresión, MDN

Tanto para las transferencias entrantes como para las salientes, los siguientes elementos son obligatorios u opcionales:

  • Cifrado: obligatorio (para el transporte HTTP, que es el único método de transporte compatible actualmente). Los mensajes no cifrados solo se aceptan si los reenvía un TLS-terminating proxy, como un Application Load Balancer (ALB), y X-Forwarded-Proto: https el encabezado está presente.

  • Firma: opcional

  • Compresión: opcional (el único algoritmo de compresión compatible actualmente es ZLIB)

  • Aviso de disposición de mensajes (MDN): opcional

Cifrados

Se admiten los siguientes cifrados para las transferencias entrantes y salientes:

  • AES128_CBC

  • AES192_CBC

  • AES256_CBC

  • 3DES (solo para compatibilidad con versiones anteriores)

Resúmenes

Se admiten los siguientes resúmenes:

  • Firma entrante y MDN: SHA1, SHA256, SHA384, SHA512

  • Firma saliente y MDN: SHA1, SHA256, SHA384, SHA512

MDN

Para las respuestas de MDN, se admiten ciertos tipos, como los siguientes:

  • Transferencias entrantes: síncronas y asíncronas

  • Transferencias salientes: síncronas y asíncronas

  • Simple Mail Transfer Protocol (SMTP) (correo electrónico MDN): no se admite.

Transporte

  • Transferencias entrantes: HTTP es el único transporte admitido actualmente y debe especificarlo de forma explícita.

    nota

    Si necesita usar HTTPS para las transferencias entrantes, puede cancelar TLS en un equilibrador de carga de aplicación o un equilibrador de carga de red. Esto se describe en Recibir mensajes de AS2 a través de HTTPS.

  • Transferencias salientes: si proporciona una URL HTTP, también debe especificar un algoritmo de cifrado. Si proporciona una dirección HTTPS, tiene la opción de especificar NINGUNA para el algoritmo de cifrado.

Cuotas y limitaciones de AS2

En esta sección, se analizan las cuotas y limitaciones de AS2

Cuotas de AS2

Existen las siguientes cuotas para el AS2 file transfer. Para solicitar un aumento de una cuota ajustable, consulte las Servicio de AWS cuotas en Referencia general de AWS.

Cuotas de AS2
Name Predeterminado Ajustable
Número máximo de archivos por solicitud saliente 10 No
Número máximo de solicitudes salientes por segundo 100 No
Número máximo de solicitudes entrantes por segundo 100 No
Ancho de banda saliente máximo por cuenta (las solicitudes SFTP y AS2 salientes contribuyen a este valor) 50 MB por segundo No

Cuotas de manejo de secretos

AWS Transfer Family realiza llamadas AWS Secrets Manager en nombre de los clientes de AS2 que utilizan la autenticación básica. Además, Secrets Manager hace llamadas a AWS KMS.

nota

Estas cuotas no son específicas del uso que hagas de los secretos para Transfer Family: se comparten entre todos tus servicios Cuenta de AWS.

En el caso de Secrets ManagerGetSecretValue, la cuota que se aplica es la tasa combinada de solicitudes DescribeSecret y GetSecretValue API, tal y como se describe en AWS Secrets Manager las cuotas.

Secrets Manager GetSecretValue
Name Valor Description (Descripción)
Tasa combinada de solicitudes DescribeSecret y GetSecretValue de API Cada región admitida: 10 000 por segundo El máximo de transacciones por segundo para las operaciones de GetSecretValue API DescribeSecret y las operaciones de API combinadas.

Para AWS KMS ello, se aplican las siguientes cuotasDecrypt. Para obtener más información, consulta Solicitar cuotas para cada operación de la AWS KMS API

AWS KMS Decrypt
Nombre de la cuota Límite predeterminado (solicitudes por segundo)

Cuota de tasas de solicitud de operaciones criptográficas (simétricas)

Estas cuotas compartidas varían según el tipo de AWS KMS clave utilizada en la solicitud Región de AWS y el tipo de clave. Cada cuota se calcula por separado.

  • 5500 (compartidas)

  • 10 000 (compartidas) en las siguientes regiones:

    • EE. UU. Este (Ohio), us-east-2

    • Asia Pacífico (Singapur), ap-southeast-1

    • Asia Pacífico (Sídney), ap-southeast-2

    • Asia Pacífico (Tokio), ap-northeast-1

    • Europa (Fráncfort), eu-central-1

    • Europa (Londres), eu-west-2

  • 50 000 (compartidas) en las siguientes Regiones:

    • EE.UU. Este (Norte de Virginia) (us-east-1)

    • EE.UU. Oeste (Oregón) (us-west-2)

    • Europa (Irlanda), eu-west-1

Cuotas de solicitudes del almacén de claves personalizado

nota

Esta cuota solo se aplica si se utiliza un almacén de claves externo.

Las cuotas de solicitudes del almacén de claves personalizado se calculan por separado para cada almacén de claves personalizado.

  • 1800 (compartidas) por cada almacén de AWS CloudHSM claves

  • 1800 (compartidas) para cada almacén de claves externo.

Limitaciones conocidas

  • Server-side No se admite el protocolo Keep-Alive de TCP. La conexión se agota después de 350 segundos de inactividad, a menos que el cliente envíe paquetes keep-alive.

  • Para que el servicio acepte un acuerdo activo y aparezca en los CloudWatch registros de Amazon, los mensajes deben contener encabezados AS2 válidos.

  • El servidor desde el que se reciben los mensajes AWS Transfer Family para el AS2 debe admitir el atributo de protección del algoritmo de sintaxis de mensajes criptográficos (CMS) para validar las firmas de los mensajes, tal como se define en el RFC 6211. Este atributo no es compatible con algunos productos anteriores de IBM Sterling.

  • Los identificadores de mensaje duplicados dan como resultado un mensaje de documento duplicado. processed/Warning

  • La longitud de la clave de los certificados AS2 debe ser de al menos 2048 bits y, como máximo, de 4096.

  • Al enviar mensajes AS2 o mDNS asíncronos al punto de conexión HTTPS de un socio comercial, los mensajes o mDNS deben utilizar un certificado SSL válido firmado por una autoridad de certificación (CA) de confianza pública. Self-signed Actualmente, los certificados solo se admiten para transferencias salientes.

  • El punto de conexión debe ser compatible con el protocolo TLS de la versión 1.2 y con un algoritmo criptográfico permitido por la política de seguridad (tal y como se describe en Políticas de seguridad para servidores AWS Transfer Family).

  • Actualmente, no se admiten varios archivos adjuntos ni la mensajería de intercambio de certificados (CEM) de la versión 1.2 de AS2.

  • Actualmente, la autenticación básica solo se admite para los mensajes salientes.

  • Puede adjuntar un flujo de trabajo de procesamiento de archivos a un servidor Transfer Family que utilice el protocolo AS2; sin embargo, los mensajes AS2 no ejecutan los flujos de trabajo adjuntos al servidor.

Características y funciones básicas de AS2

En las siguientes tablas, se enumeran las características y las capacidades disponibles para los recursos de Transfer Family que utilizan AS2.

Características de AS2

Transfer Family ofrece las siguientes características para AS2.

Característica Compatible con AWS Transfer Family
Certificación Drummond
AWS CloudFormation apoyo
CloudWatchMétricas de Amazon
SHA-2 algoritmos criptográficos
Support para Amazon S3
Compatibilidad con Amazon EFS No
Mensajes programados 1
AWS Transfer Family Flujos de trabajo administrados No
Mensajería de intercambio de certificados (CEM) No
TLS mutuo (mTLS) No
Support para certificados autofirmados

1. Mensajes programados salientes disponibles mediante AWS Lambda las funciones de programación de Amazon EventBridge

Capacidades de envío y recepción de AS2

La siguiente tabla proporciona una lista de las capacidades de envío y recepción de AWS Transfer Family AS2.

Funcionalidad Entrante: recepción con servidor Saliente: envío con conector
Transporte cifrado TLS (HTTPS)

1
Non-TLS Transporte (HTTP)

2
MDN síncrono
Compresión de mensajes
MDN asíncrono
Dirección IP estática
Traiga su propia dirección IP No
Varios archivos adjuntos No No
Autenticación básica No
Reinicio de AS2 No aplicable No
Fiabilidad de AS2 No No
Asunto personalizado por mensaje No aplicable No

1. Transporte cifrado TLS entrante disponible con Network Load Balancer (NLB) o Application Load Balancer (ALB)

2. El transporte saliente sin TLS solo está disponible cuando el cifrado está activado