Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Configuration d'AS2
Pour créer un AS2-enabled serveur, vous devez également spécifier les composants suivants :
-
Accords — Les accords bilatéraux entre partenaires commerciaux, ou partenariats, définissent la relation entre les deux parties qui échangent des messages (fichiers). Pour définir un accord, Transfer Family combine les informations du serveur, du profil local, du profil du partenaire et du certificat. Transfer Family AS2-inbound traite les accords d'utilisation.
-
Certificats — Les certificats à clé publique (X.509) sont utilisés dans les communications AS2 pour le chiffrement et la vérification des messages. Les certificats sont également utilisés pour les points de terminaison des connecteurs.
-
Profils locaux et profils de partenaires — Un profil local définit l'organisation ou le « groupe » local (AS2-enabledTransfer Family server). De même, un profil de partenaire définit l'organisation partenaire distante, externe à Transfer Family.
Bien que cela ne soit pas obligatoire pour tous les AS2-enabled serveurs, vous avez besoin d'un connecteur pour les transferts sortants. Un connecteur capture les paramètres d'une connexion sortante. Le connecteur est nécessaire pour envoyer des fichiers à un serveur externe non AWS serveur du client.
Le schéma suivant montre la relation entre les objets AS2 impliqués dans les processus entrants et sortants.
Pour un exemple de configuration AS2 de bout en bout, voir. Configuration d'une configuration AS2
Configurations AS2
Cette rubrique décrit les configurations, fonctionnalités et capacités prises en charge pour les transferts utilisant le protocole Applicability Statement 2 (AS2), y compris les chiffrements et les résumés acceptés.
Signature, chiffrement, compression, MDN
Pour les transferts entrants et sortants, les éléments suivants sont obligatoires ou facultatifs :
-
Chiffrement — Obligatoire (pour le transport HTTP, qui est la seule méthode de transport actuellement prise en charge). Les messages non chiffrés ne sont acceptés que s'ils sont transférés par un TLS-terminating proxy tel qu'un Application Load Balancer (ALB) et que
X-Forwarded-Proto: httpsl'en-tête est présent. -
Signature — Facultatif
-
Compression — Facultative (le seul algorithme de compression actuellement pris en charge est ZLIB)
-
Avis de disposition des messages (MDN) — Facultatif
Chiffrements
Les chiffrements suivants sont pris en charge pour les transferts entrants et sortants :
-
AES128_CBC
-
AES192_CBC
-
AES256_CBC
-
3DES (pour la rétrocompatibilité uniquement)
Résumés
Les résumés suivants sont pris en charge :
-
Signature entrante et MDN — SHA1, SHA256, SHA384, SHA512
-
Signature sortante et MDN — SHA1, SHA256, SHA384, SHA512
MDN
Pour les réponses MDN, certains types sont pris en charge, comme suit :
-
Transferts entrants : synchrones et asynchrones
-
Transferts sortants : synchrones et asynchrones
-
Protocole de transfert de courrier simple (SMTP) (e-mail MDN) — Non pris en charge
Transports
-
Transferts entrants : le protocole HTTP est le seul transport actuellement pris en charge, et vous devez le spécifier explicitement.
Note
Si vous devez utiliser le protocole HTTPS pour les transferts entrants, vous pouvez mettre fin au protocole TLS sur un Application Load Balancer ou un Network Load Balancer. Ceci est décrit sous Recevoir des messages AS2 via HTTPS.
-
Transferts sortants : si vous fournissez une URL HTTP, vous devez également spécifier un algorithme de chiffrement. Si vous fournissez une URL HTTPS, vous avez la possibilité de spécifier NONE pour votre algorithme de chiffrement.
Quotas et limites AS2
Cette section traite des quotas et des limites pour AS2.
Quotas AS2
Les quotas suivants sont en place pour les transferts de fichiers AS2. Pour demander l'augmentation d'un quota ajustable, consultez les Service AWS quotas dans le Références générales AWS.
| Nom | Par défaut | Ajustable |
|---|---|---|
| Nombre maximum de fichiers par demande sortante | 10 | Non |
| Nombre maximum de demandes sortantes par seconde | 100 | Non |
| Nombre maximum de demandes entrantes par seconde | 100 | Non |
| Bande passante sortante maximale par compte (les requêtes SFTP et AS2 sortantes contribuent toutes deux à cette valeur) | 50 Mo par seconde | Non |
Quotas pour le traitement des secrets
AWS Transfer Family passe des appels au AWS Secrets Manager nom des clients AS2 qui utilisent l'authentification de base. Secrets Manager passe également des appels à AWS KMS.
Note
Ces quotas ne sont pas spécifiques à votre utilisation des secrets pour Transfer Family : ils sont partagés entre tous les services de votre compte Compte AWS.
Pour Secrets ManagerGetSecretValue, le quota applicable est le taux combiné de demandes d' GetSecretValue API DescribeSecret et le taux, comme décrit dans la section AWS Secrets Manager
Quotas.
| Nom | Value | Description |
|---|---|---|
| Taux combiné de demandes d' GetSecretValue API DescribeSecret et de demandes d'API | Chaque Région prise en charge : 10 000 par seconde | Le nombre maximum de transactions par seconde pour DescribeSecret les opérations GetSecretValue d'API combinées. |
Pour AWS KMS, les quotas suivants s'appliquent àDecrypt. Pour plus de détails, voir Quotas de demande pour chaque opération AWS KMS d'API
| Nom du quota | Valeur par défaut (requêtes par seconde) |
|---|---|
|
Taux de demandes d'opérations cryptographiques (symétriques) |
Ces quotas partagés varient en fonction du type de AWS KMS clé utilisé dans la demande. Région AWS Chaque quota est calculé séparément.
|
|
Quotas de demandes de magasin de clés personnalisé NoteCe quota ne s'applique que si vous utilisez un magasin de clés externe. |
Les quotas de demandes de stockage de clés personnalisés sont calculés séparément pour chaque magasin de clés personnalisé.
|
Limitations connues
-
Server-side Le protocole TCP keep-alive n'est pas pris en charge. La connexion expire après 350 secondes d'inactivité, sauf si le client envoie des paquets de maintien en vie.
-
Pour qu'un accord actif soit accepté par le service et apparaisse dans les CloudWatch journaux Amazon, les messages doivent contenir des en-têtes AS2 valides.
-
Le serveur qui reçoit les messages de AWS Transfer Family for AS2 doit prendre en charge l'attribut de protection de l'algorithme CMS (Cryptographic Message Syntax) pour valider les signatures des messages, tel que défini dans la RFC 6211.
Cet attribut n'est pas pris en charge dans certains anciens produits IBM Sterling. -
Les identifiants de message dupliqués donnent lieu à un message
processed/Warning: document dupliqué. -
La longueur de clé pour les certificats AS2 doit être d'au moins 2 048 bits et d'au plus 4 096 bits.
-
Lorsque vous envoyez des messages AS2 ou des mDNS asynchrones au point de terminaison HTTPS d'un partenaire commercial, les messages ou mDNS doivent utiliser un certificat SSL valide signé par une autorité de certification (CA) reconnue publiquement. Self-signed les certificats sont actuellement pris en charge uniquement pour les transferts sortants.
-
Le point de terminaison doit prendre en charge le protocole TLS version 1.2 et un algorithme cryptographique autorisé par la politique de sécurité (comme décrit dansPolitiques de sécurité pour les AWS Transfer Family serveurs).
-
Les pièces jointes multiples et les messages d'échange de certificats (CEM) de la version 1.2 d'AS2 ne sont actuellement pas pris en charge.
-
L'authentification de base est actuellement prise en charge uniquement pour les messages sortants.
-
Vous pouvez associer un flux de traitement de fichiers à un serveur Transfer Family qui utilise le protocole AS2. Toutefois, les messages AS2 n'exécutent pas les flux de travail attachés au serveur.
Caractéristiques et capacités de l'AS2
Les tableaux suivants répertorient les fonctionnalités et capacités disponibles pour les ressources Transfer Family qui utilisent AS2.
Caractéristiques de l'AS2
Transfer Family propose les fonctionnalités suivantes pour AS2.
| Fonctionnalité | Soutenu par AWS Transfer Family |
|---|---|
| Certification Drummond |
Oui |
| AWS CloudFormation soutien | Oui |
| CloudWatchMétriques Amazon | Oui |
| SHA-2 algorithmes cryptographiques | Oui |
| Support pour Amazon S3 | Oui |
| Prise en charge d'Amazon EFS | Non |
| Messages planifiés | Oui 1 |
| AWS Transfer Family Flux de travail gérés | Non |
| Messagerie d'échange de certificats (CEM) | Non |
| TLS mutuel (mTLS) | Non |
| Support pour les certificats auto-signés | Oui |
1. Messages planifiés sortants disponibles via les AWS Lambda fonctions de planification à l'aide d'Amazon EventBridge
Capacités d'envoi et de réception AS2
Le tableau suivant fournit une liste des fonctionnalités d'envoi et de réception AWS Transfer Family AS2.
| Capacité | Entrant : réception avec le serveur | Sortant : envoi avec connecteur |
|---|---|---|
| Transport crypté TLS (HTTPS) | Oui 1 |
Oui |
| Non-TLS Transport (HTTP) | Oui |
Oui 2 |
| MDN synchrone | Oui | Oui |
| Compression des messages | Oui | Oui |
| MDN asynchrone | Oui | Oui |
| Adresse IP statique | Oui | Oui |
| Apportez votre propre adresse IP | Oui | Non |
| Pièces jointes multiples | Non | Non |
| Authentification de base | Non | Oui |
| Redémarrage AS2 | Non applicable | Non |
| Fiabilité AS2 | Non | Non |
| Objet personnalisé par message | Non applicable | Non |
1. Transport crypté TLS entrant disponible avec Network Load Balancer (NLB) ou Application Load Balancer (ALB)
2. Transport sortant non TLS disponible uniquement lorsque le chiffrement est activé
