Configurações AS2 Cotas AS2 Recursos e capacidades AS2

Configurar AS2

Para criar um AS2-enabled servidor, você também deve especificar os seguintes componentes:

Acordos — Acordos bilaterais de parceiros comerciais, ou parcerias, definem o relacionamento entre as duas partes que estão trocando mensagens (arquivos). Para definir um contrato, o Transfer Family combina um servidor, um perfil local, um perfil de parceiro e informações do certificado. Os AS2-inbound processos da Transfer Family usam acordos.
Certificados — Os certificados de chave pública (X.509) são usados na comunicação AS2 para criptografia e verificação de mensagens. Os certificados também são usados para terminais de conectores.
Perfis locais e perfis de parceiros — Um perfil local define a organização ou “parte” local (servidor AS2-enabled Transfer Family). Da mesma forma, um perfil de parceiro define a organização parceira remota, externa à Transfer Family.

Embora não seja necessário para todos os AS2-enabled servidores, para transferências externas, você precisa de um conector. Um conector captura os parâmetros para uma conexão de saída. O conector é necessário para enviar arquivos para o AWS servidor externo do cliente.

O diagrama a seguir mostra a relação entre os objetos AS2 envolvidos nos processos de entrada e saída.

Diagrama que mostra a relação entre os objetos AS2 envolvidos nos processos de entrada e saída.

Para um exemplo completo de configuração AS2, consulte Configurando uma configuração AS2.

Configurações AS2

Este tópico descreve as configurações, os atributos e as capacidades suportadas para transferências que usam o protocolo Applicability Statement 2 (AS2), incluindo as cifras e resumos aceitos.

Assinatura, criptografia, compressão, MDN

Para transferências de entrada e de saída, os seguintes itens são obrigatórios ou opcionais:

Criptografia – Obrigatório (para transporte HTTP, que é o único método de transporte suportado atualmente). Mensagens não criptografadas só são aceitas se forem encaminhadas por um TLS-terminating proxy, como um Application Load Balancer (ALB), e X-Forwarded-Proto: https o cabeçalho estiver presente.
Assinatura — Opcional
Compressão — Opcional (o único algoritmo de compactação atualmente suportado é ZLIB)
Aviso de disposição de mensagens (MDN) — Opcional

Cifras

As cifras a seguir são suportadas para transferências de entrada e saída:

AES128_CBC
AES192_CBC
AES256_CBC
3DES (somente para compatibilidade com versões anteriores)

Resumos

Os seguintes resumos são suportados:

Assinatura de entrada e MDN — SHA1, SHA256, SHA384, SHA512
Assinatura de saída e MDN — SHA1, SHA256, SHA384, SHA512

MDN

Para respostas MDN, determinados tipos são suportados, como segue:

Transferências de entrada — síncronas e assíncronas
Transferências de saída — síncronas e assíncronas
Protocolo de transferência de correio simples (SMTP) (e-mail MDN) – Não suportado

Transportes

Transferências de entrada — HTTP é o único transporte atualmente suportado e você deve especificá-lo explicitamente.

nota
Se precisar usar HTTPS para transferências de entrada, você poderá encerrar o TLS em um Application Load Balancer ou Network Load Balancer. Isso está descrito em Receba mensagens AS2 por HTTPS.
Transferências de saída — Se você fornecer uma URL HTTP, também deverá especificar um algoritmo de criptografia. Se você fornecer um URL HTTPS, terá a opção de especificar NONE para seu algoritmo de criptografia.

Cotas e limitações AS2

Esta seção discute cotas e limitações do AS2

Tópicos

Cotas AS2
Cotas para lidar com segredos
Limitações conhecidas

Cotas AS2

As cotas a seguir estão em vigor para transferências de arquivos AS2. Para solicitar um aumento para uma cota ajustável, consulte as AWS service (Serviço da AWS) cotas no Referência geral da AWS.

Cotas AS2
Nome	Padrão	Ajustável
Número máximo de arquivos por solicitação de saída	10	Não
Número máximo de solicitações de saída por segundo	100	Não
Número máximo de solicitações de entrada por segundo	100	Não
Largura de banda máxima de saída por conta (as solicitações SFTP e AS2 de saída contribuem para esse valor)	50 MB por segundo	Não

Cotas para lidar com segredos

AWS Transfer Family faz chamadas AWS Secrets Manager em nome de clientes AS2 que estão usando a autenticação básica. Além disso, o Secrets Manager faz chamadas para AWS KMS.

nota

Essas cotas não são específicas para o uso de segredos para Transfer Family: elas são compartilhadas entre todos os serviços do seu Conta da AWS.

Para o Secrets ManagerGetSecretValue, a cota aplicável é a taxa combinada de solicitações DescribeSecret e de GetSecretValue API, conforme descrito em AWS Secrets Manager cotas.

Secrets Manager `GetSecretValue`
Nome	Valor	Description
Taxa combinada de solicitações DescribeSecret e de GetSecretValue API	Cada região compatível: 10.000 por segundo	O máximo de transações por segundo para operações `DescribeSecret` de `GetSecretValue` API combinadas.

Para AWS KMS, as seguintes cotas se aplicam. Decrypt Para obter detalhes, consulte Solicitar cotas para cada operação de AWS KMS API

AWS KMS `Decrypt`
Nome da cota	Valor padrão (solicitações por segundo)
Taxa de solicitação de operações criptográficas (simétricas)	Essas cotas compartilhadas variam de acordo com Região da AWS e com o tipo de AWS KMS chave usada na solicitação. Cada cota é calculada separadamente. 5.500 (compartilhado) 10.000 (compartilhado) nas seguintes regiões: Leste dos EUA (Ohio), us-east-2 Ásia-Pacífico (Singapura), ap-southeast-1 Ásia-Pacífico (Sydney), ap-southeast-2 Ásia-Pacífico (Tóquio), ap-northeast-1 Europa (Frankfurt), eu-central-1 Europa (Londres), eu-west-2 50.000 (compartilhadas) nas seguintes regiões: Leste dos EUA (Norte da Virgínia), us-east-1 Oeste dos EUA (Oregon), us-west-2 Europa (Irlanda), eu-west-1
Cotas de solicitação de armazenamento de chaves personalizadas nota Esta cota só se aplica se você estiver usando um repositório de chaves externo.	As cotas de solicitação de armazenamento de chaves personalizadas são calculadas separadamente para cada armazenamento de chaves personalizadas. 1.800 (compartilhados) para cada armazenamento de AWS CloudHSM chaves 1.800 (compartilhado) para cada repositório de chaves externo

Limitações conhecidas

Server-side O TCP keep-alive não é suportado. A conexão expira após 350 segundos de inatividade, a menos que o cliente envie pacotes keep-alive.
Para que um contrato ativo seja aceito pelo serviço e apareça nos CloudWatch registros da Amazon, as mensagens devem conter cabeçalhos AS2 válidos.
O servidor que está recebendo mensagens do AWS Transfer Family AS2 deve suportar o atributo de proteção do algoritmo Cryptographic Message Syntax (CMS) para validar assinaturas de mensagens, conforme definido na RFC 6211. Este atributo não é suportado em alguns produtos IBM Sterling mais antigos.
IDs de mensagem duplicados resultam em uma processed/Warning: mensagem de documento duplicado.
O comprimento da chave para certificados AS2 deve ser de pelo menos 2.048 bits e no máximo 4.096.
Ao enviar mensagens AS2 ou mDNS assíncrono para o endpoint HTTPS de um parceiro comercial, as mensagens ou mDNS devem usar um certificado SSL válido assinado por uma autoridade de certificação (CA) publicamente confiável. Self-signed atualmente, os certificados são suportados somente para transferências externas.
O endpoint deve suportar o protocolo TLS versão 1.2 e um algoritmo criptográfico permitido pela política de segurança (conforme descrito em Políticas de segurança para AWS Transfer Family servidores).
Vários anexos e mensagens de troca de certificados (CEM) do AS2 versão 1.2 não são suportados atualmente.
Atualmente, a autenticação básica é suportada apenas para mensagens de saída.
Você pode anexar um fluxo de trabalho de processamento de arquivos a um servidor Transfer Family que usa o protocolo AS2: no entanto, as mensagens AS2 não executam fluxos de trabalho conectados ao servidor.

Recursos e capacidades AS2

As tabelas a seguir listam os recursos e capacidades disponíveis para recursos do Transfer Family que usam AS2.

Recursos AS2

O Transfer Family oferece os seguintes recursos para AS2.

Recurso	Apoiado por AWS Transfer Family
Certificação Drummond	Sim
AWS CloudFormation apoio	Sim
CloudWatchMétricas da Amazon	Sim
SHA-2 algoritmos criptográficos	Sim
Support para Amazon S3	Sim
Suporte para o Amazon EFS	Não
Mensagens agendadas	Sim ¹
AWS Transfer Family Fluxos de trabalho gerenciados	Não
Mensagens de troca de certificados (CEM)	Não
TLS mútua (mTLS)	Não
Support para certificados autoassinados	Sim

1. Mensagens agendadas de saída disponíveis por meio de AWS Lambda funções de agendamento usando a Amazon EventBridge

Capacidades de envio e recebimento AS2

A tabela a seguir fornece uma lista dos recursos de envio e recebimento do AWS Transfer Family AS2.

Recurso	Entrada: recebimento com servidor	Saída: envio com conector
Transporte criptografado TLS (HTTPS)	Sim ¹	Sim
Non-TLS Transporte (HTTP)	Sim	Sim ²
MDN síncrono	Sim	Sim
Compressão de mensagens	Sim	Sim
MDN assíncrono	Sim	Sim
Endereço IP estático	Sim	Sim
Traga seu próprio endereço IP	Sim	Não
Vários anexos de arquivo	Não	Não
Autenticação básica	Não	Sim
Reinício do AS2	Não aplicável	Não
Confiabilidade AS2	Não	Não
Assunto personalizado por mensagem	Não aplicável	Não

1. Transporte criptografado TLS de entrada disponível com Network Load Balancer (NLB) ou Application Load Balancer (ALB)

2. Transporte não TLS de saída disponível somente quando a criptografia está habilitada

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Transfer Family para AS2

Gerenciar certificados AS2