AS2配置和限制 - AWS Transfer Family
AS2支持的配置AS2配额和限制

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AS2配置和限制

本主题介绍使用适用性声明 2 (AS2) 协议的传输支持的配置、特性和功能,包括接受的密码和摘要。本节还描述了AS2转账的限制和已知问题。

AS2支持的配置

签名、加密、压缩、MDN

对于入站和出站传输,以下项目为必需或可选项目:

  • 加密-必需(用于HTTP传输,这是目前唯一支持的传输方法)。只有当未加密的消息由TLS终止代理(例如 Application Load Balancer (ALB))转发并且X-Forwarded-Proto: https标头存在时,才会被接受。

  • 签名 - 可选

  • 压缩-可选(目前唯一支持的压缩算法是ZLIB)

  • 邮件处置通知 (MDN)-可选

密码

入站和出站传输均支持以下密码:

  • AES128_CBC

  • AES192_CBC

  • AES256_CBC

  • 3DES(仅用于向后兼容)

摘要

支持以下摘要:

  • 入站签名和 MDN — SHA1、SHA256、SHA384、SHA512

  • 出站签名和 MDN — SHA1、SHA256、SHA384、SHA512

MDN

对于MDN响应,支持某些类型,如下所示:

  • 入站传输 - 同步和异步

  • 出站传输 - 仅限同步

  • 简单邮件传输协议 (SMTP)(电子邮件MDN)-不支持

Transports

  • 入站传输 — HTTP 是目前唯一支持的传输方式,您必须明确指定。

    注意

    如果您需要使用入站传输,则可以在 A HTTPS pplicati TLS on Load Balancer 或 Network Load Balancer 上终止。通过接收AS2消息 HTTPS中对此进行了描述。

  • 出站传输-如果您提供 HTTPURL,则还必须指定加密算法。如果您提供 HTTPSURL,则可以选择NONE为加密算法指定。

AS2配额和限制

本节讨论以下各项的配额和限制 AS2

AS2配额

AS2文件传输有以下配额。要申请增加可调整的限额,请参阅 AWS 一般参考 中的 AWS 服务 限额

AS2配额
名称 默认值 可调整
每台服务器的入站AS2请求数 每秒 25 个
每台服务器正在AS2处理的入站请求 100
每个文件传输功能请求的最大文件数 10
每个连接器正在AS2处理的出站请求 100
最大文件大小(压缩或未压缩) 50 MiB
不活动超时 350 秒
每个账户的最大合作伙伴配置文件数 1000(每个合作伙伴配置文件最多 10 个证书:不可调整)
每个账户的最大证书数 1000
每个账户每秒的最大文件传输请求数量 3
每个账户的最大连接器数量(两个AS2连接SFTP器和连接器都构成此计数) 100
每个账户的连接器的最大带宽(两个SFTP和AS2连接器都构成此值) 50 MBps
每台服务器的最大协议数 100

处理密钥的限额

AWS Transfer Family AWS Secrets Manager 代表使用基本身份验证的AS2客户拨打电话。此外,Secrets Manager 还会拨打电话 AWS KMS。

注意

这些限额并不特定于您对 Transfer Family 的密钥的使用:它们是在您 AWS 账户中所有服务之间共享的。

对于 Secrets ManagerGetSecretValue,适用的配额是 DescribeSecret 和 GetSecretValue API请求的合并速率,如AWS Secrets Manager 配额中所述。

Secrets Manager GetSecretValue
名称 描述
DescribeSecret 和 GetSecretValue API请求的合并速率 每个受支持的区域:每秒 1 万个 DescribeSecret 和 GetSecretValue API请求总和的每秒最大事务数。

对于 AWS KMS,以下配额适用Decrypt。有关详细信息,请参阅每个 AWS KMS API操作的请求配额

AWS KMS Decrypt
限额名称 默认值(每秒请求数)

加密操作(对称)请求速率

这些共享配额因请求中使用的 AWS KMS 密钥类型 AWS 区域 和密钥类型而异。每个配额都单独计算。

  • 5500(共享)

  • 在以下区域中为 10000(共享):

    • 美国东部(俄亥俄),us-east-2

    • 亚太地区(新加坡),ap-southeast-1

    • 亚太区域(悉尼),ap-southeast-2

    • 亚太区域(东京),ap-northeast-1

    • 欧洲(法兰克福),eu-central-1

    • 欧洲(伦敦),eu-west-2

  • 在以下区域中为 50000(共享):

    • 美国东部(弗吉尼亚北部),us-east-1

    • 美国西部(俄勒冈),us-west-2

    • 欧洲(爱尔兰),eu-west-1

自定义密钥存储请求限额

注意

此限额仅适用于使用外部密钥存储的情况。

自定义密钥存储请求限额是针对每个自定义密钥存储单独计算的。

  • 每个 AWS CloudHSM 密钥库有 1,800 个(共享)

  • 每个外部密钥存储 1800 次(共享)

已知限制条件

  • 不支持服务器TCP端保持活动状态。除非客户端发送保持活动状态的数据包,否则连接将在处于非活动状态 350 秒后超时。

  • 要使有效协议被服务接受并显示在 Amazon CloudWatch 日志中,消息必须包含有效的AS2标头。

  • 从 for 接收消息的服务器AS2必须支持 AWS Transfer Family 用于验证消息签名的加密消息语法 (CMS) 算法保护属性,如 6211 中所RFC定义。某些较旧的 IBM Sterling 产品不支持此属性。

  • 重复的消息IDs会导致已处理/警告:重复的文档消息。

  • AS2证书的密钥长度必须至少为 2048 位,最多为 4096 位。

  • MDNs向贸易伙伴的HTTPS终端节点发送AS2消息或异步消息时,消息或MDNs必须使用由公开信任的SSL证书颁发机构 (CA) 签署的有效证书。当前不支持自签名证书。

  • 端点必须支持 1.2 TLS 版协议和安全策略允许的加密算法(如中所述的安全策略 AWS Transfer Family)。

  • 目前不支持双向 TLS (mTLS)。

  • 目前不支持AS2版本 1.2 中的多个附件和证书交换消息 (CEM)。

  • 基本身份验证目前仅支持出站消息。