View a markdown version of this page

AWS Transfer Family für AS2 - AWS Transfer Family
AS2-AnwendungsfälleAS2-Vorlagen CloudFormation

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS Transfer Family für AS2

Applicability Statement 2 (AS2) ist eine Spezifikation für die RFC-defined Übertragung von Dateien, die starke Mechanismen zum Schutz und zur Überprüfung von Nachrichten umfasst. Der Schutz einer AS2-Nutzlast während der Übertragung verwendet Cryptographic Message Syntax (CMS) mit Verschlüsselung und digitalen Signaturen, um Datenschutz und Peer-Authentifizierung zu gewährleisten. Eine signierte MDN-Antwortpayload (Message Disposition Notice) dient der Überprüfung (Unwiderlegbarkeit), dass eine Nachricht empfangen und erfolgreich entschlüsselt wurde.

Das AS2-Protokoll ist entscheidend für Workflows mit Compliance-Anforderungen, die darauf beruhen, dass Datenschutz- und Sicherheitsfunktionen in das Protokoll integriert sind. AWS Transfer Family AS2-Endgeräte sind Drummond-zertifiziert, sodass Kunden in Branchen wie Einzelhandel, Biowissenschaften, Fertigung, Finanzdienstleistungen und Versorgungsunternehmen sichere Transaktionen mit ihren Geschäftspartnern durchführen können.

Wenn Sie AS2 mit Transfer Family verwenden, sind die Transaktionsdaten nativ zugänglich für: AWS

  • Verarbeitung, Analyse und maschinelles Lernen

  • Integration mit ERP-Systemen (Enterprise Resource Planning)

  • Integration mit Systemen für das Kundenbeziehungsmanagement (CRM)

Um Dateien mit einem Partner auszutauschen, der über einen AS2-enabled Server verfügt, müssen Sie:

  • Generieren Sie ein öffentlich-privates key pair für die Verschlüsselung

  • Generieren Sie ein öffentlich-privates key pair zum Signieren

  • Tauschen Sie die öffentlichen Schlüssel mit Ihrem Partner aus

Wichtig

HTTPS AS2-Serverendpunkte werden derzeit nicht unterstützt. Sie sind für die TLS-Terminierung verantwortlich.

Transfer Family bietet einen Workshop, an dem Sie teilnehmen können, in dem Sie einen Transfer Family-Endpunkt mit aktiviertem AS2 und einen Transfer Family AS2-Connector konfigurieren können. Die Details zu diesem Workshop finden Sie hier.

Eine schrittweise Anleitung zur Konfiguration von AS2 in Transfer Family finden Sie im Folgenden:

  1. AS2-Zertifikate importieren

  2. Erstellen Sie AS2-Profile

  3. Erstellen Sie einen AS2-Server

  4. Erstellen Sie eine AS2-Vereinbarung

  5. Konfigurieren Sie AS2-Konnektoren

Ein vollständiges Beispiel finden Sie unterEinrichtung einer AS2-Konfiguration.

Anmerkung

Um die Unterstützung für AS2-Terraform-Vorlagen anzuzeigen, fügen Sie der Funktionsanfrage für Terraform-Vorlagen der Transfer Family eine Reaktion mit dem Daumen hoch (👍) hinzu. Sie können auch einen Kommentar hinzufügen, der Ihren Anwendungsfall beschreibt.

AS2-Anwendungsfälle

Wenn Sie ein AWS Transfer Family Kunde sind, der Dateien mit einem Partner austauschen möchte, der über einen AS2-enabled Server verfügt, besteht der komplexeste Teil der Einrichtung darin, ein öffentlich-privates key pair für die Verschlüsselung und ein weiteres für das Signieren und Austauschen der öffentlichen Schlüssel mit dem Partner zu generieren.

Diagramm, das die Verwendung von öffentlich-privaten Schlüsselpaaren für Verschlüsselung und Signierung zeigt.

Ziehen Sie die folgenden Varianten für die Verwendung AWS Transfer Family mit AS2 in Betracht.

Anmerkung

Handelspartner ist der Partner, der mit diesem Partnerprofil verknüpft ist.

Bei allen Erwähnungen von MDN in der folgenden Tabelle wird von signierten mDNs ausgegangen.

AS2-Anwendungsfälle

Inbound-only Anwendungsfälle

  • Übertragen Sie verschlüsselte AS2-Nachrichten von einem Handelspartner auf einen Transfer Family Family-Server.

    Führen Sie in diesem Fall folgende Schritte aus:

    1. Erstellen Sie Profile für Ihren Handelspartner und sich selbst.

    2. Erstellen Sie einen Transfer Family Family-Server, der das AS2-Protokoll verwendet.

    3. Erstellen Sie eine Vereinbarung und fügen Sie sie Ihrem Server hinzu.

    4. Importieren Sie ein Zertifikat mit einem privaten Schlüssel und fügen Sie es Ihrem Profil hinzu. Importieren Sie dann den öffentlichen Schlüssel zur Verschlüsselung in Ihr Partnerprofil.

    5. Nachdem Sie diese Elemente erhalten haben, senden Sie den öffentlichen Schlüssel für Ihr Zertifikat an Ihren Handelspartner.

    Jetzt kann Ihr Partner Ihnen verschlüsselte Nachrichten senden und Sie können sie entschlüsseln und in Ihrem Amazon S3 S3-Bucket speichern.

  • Übertragen Sie verschlüsselte AS2-Nachrichten von einem Handelspartner auf einen Transfer Family Family-Server und fügen Sie die Signatur hinzu.

    In diesem Szenario führen Sie immer noch nur eingehende Übertragungen durch, aber jetzt möchten Sie, dass Ihr Partner die von ihm gesendeten Nachrichten signiert. Importieren Sie in diesem Fall den öffentlichen Signaturschlüssel des Handelspartners (als Signaturzertifikat, das dem Profil Ihres Partners hinzugefügt wurde).

  • Übertragen Sie verschlüsselte AS2-Nachrichten von einem Handelspartner auf einen Transfer Family Family-Server und fügen Sie das Signieren und Senden einer MDN-Antwort hinzu.

    In diesem Szenario führen Sie immer noch nur eingehende Übertragungen durch, aber Ihr Handelspartner möchte jetzt nicht nur signierte Payloads empfangen, sondern auch eine signierte MDN-Antwort erhalten.

    1. Importieren Sie Ihre öffentlichen und privaten Signaturschlüssel (als Signaturzertifikat in Ihr Profil).

    2. Senden Sie den öffentlichen Signaturschlüssel an Ihren Handelspartner.

Outbound-only Anwendungsfälle

  • Übertragen Sie verschlüsselte AS2-Nachrichten von einem Transfer Family Family-Server an einen Handelspartner.

    Dieser Fall ähnelt dem Anwendungsfall für eingehende Übertragungen, mit dem Unterschied, dass Sie, anstatt Ihrem AS2-Server eine Vereinbarung hinzuzufügen, einen Connector erstellen. In diesem Fall importieren Sie den öffentlichen Schlüssel Ihres Handelspartners in sein Profil.

  • Übertragen Sie verschlüsselte AS2-Nachrichten von einem Transfer Family Family-Server an einen Handelspartner und fügen Sie die Signatur hinzu.

    Sie führen immer noch nur ausgehende Übertragungen durch, aber jetzt möchte Ihr Handelspartner, dass Sie die Nachricht, die Sie an ihn senden, signieren.

    1. Importieren Sie Ihren privaten Signaturschlüssel (als Signaturzertifikat, das Ihrem Profil hinzugefügt wurde).

    2. Senden Sie Ihrem Handelspartner Ihren öffentlichen Schlüssel.

  • Übertragen Sie verschlüsselte AS2-Nachrichten von einem Transfer Family Family-Server an einen Handelspartner, fügen Sie die Signatur hinzu und senden Sie eine MDN-Antwort.

    Sie führen immer noch nur ausgehende Übertragungen durch, aber jetzt möchten Sie nicht nur signierte Payloads senden, sondern auch eine signierte MDN-Antwort von Ihrem Handelspartner erhalten.

    1. Ihr Handelspartner sendet Ihnen seinen öffentlichen Signaturschlüssel.

    2. Importieren Sie den öffentlichen Schlüssel Ihres Handelspartners (als Signaturzertifikat, das Ihrem Partnerprofil hinzugefügt wurde).

Anwendungsfälle für eingehenden und ausgehenden Datenverkehr

  • Übertragen Sie verschlüsselte AS2-Nachrichten in beide Richtungen zwischen einem Transfer Family Family-Server und einem Handelspartner.

    Führen Sie in diesem Fall folgende Schritte aus:

    1. Erstellen Sie Profile für Ihren Handelspartner und sich selbst.

    2. Erstellen Sie einen Transfer Family Family-Server, der das AS2-Protokoll verwendet.

    3. Erstellen Sie eine Vereinbarung und fügen Sie sie Ihrem Server hinzu.

    4. Erstellen Sie einen Konnektor.

    5. Importieren Sie ein Zertifikat mit einem privaten Schlüssel und fügen Sie es Ihrem Profil hinzu. Importieren Sie dann den öffentlichen Schlüssel zur Verschlüsselung in Ihr Partnerprofil.

    6. Erhalten Sie einen öffentlichen Schlüssel von Ihrem Handelspartner und fügen Sie ihn zur Verschlüsselung zu seinem Profil hinzu.

    7. Nachdem Sie diese Artikel erhalten haben, senden Sie den öffentlichen Schlüssel für Ihr Zertifikat an Ihren Handelspartner.

    Jetzt können Sie und Ihr Handelspartner verschlüsselte Nachrichten austauschen, und Sie können sie beide entschlüsseln. Sie können die Nachrichten, die Sie erhalten, in Ihrem Amazon S3 S3-Bucket speichern, und Ihr Partner kann die Nachrichten, die Sie an ihn senden, entschlüsseln und speichern.

  • Übertragen Sie verschlüsselte AS2-Nachrichten in beide Richtungen zwischen einem Transfer Family Family-Server und einem Handelspartner und fügen Sie die Signatur hinzu.

    Jetzt möchten Sie und Ihr Partner signierte Nachrichten.

    1. Importieren Sie Ihren privaten Signaturschlüssel (als Signaturzertifikat, das Ihrem Profil hinzugefügt wurde).

    2. Senden Sie Ihrem Handelspartner Ihren öffentlichen Schlüssel.

    3. Importieren Sie den öffentlichen Signaturschlüssel Ihres Handelspartners und fügen Sie ihn seinem Profil hinzu.

  • Übertragen Sie verschlüsselte AS2-Nachrichten in beide Richtungen zwischen einem Transfer Family Family-Server und einem Handelspartner, fügen Sie die Signatur hinzu und senden Sie eine MDN-Antwort.

    Jetzt möchten Sie signierte Payloads austauschen, und sowohl Sie als auch Ihr Handelspartner wünschen MDN-Antworten.

    1. Ihr Handelspartner sendet Ihnen seinen öffentlichen Signaturschlüssel.

    2. Importieren Sie den öffentlichen Schlüssel Ihres Handelspartners (als Signaturzertifikat in Ihr Partnerprofil).

    3. Senden Sie Ihren öffentlichen Schlüssel an Ihren Handelspartner.

AS2-Vorlagen CloudFormation

Dieses Thema enthält Informationen zu AWS CloudFormation Vorlagen, mit denen Sie schnell AS2-Server und -Konfigurationen bereitstellen können. AWS Transfer Family Diese Vorlagen automatisieren den Einrichtungsprozess und helfen Ihnen bei der Implementierung von Best Practices für AS2-Dateiübertragungen.

AS2-Vorlagen anpassen

Sie können die bereitgestellten Vorlagen an Ihre spezifischen Anforderungen anpassen:

  1. Laden Sie die Vorlage von der S3-URL herunter.

  2. Ändern Sie den YAML-Code, um Konfigurationen wie die folgenden anzupassen:

    • Sicherheitseinstellungen und Zertifikatkonfigurationen

    • Netzwerkarchitektur und VPC-Einstellungen

    • Speicheroptionen und Dateiverwaltung

    • Einstellungen für Überwachung und Benachrichtigung

  3. Laden Sie Ihre geänderte Vorlage in Ihren eigenen S3-Bucket hoch.

  4. Stellen Sie die benutzerdefinierte Vorlage mithilfe der CloudFormation Konsole bereit oder AWS CLI.

Wichtig

Achten Sie beim Anpassen von Vorlagen darauf, dass Sie die Abhängigkeiten zwischen den Ressourcen beibehalten und die bewährten Sicherheitsmethoden befolgen.

Testen Sie Ihre AS2-Bereitstellung

Nachdem Sie einen AS2-Server mithilfe einer Vorlage bereitgestellt haben, können Sie die Konfiguration testen:

  1. In den CloudFormation Stack-Ausgaben finden Sie Beispielbefehle und Endpunktinformationen.

  2. Verwenden Sie den AWS CLI , um eine Testdatei zu senden:

    aws s3api put-object --bucket your-bucket-name --key test.txt --body test.txt
aws transfer start-file-transfer --connector-id your-connector-id --send-file-paths /your-bucket-name/test.txt

  3. Überprüfen Sie die Dateizustellung im Ziel-S3-Bucket.

  4. Überprüfen Sie die CloudWatch Protokolle auf erfolgreiche Verarbeitung und MDN-Antworten.

Für umfassendere Tests sollten Sie die Verwendung von AS2-Clients von Drittanbietern in Betracht ziehen, um Dateien an Ihren Transfer Family AS2-Server zu senden.

Bewährte Methoden für die Bereitstellung von AS2-Vorlagen

Beachten Sie bei der Verwendung von CloudFormation AS2-Vorlagen die folgenden bewährten Methoden:

Sicherheit

Verwenden Sie sichere Zertifikate und wechseln Sie diese regelmäßig ab.

Implementieren Sie IAM-Richtlinien mit den geringsten Rechten.

Beschränken Sie den Netzwerkzugriff mithilfe von Sicherheitsgruppen.

Zuverlässigkeit

Stellen Sie die Lösung in mehreren Availability Zones bereit.

Implementieren Sie Überwachung und Warnmeldungen für fehlgeschlagene Übertragungen.

Richten Sie automatische Wiederholungsversuche für fehlgeschlagene Übertragungen ein.

Leistung

Wählen Sie die geeigneten Instance-Typen für Ihr Übertragungsvolumen aus.

Implementieren Sie S3-Lebenszyklusrichtlinien für effizientes Dateimanagement.

Überwachen und optimieren Sie Netzwerkkonfigurationen.

Kostenoptimierung

Verwenden Sie die auto-scaling für variable Workloads.

Implementieren Sie S3-Speicherklassen für ältere Dateien.

Überwachen und passen Sie die Ressourcen an die tatsächliche Nutzung an.