Konfiguration AS2 - AWS Transfer Family
AS2 KonfigurationenAS2 KontingenteAS2 Funktionen und Fähigkeiten

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfiguration AS2

Um einen AS2 -fähigen Server zu erstellen, müssen Sie außerdem die folgenden Komponenten angeben:

  • Abkommen — Bilaterale Handelspartnerabkommen oder Partnerschaften definieren die Beziehung zwischen den beiden Parteien, die Nachrichten (Dateien) austauschen. Um eine Vereinbarung zu definieren, kombiniert Transfer Family Server-, lokale Profil-, Partnerprofil- und Zertifikatsinformationen. Transfer Family AS2 — Inbound-Prozesse verwenden Vereinbarungen.

  • Zertifikate — Zertifikate mit öffentlichem Schlüssel (X.509) werden in der AS2 Kommunikation zur Verschlüsselung und Überprüfung von Nachrichten verwendet. Zertifikate werden auch für Connector-Endpunkte verwendet.

  • Lokale Profile und Partnerprofile — Ein lokales Profil definiert die lokale (AS2-aktivierte Transfer Family Family-Server) Organisation oder „Partei“. In ähnlicher Weise definiert ein Partnerprofil die Remote-Partnerorganisation außerhalb von Transfer Family.

Dies ist zwar nicht für alle Server mit AS2 aktivierter Option erforderlich, für ausgehende Übertragungen benötigen Sie jedoch einen Connector. Ein Connector erfasst die Parameter für eine ausgehende Verbindung. Der Connector ist erforderlich, um Dateien an einen externen Server eines Kunden zu senden, der kein AWS Server ist.

Das folgende Diagramm zeigt die Beziehung zwischen den AS2 Objekten, die an den eingehenden und ausgehenden Prozessen beteiligt sind.

Diagramm, das die Beziehung zwischen den AS2 Objekten zeigt, die an den eingehenden und ausgehenden Prozessen beteiligt sind.

Eine end-to-end AS2 Beispielkonfiguration finden Sie unter. Konfiguration einrichten AS2

AS2 Konfigurationen

In diesem Thema werden die unterstützten Konfigurationen, Funktionen und Funktionen für Übertragungen beschrieben, die das Applicability Statement 2 (AS2) -Protokoll verwenden, einschließlich der akzeptierten Chiffren und Digests.

Signierung, Verschlüsselung, Komprimierung, MDN

Sowohl für eingehende als auch für ausgehende Übertragungen sind die folgenden Elemente entweder erforderlich oder optional:

  • Verschlüsselung — Erforderlich (für den HTTP-Transport, die einzige Transportmethode, die derzeit unterstützt wird). Unverschlüsselte Nachrichten werden nur akzeptiert, wenn sie von einem TLS-terminierenden Proxy wie einem Application Load Balancer (ALB) weitergeleitet werden und der Header vorhanden ist. X-Forwarded-Proto: https

  • Signieren — optional

  • Komprimierung — Optional (der einzige derzeit unterstützte Komprimierungsalgorithmus ist ZLIB)

  • Hinweis zur Disposition von Nachrichten (MDN) — Optional

Chiffren

Die folgenden Verschlüsselungen werden sowohl für eingehende als auch für ausgehende Übertragungen unterstützt:

  • AES128_CBC

  • AES192_CBC

  • AES256_CBC

  • 3DES (nur aus Gründen der Abwärtskompatibilität)

Übersichten

Die folgenden Digests werden unterstützt:

  • Eingehendes Signieren und MDN —,,, SHA1 SHA256 SHA384 SHA512

  • Ausgehendes Signieren und MDN —,,, SHA1 SHA256 SHA384 SHA512

MDN

Für MDN-Antworten werden bestimmte Typen wie folgt unterstützt:

  • Eingehende Übertragungen — Synchron und asynchron

  • Ausgehende Übertragungen — Nur synchron

  • Simple Mail Transfer Protocol (SMTP) (E-Mail MDN) — Wird nicht unterstützt

Transporte

  • Eingehende Übertragungen — HTTP ist der einzige derzeit unterstützte Transport, und Sie müssen ihn explizit angeben.

    Anmerkung

    Wenn Sie HTTPS für eingehende Übertragungen verwenden müssen, können Sie TLS auf einem Application Load Balancer oder einem Network Load Balancer beenden. Dies wird unter beschrieben. Empfangen Sie AS2 Nachrichten über HTTPS

  • Ausgehende Übertragungen — Wenn Sie eine HTTP-URL angeben, müssen Sie auch einen Verschlüsselungsalgorithmus angeben. Wenn Sie eine HTTPS-URL angeben, haben Sie die Möglichkeit, NONE für Ihren Verschlüsselungsalgorithmus anzugeben.

AS2 Kontingente und Einschränkungen

In diesem Abschnitt werden Kontingente und Einschränkungen für beschrieben AS2

AS2 Kontingente

Die folgenden Kontingente gelten für AS2 Dateiübertragungen. Informationen zur Beantragung einer Erhöhung für ein anpassbares Kontingent finden Sie unter AWS-Service Kontingente im Allgemeine AWS-Referenz.

AS2 Kontingente
Name Standard Anpassbar
Maximale Anzahl an empfangenen eingehenden Dateien pro Sekunde 100 Nein
Maximale Anzahl ausgehender Dateien, die pro Sekunde gesendet werden 100 Nein
Maximale Anzahl gleichzeitig eingehender Dateien 400 Nein
Maximale Anzahl gleichzeitiger ausgehender Dateien 400 Nein
Maximale Größe der eingehenden Datei (unkomprimiert) 1 GB Nein
Maximale Größe der ausgehenden Datei (unkomprimiert) 1 GB Nein
Maximale Anzahl von Dateien pro ausgehender Anfrage 10 Nein
Maximale Anzahl ausgehender Anfragen pro Sekunde 100 Nein
Maximale Anzahl eingehender Anfragen pro Sekunde 100 Nein
Maximale ausgehende Bandbreite pro Konto (ausgehendes SFTP und AS2 Anfragen tragen beide zu diesem Wert bei) 50 MB pro Sekunde Nein
Maximale Anzahl von Vereinbarungen pro Konto 100 Ja
Maximale Anzahl von Konnektoren pro Konto (sowohl SFTP als auch AS2 Konnektoren tragen zu diesem Limit bei) 100 Ja
Maximale Anzahl von Zertifikaten pro Partnerprofil 10 Nein
Maximale Anzahl der Zertifikate pro Konto 1000 Ja
Maximale Anzahl von Partnerprofilen pro Konto 1000 Ja

Kontingente für den Umgang mit Geheimnissen

AWS Transfer Family ruft im Namen von AS2 Kunden AWS Secrets Manager an, die die Standardauthentifizierung verwenden. Zusätzlich ruft Secrets Manager auf AWS KMS.

Anmerkung

Diese Kontingente sind nicht spezifisch für Ihre Verwendung von Geheimnissen für Transfer Family: Sie werden von allen Diensten in Ihrem gemeinsam genutzt AWS-Konto.

Für Secrets Manager GetSecretValue gilt das Kontingent Kombinierte Rate von Anfragen DescribeSecret und GetSecretValue API-Anfragen, wie unter AWS Secrets Manager Kontingente beschrieben.

Secrets Manager GetSecretValue
Name Wert Beschreibung
Kombinierte Rate von DescribeSecret und GetSecretValue API-Anfragen Jede unterstützte Region: 10 000 pro Sekunde Die maximale Anzahl an Transaktionen pro Sekunde für DescribeSecret GetSecretValue API-Operationen zusammen.

Für gelten AWS KMS die folgenden Kontingente fürDecrypt. Einzelheiten finden Sie unter Kontingente für jeden AWS KMS API-Vorgang anfordern

AWS KMS Decrypt
Kontingentname Standardwert (Anforderungen pro Sekunde)

Anforderungsrate für kryptografische Operationen (symmetrisch)

Diese gemeinsamen Kontingente variieren je nach dem AWS-Region und der Art des in der Anfrage verwendeten AWS KMS Schlüssels. Jedes Kontingent wird separat berechnet.

  • 5 500 (freigegeben)

  • 10 000 (gemeinsam) in den folgenden Regionen:

    • USA Ost (Ohio), us-east-2

    • Asien-Pazifik (Singapur), ap-southeast-1

    • Asien-Pazifik (Sydney), ap-southeast-2

    • Asien-Pazifik (Tokio), ap-northeast-1

    • Europa (Frankfurt) eu-central-1

    • Europa (London) eu-west-2

  • 50 000 (gemeinsam) in den folgenden Regionen:

    • USA Ost (Nord-Virginia), us-east-1

    • USA West (Oregon), us-west-2

    • Europa (Irland), eu-west-1

Anforderungskontingente für benutzerdefinierte Schlüsselspeicher

Anmerkung

Dieses Kontingent gilt nur, wenn Sie einen externen Schlüsselspeicher verwenden.

Kontingente für benutzerdefinierte Schlüsselspeicher-Anfragen werden für jeden benutzerdefinierten Schlüsselspeicher separat berechnet.

  • 1.800 (gemeinsam genutzt) für jeden AWS CloudHSM Schlüsselspeicher

  • 1 800 (freigegeben) für jeden externen Schlüsselspeicher.

Bekannte Beschränkungen

  • Serverseitiges TCP-Keep-Alive wird nicht unterstützt. Die Verbindung wird nach 350 Sekunden Inaktivität unterbrochen, es sei denn, der Client sendet Keep-Alive-Pakete.

  • Damit eine aktive Vereinbarung vom Service akzeptiert wird und in den CloudWatch Amazon-Protokollen erscheint, müssen Nachrichten gültige AS2 Kopfzeilen enthalten.

  • Der Server, der Nachrichten von AWS Transfer Family für empfängt, AS2 muss das Schutzattribut des Algorithmus Cryptographic Message Syntax (CMS) zur Überprüfung von Nachrichtensignaturen unterstützen, wie in RFC 6211 definiert. Dieses Attribut wird in einigen älteren IBM Sterling-Produkten nicht unterstützt.

  • Doppelte Nachrichten IDs führen zu einer verarbeiteten Nachricht (Warnung: Doppeltes Dokument).

  • Die Schlüssellänge für AS2 Zertifikate muss mindestens 2048 Bit und höchstens 4096 Bit betragen.

  • Beim Senden von AS2 Nachrichten oder asynchron MDNs an den HTTPS-Endpunkt eines Handelspartners MDNs müssen die Nachrichten ein gültiges SSL-Zertifikat verwenden, das von einer öffentlich vertrauenswürdigen Zertifizierungsstelle (CA) signiert wurde. Selbstsignierte Zertifikate werden derzeit nur für ausgehende Übertragungen unterstützt.

  • Der Endpunkt muss das TLS-Protokoll der Version 1.2 und einen kryptografischen Algorithmus unterstützen, der gemäß der Sicherheitsrichtlinie zulässig ist (wie unter beschrieben). Sicherheitsrichtlinien für Server AWS Transfer Family

  • Mehrere Anlagen und Certificate Exchange Messaging (CEM) aus AS2 Version 1.2 werden derzeit nicht unterstützt.

  • Die Standardauthentifizierung wird derzeit nur für ausgehende Nachrichten unterstützt.

  • Sie können einen Dateiverarbeitungs-Workflow an einen Transfer Family Family-Server anhängen, der das AS2 Protokoll verwendet. AS2 Nachrichten führen jedoch keine Workflows aus, die an den Server angehängt sind.

AS2 Funktionen und Fähigkeiten

In den folgenden Tabellen sind die Funktionen und Fähigkeiten aufgeführt, die für Transfer Family Family-Ressourcen verfügbar sind, die verwenden AS2.

AS2 features

Transfer Family bietet die folgenden Funktionen für AS2.

Funktion Unterstützt von AWS Transfer Family
Drummond-Zertifizierung Ja
AWS CloudFormation Unterstützung Ja
CloudWatchAmazon-Metriken Ja
Kryptografische SHA-2-Algorithmen Ja
Support für Amazon S3 Ja
Support für Amazon EFS Nein
Geplante Nachrichten Ja 1
AWS Transfer Family Verwaltete Workflows Nein
Zertifikatsaustausch-Messaging (CEM) Nein
Gegenseitiges TLS (mTLS) Nein
Support für selbstsignierte Zertifikate Ja

1. Ausgehende geplante Nachrichten sind über AWS Lambda Planungsfunktionen von Amazon verfügbar EventBridge

AS2 Funktionen zum Senden und Empfangen

Die folgende Tabelle enthält eine Liste der AWS Transfer Family AS2 Sende- und Empfangsfunktionen.

Funktion Eingehend: Empfangen mit dem Server Ausgehend: Senden mit Connector
TLS-verschlüsselter Transport (HTTPS)

Ja 1

 Ja
Nicht-TLS-Transport (HTTP) Ja

Ja 2
Synchrones MDN Ja Ja
Komprimierung von Nachrichten Ja Ja
Asynchrones MDN Ja Nein
Statische IP-Adresse Ja Ja
Bringen Sie Ihre eigene IP-Adresse mit Ja Nein
Mehrere Dateianhänge Nein Nein
Standardauthentifizierung Nein Ja
AS2 Starten Sie neu Nicht zutreffend Nein
AS2 Zuverlässigkeit Nein Nein
Benutzerdefinierter Betreff pro Nachricht Nicht zutreffend Nein

1. Eingehender TLS-verschlüsselter Transport mit Network Load Balancer (NLB) oder Application Load Balancer (ALB) verfügbar

2. Ausgehender Transport ohne TLS ist nur verfügbar, wenn die Verschlüsselung aktiviert ist