Configuration AS2 - AWS Transfer Family
AS2 configurationsAS2 quotasAS2 fonctionnalités et capacités

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration AS2

Pour créer un AS2 serveur activé, vous devez également spécifier les composants suivants :

  • Accords — Les accords bilatéraux entre partenaires commerciaux, ou partenariats, définissent la relation entre les deux parties qui échangent des messages (fichiers). Pour définir un accord, Transfer Family combine les informations relatives au serveur, au profil local, au profil du partenaire et au certificat. Transfer Family AS2 - les processus entrants utilisent des accords.

  • Certificats — Les certificats à clé publique (X.509) sont utilisés dans les AS2 communications pour le chiffrement et la vérification des messages. Les certificats sont également utilisés pour les points de terminaison des connecteurs.

  • Profils locaux et profils de partenaires — Un profil local définit l'organisation ou le « groupe » local (AS2compatible avec le serveur Transfer Family). De même, un profil de partenaire définit l'organisation partenaire distante, externe à Transfer Family.

Bien que cela ne soit pas obligatoire pour tous les serveurs AS2 compatibles, vous avez besoin d'un connecteur pour les transferts sortants. Un connecteur capture les paramètres d'une connexion sortante. Le connecteur est nécessaire pour envoyer des fichiers à un serveur externe, autre que le AWS serveur d'un client.

Le schéma suivant montre la relation entre les AS2 objets impliqués dans les processus entrants et sortants.

Schéma illustrant la relation entre les AS2 objets impliqués dans les processus entrants et sortants.

Pour un end-to-end exemple AS2 de configuration, voirConfiguration d'une AS2 configuration.

AS2 configurations

Cette rubrique décrit les configurations, fonctionnalités et capacités prises en charge pour les transferts utilisant le protocole Applicability Statement 2 (AS2), y compris les chiffrements et les résumés acceptés.

Signature, chiffrement, compression, MDN

Pour les transferts entrants et sortants, les éléments suivants sont obligatoires ou facultatifs :

  • Chiffrement — Obligatoire (pour le transport HTTP, qui est la seule méthode de transport actuellement prise en charge). Les messages non chiffrés ne sont acceptés que s'ils sont transférés par un proxy de terminaison TLS tel qu'un Application Load Balancer (ALB) et que l'en-tête est présent. X-Forwarded-Proto: https

  • Signature — Facultatif

  • Compression — Facultative (le seul algorithme de compression actuellement pris en charge est ZLIB)

  • Avis de disposition des messages (MDN) — Facultatif

Chiffrements

Les chiffrements suivants sont pris en charge pour les transferts entrants et sortants :

  • AES128_CBC

  • AES192_CBC

  • AES256_CBC

  • 3DES (pour la rétrocompatibilité uniquement)

Résumés

Les résumés suivants sont pris en charge :

  • Signature entrante et MDN — SHA1,, SHA256 SHA384 SHA512

  • Signature sortante et MDN — SHA1,,, SHA256 SHA384 SHA512

MDN

Pour les réponses MDN, certains types sont pris en charge, comme suit :

  • Transferts entrants : synchrones et asynchrones

  • Transferts sortants : synchrones uniquement

  • Protocole de transfert de courrier simple (SMTP) (e-mail MDN) — Non pris en charge

Les transports

  • Transferts entrants : le protocole HTTP est le seul transport actuellement pris en charge, et vous devez le spécifier explicitement.

    Note

    Si vous devez utiliser le protocole HTTPS pour les transferts entrants, vous pouvez mettre fin au protocole TLS sur un Application Load Balancer ou un Network Load Balancer. Ceci est décrit dansRecevoir AS2 des messages via HTTPS.

  • Transferts sortants : si vous fournissez une URL HTTP, vous devez également spécifier un algorithme de chiffrement. Si vous fournissez une URL HTTPS, vous avez la possibilité de spécifier NONE pour votre algorithme de chiffrement.

AS2 quotas et limites

Cette section traite des quotas et des limites pour AS2

AS2 quotas

Les quotas suivants sont en place pour les transferts de AS2 fichiers. Pour demander l'augmentation d'un quota ajustable, consultez les Service AWS quotas dans le Références générales AWS.

AS2 quotas
Name (Nom) Par défaut Ajustable
Nombre maximum de fichiers entrants reçus par seconde 100 Non
Nombre maximum de fichiers sortants envoyés par seconde 100 Non
Nombre maximum de fichiers entrants simultanés 400 Non
Nombre maximum de fichiers sortants simultanés 400 Non
Taille maximale du fichier entrant (non compressé) 1 Go Non
Taille maximale du fichier sortant (non compressé) 1 Go Non
Nombre maximum de fichiers par demande sortante 10 Non
Nombre maximum de demandes sortantes par seconde 100 Non
Nombre maximum de demandes entrantes par seconde 100 Non
Bande passante sortante maximale par compte (le SFTP sortant et les AS2 requêtes contribuent tous deux à cette valeur) 50 Mo par seconde Non
Nombre maximum d'accords par compte 100 Oui
Nombre maximum de connecteurs par compte (le SFTP et les AS2 connecteurs contribuent tous deux à cette limite) 100 Oui
Nombre maximum de certificats par profil de partenaire 10 Non
Nombre maximum de certificats par compte 1 000 Oui
Nombre maximum de profils de partenaires par compte 1 000 Oui

Quotas pour le traitement des secrets

AWS Transfer Family passe des appels AWS Secrets Manager au nom des AS2 clients qui utilisent l'authentification de base. Secrets Manager passe également des appels à AWS KMS.

Note

Ces quotas ne sont pas spécifiques à votre utilisation des secrets pour Transfer Family : ils sont partagés entre tous les services de votre compte Compte AWS.

Pour Secrets ManagerGetSecretValue, le quota applicable est le taux combiné de demandes d' GetSecretValue API DescribeSecret et le taux de demande d'API, comme décrit dans la section AWS Secrets Manager Quotas.

Secrets Manager GetSecretValue
Name (Nom) Valeur Description
Taux combiné de demandes d' GetSecretValue API DescribeSecret et de demandes d'API Chaque Région prise en charge : 10 000 par seconde Le nombre maximum de transactions par seconde pour DescribeSecret les opérations GetSecretValue d'API combinées.

Pour AWS KMS, les quotas suivants s'appliquent àDecrypt. Pour plus de détails, voir Quotas de demande pour chaque opération AWS KMS d'API

AWS KMS Decrypt
Nom du quota Valeur par défaut (requêtes par seconde)

Taux de demandes d'opérations cryptographiques (symétriques)

Ces quotas partagés varient en fonction de la AWS KMS clé utilisée dans la demande Région AWS et du type de clé. Chaque quota est calculé séparément.

  • 5 500 (partagées)

  • 10 000 (partagées) dans les régions suivantes :

    • USA Est (Ohio), us-east-2

    • Asie-Pacifique (Singapour), ap-southeast-1

    • Asie-Pacifique (Sydney), ap-southeast-2

    • Asie-Pacifique (Tokyo), ap-northeast-1

    • Europe (Francfort), eu-central-1

    • Europe (Londres), eu-west-2

  • 50 000 (partagées) dans les régions suivantes :

    • USA Est (Virginie du Nord), us-east-1

    • USA Ouest (Oregon), us-west-2

    • Europe (Irlande), eu-west-1

Quotas de demandes de magasin de clés personnalisé

Note

Ce quota ne s'applique que si vous utilisez un magasin de clés externe.

Les quotas de demandes de stockage de clés personnalisés sont calculés séparément pour chaque magasin de clés personnalisé.

  • 1 800 (partagés) pour chaque magasin de AWS CloudHSM clés

  • 1 800 (partagées) pour chaque magasin de clés externes

Limitations connues

  • Le mode TCP keep-alive côté serveur n'est pas pris en charge. La connexion expire après 350 secondes d'inactivité, sauf si le client envoie des paquets de maintien en vie.

  • Pour qu'un accord actif soit accepté par le service et apparaisse dans les CloudWatch journaux Amazon, les messages doivent contenir des AS2 en-têtes valides.

  • Le serveur qui reçoit des messages de AWS Transfer Family for AS2 doit prendre en charge l'attribut de protection de l'algorithme CMS (Cryptographic Message Syntax) pour valider les signatures des messages, tel que défini dans la RFC 6211. Cet attribut n'est pas pris en charge dans certains anciens produits IBM Sterling.

  • Un message dupliqué IDs entraîne un message traité/Avertissement : document dupliqué.

  • La longueur de la clé pour les AS2 certificats doit être d'au moins 2 048 bits et d'au plus 4 096 bits.

  • Lors de l'envoi de AS2 messages ou de manière asynchrone MDNs au point de terminaison HTTPS d'un partenaire commercial, les messages ou les messages MDNs doivent utiliser un certificat SSL valide signé par une autorité de certification (CA) reconnue publiquement. Les certificats auto-signés ne sont actuellement pris en charge que pour les transferts sortants.

  • Le point de terminaison doit prendre en charge le protocole TLS version 1.2 et un algorithme cryptographique autorisé par la politique de sécurité (comme décrit dansPolitiques de sécurité pour les AWS Transfer Family serveurs).

  • Les pièces jointes multiples et les messages d'échange de certificats (CEM) de AS2 la version 1.2 ne sont actuellement pas pris en charge.

  • L'authentification de base n'est actuellement prise en charge que pour les messages sortants.

  • Vous pouvez associer un flux de traitement de fichiers à un serveur Transfer Family qui utilise le AS2 protocole : toutefois, les AS2 messages n'exécutent pas les flux de travail attachés au serveur.

AS2 fonctionnalités et capacités

Les tableaux suivants répertorient les fonctionnalités et capacités disponibles pour les ressources Transfer Family qui les utilisent AS2.

AS2 features

Transfer Family propose les fonctionnalités suivantes pour AS2.

Fonctionnalité Soutenu par AWS Transfer Family
Certification Drummond Oui
AWS CloudFormation soutien Oui
CloudWatchMétriques Amazon Oui
Algorithmes cryptographiques SHA-2 Oui
Support pour Amazon S3 Oui
Prise en charge d'Amazon EFS Non
Messages planifiés Oui 1
AWS Transfer Family Flux de travail gérés Non
Messagerie d'échange de certificats (CEM) Non
TLS mutuel (mTLS) Non
Support pour les certificats auto-signés Oui

1. Messages planifiés sortants disponibles via les AWS Lambda fonctions de planification à l'aide d'Amazon EventBridge

AS2 capacités d'envoi et de réception

Le tableau suivant fournit une liste des fonctionnalités d' AWS Transfer Family AS2 envoi et de réception.

Capacité Entrant : réception avec le serveur Sortant : envoi avec connecteur
Transport crypté TLS (HTTPS)

Oui 1

 Oui
Transport non TLS (HTTP) Oui

Oui 2
MDN synchrone Oui Oui
Compression des messages Oui Oui
MDN asynchrone Oui Non
Adresse IP statique Oui Oui
Apportez votre propre adresse IP Oui Non
Pièces jointes multiples Non Non
Authentification de base Non Oui
AS2 Redémarrer Ne s’applique pas Non
AS2 Fiabilité Non Non
Objet personnalisé par message Ne s’applique pas Non

1. Transport crypté TLS entrant disponible avec Network Load Balancer (NLB) ou Application Load Balancer (ALB)

2. Transport sortant non TLS disponible uniquement lorsque le chiffrement est activé