AWS Transfer Family AS2 の - AWS Transfer Family
AS2 ユースケースAS2 CloudFormation テンプレート

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Transfer Family AS2 の

適用性ステートメント 2 (AS2) は RFC が定義したファイル転送仕様で、強力なメッセージ保護と検証メカニズムが含まれています。転送中の AS2 ペイロードを保護するには、暗号化とデジタル署名を使用した暗号化メッセージ構文 (CMS) を使用して、データ保護とピア認証を提供します。署名付きメッセージ処理通知 (MDN) レスポンスペイロードは、メッセージが受信され、正常に復号されたことを確認 (否認防止) します。

AS2 プロトコルは、プロトコルに組み込まれたデータ保護とセキュリティ機能に依存するコンプライアンス要件を持つワークフローに不可欠です。 AWS Transfer Family AS2 エンドポイントは Drummond 認定を受けており、小売、ライフサイエンス、製造、金融サービス、ユーティリティなどの業界のお客様は、ビジネスパートナーと安全に取引できます。

Transfer Family で AS2 を使用する場合、トランザクションされたデータは、次の目的で で AWS ネイティブにアクセスできます。

  • 処理、分析、機械学習

  • エンタープライズリソースプランニング (ERP) システムとの統合

  • 顧客関係管理 (CRM) システムとの統合

AS2-enabledサーバーを持つパートナーとファイルを交換するには、以下を実行する必要があります。

  • 暗号化用のパブリック/プライベートキーペアを生成する

  • 署名用のパブリック/プライベートキーペアを生成する

  • パブリックキーをパートナーと交換する

重要

HTTPS AS2 サーバーのエンドポイントは現在サポートされていません。TLS の終了はお客様の責任となります。

Transfer Family には、AS2 が有効になっている Transfer Family エンドポイントと Transfer Family AS2 コネクタを設定できるワークショップが用意されています。このワークショップの詳細については、「こちら」をご覧ください。

Transfer Family で AS2 を設定するstep-by-stepについては、以下を参照してください。

  1. AS2 証明書のインポート

  2. AS2 プロファイルの作成

  3. AS2 サーバーを作成する

  4. AS2 契約を作成する

  5. AS2 コネクタを設定する

完全な例については、「」を参照してくださいAS2 設定のセットアップ

注記

AS2 Terraform テンプレートのサポートを表示するには、Transfer Family Terraform テンプレート機能リクエストにサムアップリアクション (👍) を追加します。ユースケースを説明するコメントを追加することもできます。

AS2 ユースケース

AS2-enabledサーバーを持つパートナーとファイル AWS Transfer Family を交換する場合、セットアップの最も複雑な部分では、暗号化用に 1 つのパブリック/プライベートキーペアを生成し、パートナーとパブリックキーに署名して交換します。

公開鍵と秘密鍵のペアを暗号化と署名に使用する方法を示す図。

AS2 AWS Transfer Family で を使用する場合は、次のバリエーションを考慮してください。

注記

取引先は、そのパートナープロファイルに関連付けられたパートナーです。

以下の表の MDN に関する記述はすべて、署名付き MDN を前提としています。

AS2 ユースケース

インバウンドのみのユースケース

  • 暗号化された AS2 メッセージを取引相手から Transfer Family サーバーに転送します。

    この場合、次の操作を行います。

    1. 取引相手と自分自身のプロファイルを作成します。

    2. AS2 プロトコルを使用するTransfer Family サーバーを作成します。

    3. 契約書を作成してサーバーに追加します。

    4. プライベートキーを使用して証明書をインポートし、プロファイルに追加してから、暗号化のためにパブリックキーをパートナープロファイルにインポートします。

    5. これらの項目を入手したら、証明書の公開鍵を取引相手に送信します。

    これで、パートナーは暗号化されたメッセージを送信できるようになり、ユーザーはそれらを復号して Amazon S3 バケットに保存できます。

  • 暗号化された AS2 メッセージを取引相手から Transfer Family サーバーに転送し、署名を追加します。

    このシナリオでは、まだ受信転送のみを行っていますが、今度はパートナーが送信するメッセージに署名してもらいたいと考えています。この場合、取引相手の署名パブリックキーをインポートします (パートナーのプロファイルに追加された署名証明書として)。

  • 暗号化された AS2 メッセージを取引相手から Transfer Family サーバーに転送し、署名と MDN レスポンスの送信を追加します。

    このシナリオでは、まだインバウンド転送のみを行っていますが、取引相手は署名されたペイロードの受信に加えて、署名済みの MDN レスポンスを受信したいと考えています。

    1. 公開署名鍵と秘密署名鍵を (署名証明書としてプロファイルに) インポートします。

    2. 公開署名キーを取引相手に送信します。

アウトバウンドのみのユースケース

  • 暗号化された AS2 メッセージを Transfer Family サーバーから取引相手に転送します。

    このケースは受信専用転送のユースケースと似ていますが、AS2 サーバーに契約を追加する代わりにコネクタを作成するという点が異なります。この場合、取引相手のパブリックキーをプロファイルにインポートします。

  • 暗号化された AS2 メッセージを Transfer Family サーバーから取引相手に転送し、署名を追加します。

    まだアウトバウンド転送のみを実行していますが、取引相手が送信したメッセージに署名することを希望しています。

    1. (プロファイルに追加されたサイン証明書として)サイン用プライベートキーをインポートします。

    2. 取引相手にパブリックキーを送信します。

  • 暗号化された AS2 メッセージを Transfer Family サーバーから取引相手に転送し、署名を追加して MDN レスポンスを送信します。

    まだアウトバウンド転送のみを実行していますが、署名付きペイロードの送信に加えて、取引相手から署名付き MDN レスポンスを受信したいと考えています。

    1. 取引相手からパブリック署名キーが送信されます。

    2. 取引相手のパブリックキーをインポートします (パートナープロファイルに追加された署名証明書として)。

インバウンドとアウトバウンドのユースケース

  • Transfer Family サーバーと取引相手の間で、暗号化された AS2 メッセージを双方向に転送します。

    この場合、次の操作を行います。

    1. 取引相手と自分自身のプロファイルを作成します。

    2. AS2 プロトコルを使用するTransfer Family サーバーを作成します。

    3. 契約書を作成してサーバーに追加します。

    4. コネクタを作成します。

    5. プライベートキーを使用して証明書をインポートし、プロファイルに追加してから、暗号化のためにパブリックキーをパートナープロファイルにインポートします。

    6. 取引相手からパブリックキーを受け取り、暗号化のためにプロファイルに追加します。

    7. これらの項目を入手したら、証明書の公開鍵を取引相手に送信します。

    これで、あなたと取引相手は暗号化されたメッセージを交換でき、両方とも暗号化を解除できます。受信したメッセージは Amazon S3 バケットに保存でき、パートナーは送信したメッセージを復号して保存できます。

  • Transfer Family サーバーと取引相手の間で暗号化された AS2 メッセージを双方向に転送し、署名を追加します。

    これで、あなたとパートナーは署名付きのメッセージを求めます。

    1. (プロファイルに追加されたサイン証明書として)サイン用プライベートキーをインポートします。

    2. 取引相手にパブリックキーを送信します。

    3. 取引相手の署名パブリックキーをインポートし、プロファイルに追加します。

  • Transfer Family サーバーと取引相手の間で暗号化された AS2 メッセージを双方向に転送し、署名を追加して MDN レスポンスを送信します。

    次に、署名付きペイロードを交換し、自分と取引相手の両方が MDN レスポンスを希望します。

    1. 取引相手からパブリック署名キーが送信されます。

    2. 取引相手のパブリックキーをインポートします (パートナープロファイルの署名証明書として)。

    3. 公開キーを取引相手に送信します。

AS2 CloudFormation テンプレート

このトピックでは、AS2 サーバーと設定をすばやくデプロイするために使用できる AWS CloudFormation テンプレートについて説明します AWS Transfer Family。これらのテンプレートはセットアッププロセスを自動化し、AS2 ファイル転送のベストプラクティスを実装するのに役立ちます。

AS2 テンプレートのカスタマイズ

提供されたテンプレートは、特定の要件を満たすようにカスタマイズできます。

  1. S3 URL からテンプレートをダウンロードします。

  2. YAML コードを変更して、次のような設定を調整します。

    • セキュリティ設定と証明書設定

    • ネットワークアーキテクチャと VPC 設定

    • ストレージオプションとファイル処理

    • モニタリングと通知の設定

  3. 変更したテンプレートを独自の S3 バケットにアップロードします。

  4. CloudFormation コンソールまたは を使用して、カスタマイズされたテンプレートをデプロイします AWS CLI。

重要

テンプレートをカスタマイズするときは、リソース間の依存関係を維持し、セキュリティのベストプラクティスに従ってください。

AS2 デプロイのテスト

テンプレートを使用して AS2 サーバーをデプロイした後、設定をテストできます。

  1. CloudFormation スタックの出力で、サンプルコマンドとエンドポイント情報を確認します。

  2. を使用してテストファイル AWS CLI を送信します。

    aws s3api put-object --bucket your-bucket-name --key test.txt --body test.txt
aws transfer start-file-transfer --connector-id your-connector-id --send-file-paths /your-bucket-name/test.txt

  3. 送信先 S3 バケットでのファイル配信を確認します。

  4. CloudWatch ログで、正常な処理と MDN レスポンスを確認します。

より包括的なテストを行うには、サードパーティーの AS2 クライアントを使用して Transfer Family AS2 サーバーにファイルを送信することを検討してください。

AS2 テンプレートデプロイのベストプラクティス

AS2 CloudFormation テンプレートを使用する場合は、次のベストプラクティスに従ってください。

セキュリティ

強力な証明書を使用し、定期的にローテーションします。

最小特権の IAM ポリシーを実装します。

セキュリティグループを使用してネットワークアクセスを制限します。

信頼性

複数のアベイラビリティーゾーンにデプロイします。

失敗した転送のモニタリングとアラートを実装します。

失敗した転送の自動再試行を設定します。

パフォーマンス

転送ボリュームに適したインスタンスタイプを選択します。

効率的なファイル管理のために S3 ライフサイクルポリシーを実装します。

ネットワーク設定をモニタリングして最適化します。

コスト最適化

可変ワークロードには Auto Scaling を使用します。

古いファイルに S3 ストレージクラスを実装します。

実際の使用状況に基づいてリソースをモニタリングおよび調整します。