AWS Transfer Family AS2 の - AWS Transfer Family
AS2 ユースケースAS2 CloudFormation テンプレート

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Transfer Family AS2 の

適用性ステートメント 2 (AS2) は RFC が定義したファイル転送仕様で、強力なメッセージ保護と検証メカニズムが含まれています。AS2 プロトコルは、データ保護とセキュリティ機能をプロトコルに組み込むことが前提となるコンプライアンス要件のあるワークフローにとって重要です。

注記

Transfer Family AS2 は「ドラモンド認定」を受けています。

サプライチェーン、物流、決済のワークフローで AS2 を利用している小売、ライフサイエンス、製造、金融サービス、公益事業などの業界のお客様は、 AWS Transfer Family AS2 エンドポイントを使用してビジネスパートナーと安全に取引できます。トランザクションされたデータは、処理、分析、機械学習 AWS のために でネイティブにアクセスできます。このデータは、 AWS上で動作する企業資源計画 (ERP) や顧客関係管理 (CRM) システムとの統合にも利用できます。AS2 を使用すると、既存のビジネスパートナーの統合とコンプライアンスを維持しながら AWS 、business-to-business (B2B) トランザクションを大規模に実行できます。

Transfer Family のお客様が AS2-enabledサーバーを持つパートナーとファイルを交換する場合、セットアップでは暗号化用に 1 つのパブリック/プライベートキーペアを生成し、パートナーとパブリックキーに署名して交換します。

Transfer Family には、AS2 が有効になっている Transfer Family エンドポイントと Transfer Family AS2 コネクタを設定できるワークショップが用意されています。このワークショップの詳細については、「こちら」をご覧ください。

転送中の AS2 ペイロードを保護するには通常、暗号メッセージ構文 (CMS) を使用し、通常は暗号化とデジタル署名を使用してデータ保護とピア認証を行います。署名付きメッセージ処理通知 (MDN) レスポンスペイロードは、メッセージが受信され、正常に復号されたことを確認 (否認防止) します。

これらの CMS ペイロードと MDN 応答は HTTP 経由で転送されます。

注記

HTTPS AS2 サーバーのエンドポイントは現在サポートされていません。現在、TLS の終了はお客様の責任です。

Applicability Statement 2 (AS2) 設定の詳細なstep-by-stepのチュートリアルについては、「」を参照してくださいAS2 設定のセットアップ

ユーザーガイドには、Transfer Family で AS2 を設定するプロセスの各ステップの手順が記載されています。

  1. AS2 証明書のインポート

  2. AS2 プロファイルの作成

  3. AS2 サーバーを作成する

  4. AS2 契約を作成する

  5. AS2 コネクタを設定する

AS2 ユースケース

AS2-enabledサーバーを持つパートナーとファイルを交換する AWS Transfer Family 場合は、セットアップの最も複雑な部分として、暗号化用に 1 つのパブリック/プライベートキーペアを生成し、パートナーとパブリックキーに署名して交換します。

公開鍵と秘密鍵のペアを暗号化と署名に使用する方法を示す図。

AS2 AWS Transfer Family で を使用する場合は、次のバリエーションを考慮してください。

注記

取引先は、そのパートナープロファイルに関連付けられたパートナーです。

以下の表の MDN に関する記述はすべて、署名付き MDN を前提としています。

AS2 ユースケース

インバウンドのみのユースケース

  • 暗号化された AS2 メッセージを取引相手から Transfer Family サーバーに転送します。

    この場合、次の操作を行います。

    1. 取引相手と自分自身のプロファイルを作成します。

    2. AS2 プロトコルを使用するTransfer Family サーバーを作成します。

    3. 契約書を作成してサーバーに追加します。

    4. プライベートキーを使用して証明書をインポートし、プロファイルに追加してから、暗号化のためにパブリックキーをパートナープロファイルにインポートします。

    5. これらの項目を入手したら、証明書の公開鍵を取引相手に送信します。

    これで、パートナーは暗号化されたメッセージを送信できるようになり、ユーザーはそれらを復号して Amazon S3 バケットに保存できます。

  • 暗号化された AS2 メッセージを取引相手から Transfer Family サーバーに転送し、署名を追加します。

    このシナリオでは、まだ受信転送のみを行っていますが、今度はパートナーが送信するメッセージに署名してもらいたいと考えています。この場合、取引相手の署名パブリックキー (パートナーのプロファイルに追加された署名証明書として) をインポートします。

  • 暗号化された AS2 メッセージを取引相手から Transfer Family サーバーに転送し、署名と MDN レスポンスの送信を追加します。

    このシナリオでは、まだインバウンド転送のみを行っていますが、取引相手は署名されたペイロードの受信に加えて、署名済みの MDN レスポンスを受信したいと考えています。

    1. 公開署名鍵と秘密署名鍵を (署名証明書としてプロファイルに) インポートします。

    2. 公開署名キーを取引相手に送信します。

アウトバウンドのみのユースケース

  • 暗号化された AS2 メッセージを Transfer Family サーバーから取引相手に転送します。

    このケースは受信専用転送のユースケースと似ていますが、AS2 サーバーに契約を追加する代わりにコネクタを作成するという点が異なります。この場合、取引相手のパブリックキーをプロファイルにインポートします。

  • Transfer Family サーバーから取引相手に暗号化された AS2 メッセージを転送し、署名を追加します。

    まだアウトバウンド転送のみを実行していますが、取引相手から送信したメッセージに署名してもらう必要があります。

    1. (プロファイルに追加されたサイン証明書として)サイン用プライベートキーをインポートします。

    2. 取引相手にパブリックキーを送信します。

  • Transfer Family サーバーから取引相手に暗号化された AS2 メッセージを転送し、署名を追加して MDN レスポンスを送信します。

    まだアウトバウンド転送のみを実行していますが、署名付きペイロードの送信に加えて、取引相手から署名付き MDN レスポンスを受信したいと考えています。

    1. 取引相手からパブリック署名キーが送信されます。

    2. 取引相手のパブリックキーをインポートします (パートナープロファイルに追加された署名証明書として)。

インバウンドとアウトバウンドのユースケース

  • Transfer Family サーバーと取引相手の間で、暗号化された AS2 メッセージを双方向に転送します。

    この場合、次の操作を行います。

    1. 取引相手と自分自身のプロファイルを作成します。

    2. AS2 プロトコルを使用するTransfer Family サーバーを作成します。

    3. 契約書を作成してサーバーに追加します。

    4. コネクタを作成します。

    5. プライベートキーを使用して証明書をインポートし、プロファイルに追加してから、暗号化のためにパブリックキーをパートナープロファイルにインポートします。

    6. 取引相手からパブリックキーを受け取り、暗号化のためにプロファイルに追加します。

    7. これらの項目を入手したら、証明書の公開鍵を取引相手に送信します。

    これで、あなたと取引相手は暗号化されたメッセージを交換でき、両方とも暗号化を解除できます。受信したメッセージは Amazon S3 バケットに保存でき、パートナーは送信したメッセージを復号して保存できます。

  • Transfer Family サーバーと取引相手の間で暗号化された AS2 メッセージを双方向に転送し、署名を追加します。

    これで、あなたとパートナーは署名付きのメッセージを求めます。

    1. (プロファイルに追加されたサイン証明書として)サイン用プライベートキーをインポートします。

    2. 取引相手にパブリックキーを送信します。

    3. 取引相手の署名パブリックキーをインポートし、プロファイルに追加します。

  • Transfer Family サーバーと取引相手の間で暗号化された AS2 メッセージを双方向に転送し、署名を追加して MDN レスポンスを送信します。

    次に、署名付きペイロードを交換し、自分と取引相手の両方が MDN レスポンスを希望します。

    1. 取引相手からパブリック署名キーが送信されます。

    2. 取引相手のパブリックキーをインポートします (パートナープロファイルの署名証明書として)。

    3. パブリックキーを取引相手に送信します。

AS2 CloudFormation テンプレート

このトピックでは、AS2 サーバーと設定をすばやくデプロイするために使用できる AWS CloudFormation テンプレートについて説明します AWS Transfer Family。これらのテンプレートはセットアッププロセスを自動化し、AS2 ファイル転送のベストプラクティスを実装するのに役立ちます。

AS2 テンプレートのカスタマイズ

提供されたテンプレートは、特定の要件を満たすようにカスタマイズできます。

  1. S3 URL からテンプレートをダウンロードします。

  2. YAML コードを変更して、次のような設定を調整します。

    • セキュリティ設定と証明書設定

    • ネットワークアーキテクチャと VPC 設定

    • ストレージオプションとファイル処理

    • モニタリングと通知の設定

  3. 変更したテンプレートを独自の S3 バケットにアップロードします。

  4. AWS CloudFormation コンソールまたは を使用して、カスタマイズされたテンプレートをデプロイします AWS CLI。

重要

テンプレートをカスタマイズするときは、リソース間の依存関係を維持し、セキュリティのベストプラクティスに従ってください。

AS2 デプロイのテスト

テンプレートを使用して AS2 サーバーをデプロイした後、設定をテストできます。

  1. CloudFormation スタック出力でサンプルコマンドとエンドポイント情報を確認します。

  2. を使用してテストファイル AWS CLI を送信します。

    aws s3api put-object --bucket your-bucket-name --key test.txt --body test.txt
aws transfer start-file-transfer --connector-id your-connector-id --send-file-paths /your-bucket-name/test.txt

  3. 送信先 S3 バケットのファイル配信を確認します。

  4. CloudWatch ログで、正常な処理と MDN レスポンスを確認します。

より包括的なテストを行うには、サードパーティーの AS2 クライアントを使用して Transfer Family AS2 サーバーにファイルを送信することを検討してください。

AS2 テンプレートデプロイのベストプラクティス

AS2 CloudFormation テンプレートを使用する場合は、次のベストプラクティスに従ってください。

セキュリティ

強力な証明書を使用し、定期的にローテーションします。

最小特権の IAM ポリシーを実装します。

セキュリティグループを使用してネットワークアクセスを制限します。

信頼性

複数のアベイラビリティーゾーンにデプロイします。

失敗した転送のモニタリングとアラートを実装します。

失敗した転送の自動再試行を設定します。

パフォーマンス

転送ボリュームに適したインスタンスタイプを選択します。

効率的なファイル管理のために S3 ライフサイクルポリシーを実装します。

ネットワーク設定をモニタリングして最適化します。

コスト最適化

可変ワークロードには Auto Scaling を使用します。

古いファイルに S3 ストレージクラスを実装します。

実際の使用状況に基づいてリソースをモニタリングおよび調整します。