AS2 の設定

AS2 対応サーバーを作成するには、以下のコンポーネントも指定する必要があります。

契約 — 二国間取引先契約 (パートナーシップ) は、メッセージ (ファイル) を交換する二者間の関係を定義します。アグリーメントを定義するために、Transfer Family はサーバ、ローカルプロファイル、パートナープロファイル、証明書情報を組み合わせます。Transfer Family AS2 インバウンドプロセスでは、契約が使用されます。
証明書 — 公開鍵 (X.509) 証明書は AS2 通信でメッセージの暗号化と検証に使用されます。証明書はコネクタエンドポイントにも使用されます。
ローカルプロファイルとパートナープロファイル — ローカルプロファイルは、ローカル (AS2 対応の Transfer Family サーバー) 組織または「パーティ」を定義します。同様に、パートナープロファイルは、Transfer Family の外部にあるリモートパートナー組織を定義します。

すべての AS2 対応サーバーには必要ありませんが、アウトバウンド転送にはコネクタが必要です。コネクタは、アウトバウンド接続のパラメータを取得します。コネクタは、お客様の外部の非 AWS サーバーにファイルを送信するために必要です。

次の図表は、インバウンドプロセスとアウトバウンドプロセスに関与する AS2 オブジェクトの関係を示しています。

インバウンドプロセスとアウトバウンドプロセスに関与する AS2 オブジェクトの関係を示す図。

エンドツーエンドの AS2 設定の例については、「AS2 設定のセットアップ」を参照してください。

AS2 設定

このトピックでは、適用性ステートメント 2 (AS2) プロトコルを使用する転送でサポートされる設定、機能、能力について説明します。これには、承認された暗号やダイジェストも含まれます。

署名、暗号化、圧縮、MDN

インバウンドとアウトバウンドのどちらの転送でも、以下の項目は必須またはオプションです。

暗号化 - 必須 (現在サポートされている唯一のトランスポート方法である HTTP トランスポート用)。暗号化されていないメッセージは、Application Load Balancer (ALB) などの TLS 終了プロキシによって転送され、X-Forwarded-Proto: https ヘッダーが存在する場合にのみ受け入れられます。
署名 - オプション
圧縮 - オプション (現在サポートされている圧縮アルゴリズムは ZLIB だけです)
メッセージ処理通知 (MDN) - オプション

暗号

次の暗号は、インバウンド転送とアウトバウンド転送の両方でサポートされています。

AES128_CBC
AES192_CBC
AES256_CBC
3DES (下位互換性のみ）

ダイジェスト

以下のダイジェストをサポートしています。

インバウンド署名と MDN - SHA1、SHA256、SHA384、SHA512
アウトバウンド署名と MDN - SHA1、SHA256、SHA384、SHA512

MDN

MDN レスポンスでは、以下のように特定のタイプがサポートされています。

インバウンド転送 - 同期と非同期
アウトバウンド転送 - 同期のみ
Simple Mail Transfer Protocol (SMTP) (E メール MDN) - サポートされていません

トランスポート

インバウンド転送 - 現在サポートされているトランスポートは HTTP のみで、明示的に指定する必要があります。

注記
インバウンド転送に HTTPS を使用する必要がある場合は、Application Load Balancer または Network Load Balancer で TLS を終了できます。これについては、「HTTPS 経由で AS2 メッセージを受信」で説明しています。
アウトバウンド転送 - HTTP URL を指定する場合は、暗号化アルゴリズムも指定する必要があります。HTTPS URL を指定する場合、暗号化アルゴリズムに [なし] を指定することもできます。

AS2 クォータと制限事項

このセクションでは、AS2 のクォータと制限について説明します。

トピック

AS2 クォータ
シークレットの処理クォータ
既知の制限事項

AS2 クォータ

AS2 ファイル転送には次のクォータが設定されています。調整可能なクォータの増額をリクエストするには、AWS 全般のリファレンスの [AWS のサービスのクォータ] を参照してください。

AS2 クォータ
名前	デフォルト	引き上げ可能
1 秒あたりに受信されるインバウンドファイルの最大数	100	なし
1 秒あたりに送信されるアウトバウンドファイルの最大数	100	なし
同時インバウンドファイルの最大数	400	なし
同時アウトバウンドファイルの最大数	400	なし
インバウンドファイルの最大サイズ (非圧縮）	1 GB	なし
アウトバウンドファイルの最大サイズ (非圧縮）	1 GB	なし
アウトバウンドリクエストあたりのファイルの最大数	10	なし
1 秒あたりのアウトバウンドリクエストの最大数	100	なし
1 秒あたりのインバウンドリクエストの最大数	100	なし
アカウントあたりの最大アウトバウンド帯域幅 (アウトバウンド SFTP リクエストと AS2 リクエストの両方がこの値に影響します）	50 MB/秒	なし
アカウントあたりの契約の最大数	100	あり
アカウントあたりのコネクタの最大数 (SFTP コネクタと AS2 コネクタの両方がこの制限に寄与します）	100	あり
パートナープロファイルあたりの証明書の最大数	10	なし
アカウントあたりの証明書の最大数	1,000	あり
アカウントあたりのパートナープロファイルの最大数	1,000	あり

シークレットの処理クォータ

AWS Transfer Family は、基本認証を使用している AS2 のお客様 AWS Secrets Manager に代わってを呼び出します。さらに、Secrets Manager はを呼び出します AWS KMS。

注記

これらのクォータは、Transfer Family のシークレットの使用に固有のものではなく、内のすべてのサービス間で共有されます AWS アカウント。

Secrets Manager GetSecretValue の場合、適用されるクォータは、[AWS Secrets Manager クォータ] で説明されているように DescribeSecret と GetSecretValue API リクエストの合計レートです。

Secrets Manager `GetSecretValue`
名前	値	説明
DescribeSecret および GetSecretValue API リクエストの合計レート	サポートされている各リージョン: 10,000/秒	`DescribeSecret` と `GetSecretValue` API オペレーションを組み合わせた 1 秒あたりの最大トランザクション数。

の場合 AWS KMS、次のクォータがに適用されますDecrypt。詳細については、「各 AWS KMS API オペレーションのリクエストクォータ」を参照してください。

AWS KMS `Decrypt`
クォータ名	デフォルト値 (1 秒あたりのリクエスト)
暗号化オペレーション (対称) リクエストレート	これらの共有クォータは、 AWS リージョンおよびリクエストで使用される AWS KMS キーのタイプによって異なります。各クォータは個別に計算されます。 5,500 (共有) 以下のリージョンでは 10,000 (共有): 米国東部 (オハイオ)、us-east-2 アジアパシフィック (シンガポール)、ap-southeast-1 アジアパシフィック (シドニー)、ap-southeast-2 アジアパシフィック (東京)、ap-norteast-1 ヨーロッパ (フランクフルト)、eu-central-1 ヨーロッパ (ロンドン)、eu–west-2 以下のリージョンでは 50,000 (共有): 米国東部 (バージニア北部)、us-east-1 米国西部 (オレゴン)、us-west-2 ヨーロッパ (アイルランド)、eu-west-1
カスタムキーストアのリクエストクォータ注記このクォータは、外部キーストアを使用している場合にのみ適用されます。	カスタムキーストアのリクエストクォータは、カスタムキーストアごとに個別に計算されます。 AWS CloudHSM キーストアごとに 1,800 (共有）外部キーストアごとに 1,800 (共有)

既知の制限事項

サーバー側の TCP キープアライブはサポートされていません。クライアントがキープアライブパケットを送信しない限り、350 秒間何も操作しないと接続はタイムアウトします。
有効な契約がサービスによって承認され、Amazon CloudWatch Logs に表示されるには、メッセージに有効な AS2 ヘッダーが含まれている必要があります。
AS2 AWS Transfer Family のからメッセージを受信するサーバーは、RFC 6211 で定義されているように、メッセージ署名を検証するための暗号化メッセージ構文 (CMS) アルゴリズム保護属性をサポートしている必要があります。この属性は、一部の古い IBM Sterling 製品ではサポートされていません。
メッセージ ID が重複していると、「processed/Warning: duplicate-document」メッセージが表示されます。
AS2 証明書のキー長は 2048 ビット以上、最大で 4096 ビットでなければなりません。
AS2 メッセージまたは非同期 MDN を取引相手の HTTPS エンドポイントに送信する場合、メッセージまたは MDN は、信頼された公的認証機関 (CA) によって署名された有効な SSL 証明書を使用する必要があります。現在、自己署名証明書はアウトバウンド転送でのみサポートされています。
エンドポイントは TLS バージョン 1.2 プロトコルと、セキュリティポリシー (AWS Transfer Family サーバーのセキュリティポリシーを参照) で許可されている暗号化アルゴリズムをサポートしている必要があります。
AS2 バージョン 1.2 の複数の添付ファイルと証明書交換メッセージ (CEM) は、現在サポートされていません。
Basic 認証は現在、アウトバウンドメッセージでのみサポートされています。
AS2 プロトコルを使用する Transfer Family サーバーにファイル処理ワークフローをアタッチできますが、AS2 メッセージはサーバーにアタッチされたワークフローを実行しません。

AS2 の特徴と機能

次の表は、AS2 を使用する Transfer Family リソースで使用できる機能と能力の一覧です。

AS2 の機能

Transfer Family は AS2 向けに以下の機能を提供します。

Feature	Supported by AWS Transfer Family
Drummond 認定	Yes
AWS CloudFormation サポート	Yes
Amazon CloudWatch メトリクス	Yes
SHA-2 暗号アルゴリズム	Yes
Support for Amazon S3	Yes
Support for Amazon EFS	No
Scheduled Messages	Yes ¹
AWS Transfer Family Managed Workflows	No
Certificate Exchange Messaging (CEM)	No
Mutual TLS (mTLS)	No
Support for self-signed certificates	Yes

1. Amazon EventBridge を使用して AWS Lambda 関数をスケジュールすることで利用可能なアウトバウンドのスケジュールされたメッセージ

AS2 の送受信機能

次の表は、 AWS Transfer Family AS2 の送受信機能の一覧です。

Capability	Inbound: Receiving with server	Outbound: Sending with connector
TLS 暗号化トランスポート (HTTPS)	はい [¹]	Yes
Non-TLS Transport (HTTP)	Yes	はい [²]
Synchronous MDN	Yes	Yes
Message Compression	Yes	Yes
Asynchronous MDN	Yes	No
Static IP Address	Yes	Yes
Bring Your Own IP Address	Yes	No
Multiple File Attachments	No	No
Basic Authentication	No	Yes
AS2 Restart	Not applicable	No
AS2 Reliability	No	No
Custom Subject per Message	Not applicable	No

1. Network Load Balancer (NLB) または Application Load Balancer (ALB) で利用可能なインバウンド TLS 暗号化トランスポート

2. 暗号化が有効な場合にのみアウトバウンドの非 TLS トランスポートが使用可能

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

AS2 の Transfer Family

AS2 証明書を管理する