View a markdown version of this page

AWS Transfer Family para AS2 - AWS Transfer Family
Casos de uso do AS2Modelos AS2 CloudFormation

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS Transfer Family para AS2

A Declaração de Aplicabilidade 2 (AS2) é uma especificação de RFC-defined transmissão de arquivos que inclui mecanismos robustos de proteção e verificação de mensagens. A proteção de uma carga AS2 em trânsito usa a Sintaxe de Mensagens Criptográficas (CMS) com criptografia e assinaturas digitais para fornecer proteção de dados e autenticação entre pares. Uma carga de resposta assinada do Aviso de Disposição de Mensagens (MDN) fornece verificação (sem repúdio) de que uma mensagem foi recebida e descriptografada com sucesso.

O protocolo AS2 é essencial para fluxos de trabalho com requisitos de conformidade que dependem de recursos de proteção e segurança de dados incorporados ao protocolo. AWS Transfer Family Os endpoints AS2 são certificados pela Drummond, permitindo que clientes em setores como varejo, ciências biológicas, manufatura, serviços financeiros e serviços públicos realizem transações com segurança com seus parceiros de negócios.

Quando você usa o AS2 com Transfer Family, os dados transacionados são acessíveis de forma nativa em para: AWS

  • Processamento, análise e aprendizado de máquina

  • Integração com sistemas de planejamento de recursos corporativos (ERP)

  • Integração com sistemas de gerenciamento de relacionamento com o cliente (CRM)

Para trocar arquivos com um parceiro que tenha um AS2-enabled servidor, você deve:

  • Gere um par de chaves pública-privada para criptografia

  • Gere um par de chaves pública-privada para assinatura

  • Troque as chaves públicas com seu parceiro

Importante

Atualmente, os endpoints do servidor HTTPS AS2 não são suportados. Você é responsável pela rescisão do TLS.

O Transfer Family oferece um workshop do qual você pode participar, no qual você pode configurar um endpoint Transfer Family com AS2 habilitado e um conector Transfer Family AS2. É possível ver os detalhes desse workshop aqui.

Para obter instruções passo a passo para configurar o AS2 no Transfer Family, consulte o seguinte:

  1. Importar certificados AS2

  2. Crie perfis AS2

  3. Crie um servidor AS2

  4. Crie um contrato AS2

  5. Configurar conectores AS2

Para obter um exemplo completo, consulteConfigurando uma configuração AS2.

nota

Para mostrar suporte aos modelos AS2 Terraform, adicione uma reação positiva (👍) à solicitação de recurso de modelos do Transfer Family Terraform. Você também pode adicionar um comentário descrevendo seu caso de uso.

Casos de uso do AS2

Se você é um AWS Transfer Family cliente que deseja trocar arquivos com um parceiro que tem um AS2-enabled servidor, a parte mais complexa da configuração envolve gerar um par de chaves público-privadas para criptografia e outro para assinar e trocar as chaves públicas com o parceiro.

Diagrama que mostra o uso de pares de chaves público-privadas para criptografia e assinatura.

Considere as seguintes variações para uso AWS Transfer Family com o AS2.

nota

O parceiro comercial é o parceiro associado a esse perfil de parceiro.

Todas as menções de MDN na tabela a seguir pressupõem mDNS assinado.

Casos de uso do AS2

Inbound-only casos de uso

  • Transfira mensagens AS2 criptografadas de um parceiro comercial para um servidor Transfer Family.

    Nesse caso, você faz o seguinte:

    1. Crie perfis para você e seu parceiro comercial.

    2. Crie um servidor Transfer Family que use o protocolo AS2.

    3. Crie um contrato e adicione-o ao seu servidor.

    4. Importe um certificado com uma chave privada e adicione-o ao seu perfil e, em seguida, importe a chave pública para seu perfil de parceiro para criptografia.

    5. Depois de ter esses itens, envie a chave pública do seu certificado ao seu parceiro comercial.

    Agora, seu parceiro pode enviar mensagens criptografadas e é possível descriptografá-las e armazená-las em seu bucket do Amazon S3.

  • Transfira mensagens AS2 criptografadas de um parceiro comercial para um servidor Transfer Family e adicione assinatura.

    Nesse cenário, você ainda está fazendo apenas transferências de entrada, mas agora deseja que seu parceiro assine as mensagens enviadas. Nesse caso, importe a chave pública de assinatura do parceiro comercial (como um certificado de assinatura adicionado ao perfil do seu parceiro).

  • Transfira mensagens AS2 criptografadas de um parceiro comercial para um servidor Transfer Family e adicione assinatura e envio de uma resposta MDN.

    Nesse cenário, você ainda está fazendo apenas transferências de entrada, mas agora, além de receber cargas assinadas, seu parceiro comercial deseja receber uma resposta MDN assinada.

    1. Importe suas chaves de assinatura públicas e privadas (como um certificado de assinatura para seu perfil).

    2. Envie a chave pública de assinatura para seu parceiro comercial.

Outbound-only casos de uso

  • Transfira mensagens AS2 criptografadas de um servidor Transfer Family para um parceiro comercial.

    Esse caso é semelhante ao caso de uso de transferência somente de entrada, exceto que, em vez de adicionar um contrato ao seu servidor AS2, você cria um conector. Nesse caso, você importa a chave pública do seu parceiro comercial para o perfil dele.

  • Transfira mensagens AS2 criptografadas de um servidor Transfer Family para um parceiro comercial e adicione assinatura.

    Você ainda está fazendo apenas transferências externas, mas agora seu parceiro comercial quer que você assine a mensagem que você envia para ele.

    1. Importe sua chave privada de assinatura (como um certificado de assinatura adicionado ao seu perfil).

    2. Envie sua chave pública ao seu parceiro comercial.

  • Transfira mensagens AS2 criptografadas de um servidor Transfer Family para um parceiro comercial, adicione assinaturas e envie uma resposta MDN.

    Você ainda está fazendo apenas transferências externas, mas agora, além de enviar cargas assinadas, deseja receber uma resposta MDN assinada do seu parceiro comercial.

    1. Seu parceiro comercial envia a você a chave pública de assinatura.

    2. Importe a chave pública do seu parceiro comercial (como um certificado de assinatura adicionado ao seu perfil de parceiro).

Casos de uso de entrada e saída

  • Transfira mensagens AS2 criptografadas em ambas as direções entre um servidor Transfer Family e um parceiro comercial.

    Nesse caso, você faz o seguinte:

    1. Crie perfis para você e seu parceiro comercial.

    2. Crie um servidor Transfer Family que use o protocolo AS2.

    3. Crie um contrato e adicione-o ao seu servidor.

    4. Criar um conector.

    5. Importe um certificado com uma chave privada e adicione-o ao seu perfil e, em seguida, importe a chave pública para seu perfil de parceiro para criptografia.

    6. Receba uma chave pública do seu parceiro comercial e adicione-a ao perfil dele para criptografia.

    7. Depois de ter esses itens, envie a chave pública do seu certificado ao seu parceiro comercial.

    Agora você e seu parceiro comercial podem trocar mensagens criptografadas e ambos podem decifrá-las. É possível armazenar as mensagens que você recebe em seu bucket do Amazon S3, e seu parceiro pode descriptografar e armazenar as mensagens que você envia para ele.

  • Transfira mensagens AS2 criptografadas em ambas as direções entre um servidor Transfer Family e um parceiro comercial e adicione a assinatura.

    Agora você e seu parceiro querem mensagens assinadas.

    1. Importe sua chave privada de assinatura (como um certificado de assinatura adicionado ao seu perfil).

    2. Envie sua chave pública ao seu parceiro comercial.

    3. Importe a chave pública de assinatura do seu parceiro comercial e adicione-a ao perfil dele.

  • Transfira mensagens AS2 criptografadas em ambas as direções entre um servidor Transfer Family e um parceiro comercial, adicione assinaturas e envie uma resposta MDN.

    Agora, você quer trocar cargas assinadas, e você e seu parceiro comercial querem respostas da MDN.

    1. Seu parceiro comercial envia a você a chave pública de assinatura.

    2. Importe a chave pública do seu parceiro comercial (como um certificado de assinatura para seu perfil de parceiro).

    3. Envie sua chave pública para seu parceiro comercial.

Modelos AS2 CloudFormation

Este tópico fornece informações sobre AWS CloudFormation modelos que você pode usar para implantar rapidamente servidores e configurações AS2. AWS Transfer Family Esses modelos automatizam o processo de configuração e ajudam você a implementar as melhores práticas para transferências de arquivos AS2.

Personalizando modelos AS2

Você pode personalizar os modelos fornecidos para atender às suas necessidades específicas:

  1. Faça o download do modelo a partir do URL do S3.

  2. Modifique o código YAML para ajustar configurações como:

    • Configurações de segurança e configurações de certificado

    • Arquitetura de rede e configurações de VPC

    • Opções de armazenamento e tratamento de arquivos

    • Preferências de monitoramento e notificação

  3. Faça upload do modelo modificado em seu próprio bucket do S3.

  4. Implante o modelo personalizado usando o CloudFormation console ou AWS CLI.

Importante

Ao personalizar modelos, certifique-se de manter as dependências entre os recursos e seguir as melhores práticas de segurança.

Testando sua implantação do AS2

Depois de implantar um servidor AS2 usando um modelo, você pode testar a configuração:

  1. Verifique as saídas da CloudFormation pilha para ver exemplos de comandos e informações do endpoint.

  2. Use o AWS CLI para enviar um arquivo de teste:

    aws s3api put-object --bucket your-bucket-name --key test.txt --body test.txt
aws transfer start-file-transfer --connector-id your-connector-id --send-file-paths /your-bucket-name/test.txt

  3. Verifique a entrega do arquivo no bucket S3 de destino.

  4. Verifique CloudWatch os registros para ver se o processamento e as respostas do MDN foram bem-sucedidos.

Para testes mais abrangentes, considere usar clientes AS2 de terceiros para enviar arquivos para seu servidor Transfer Family AS2.

Práticas recomendadas para implantação do modelo AS2

Siga estas melhores práticas ao usar CloudFormation modelos AS2:

Segurança

Use certificados fortes e alterne-os regularmente.

Implemente políticas de IAM com privilégios mínimos.

Restrinja o acesso à rede usando grupos de segurança.

Confiabilidade

Implemente em várias zonas de disponibilidade.

Implemente monitoramento e alertas para transferências com falha.

Configure novas tentativas automáticas para transferências malsucedidas.

desempenho

Escolha os tipos de instância apropriados para seu volume de transferência.

Implemente políticas de ciclo de vida do S3 para gerenciamento eficiente de arquivos.

Monitore e otimize as configurações de rede.

Otimização de custo

Use o auto-scaling para cargas de trabalho variáveis.

Implemente classes de armazenamento S3 para arquivos mais antigos.

Monitore e ajuste os recursos com base no uso real.