As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Configurando AS2
Para criar um servidor AS2 habilitado, você também deve especificar os seguintes componentes:
-
Acordos — Acordos bilaterais de parceiros comerciais, ou parcerias, definem o relacionamento entre as duas partes que estão trocando mensagens (arquivos). Para definir um contrato, o Transfer Family combina um servidor, um perfil local, um perfil de parceiro e informações do certificado. Os processos AS2 de entrada do Transfer Family usam acordos.
-
Certificados — Os certificados de chave pública (X.509) são usados na AS2 comunicação para criptografia e verificação de mensagens. Os certificados também são usados para terminais de conectores.
-
Perfis locais e perfis de parceiros — Um perfil local define a organização ou “parte” local (servidor Transfer Family AS2 habilitado). Da mesma forma, um perfil de parceiro define a organização parceira remota, externa à Transfer Family.
Embora não seja necessário para todos os servidores AS2 habilitados, para transferências de saída, você precisa de um conector. Um conector captura os parâmetros para uma conexão de saída. O conector é necessário para enviar arquivos para o AWS servidor externo do cliente.
O diagrama a seguir mostra a relação entre os AS2 objetos envolvidos nos processos de entrada e saída.
Para obter um end-to-end exemplo AS2 de configuração, consulteConfigurando uma AS2 configuração.
AS2 configurações
Este tópico descreve as configurações, os recursos e os recursos suportados para transferências que usam o protocolo Applicability Statement 2 (AS2), incluindo as cifras e resumos aceitos.
Assinatura, criptografia, compressão, MDN
Para transferências de entrada e de saída, os seguintes itens são obrigatórios ou opcionais:
-
Criptografia – Obrigatório (para transporte HTTP, que é o único método de transporte suportado atualmente). Mensagens não criptografadas só serão aceitas se encaminhadas por um proxy terminal TLS, como um Application Load Balancer (ALB), e o cabeçalho
X-Forwarded-Proto: httpsestiver presente. -
Assinatura — Opcional
-
Compressão — Opcional (o único algoritmo de compactação atualmente suportado é ZLIB)
-
Aviso de disposição de mensagens (MDN) — Opcional
Cifras
As cifras a seguir são suportadas para transferências de entrada e saída:
-
AES128_CBC
-
AES192_CBC
-
AES256_CBC
-
3DES (somente para compatibilidade com versões anteriores)
Resumos
Os seguintes resumos são suportados:
-
Assinatura de entrada e MDN — SHA1,,, SHA256 SHA384 SHA512
-
Assinatura externa e MDN — SHA1,,, SHA256 SHA384 SHA512
MDN
Para respostas MDN, determinados tipos são suportados, como segue:
-
Transferências de entrada — síncronas e assíncronas
-
Transferências de saída — somente síncronas
-
Protocolo de transferência de correio simples (SMTP) (e-mail MDN) – Não suportado
Transportes
-
Transferências de entrada — HTTP é o único transporte atualmente suportado e você deve especificá-lo explicitamente.
nota
Se precisar usar HTTPS para transferências de entrada, você poderá encerrar o TLS em um Application Load Balancer ou Network Load Balancer. Isso está descrito em Receba AS2 mensagens por HTTPS.
-
Transferências de saída — Se você fornecer uma URL HTTP, também deverá especificar um algoritmo de criptografia. Se você fornecer um URL HTTPS, terá a opção de especificar NONE para seu algoritmo de criptografia.
AS2 cotas e limitações
Esta seção discute cotas e limitações para AS2
AS2 cotas
As cotas a seguir estão em vigor para transferências de AS2 arquivos. Para solicitar um aumento para uma cota ajustável, consulte as AWS service (Serviço da AWS) cotas no Referência geral da AWS.
| Nome | Padrão | Ajustável |
|---|---|---|
| Número máximo de arquivos de entrada recebidos por segundo | 100 | Não |
| Número máximo de arquivos de saída enviados por segundo | 100 | Não |
| Número máximo de arquivos de entrada simultâneos | 400 | Não |
| Número máximo de arquivos de saída simultâneos | 400 | Não |
| Tamanho máximo do arquivo de entrada (não compactado) | 1 GB | Não |
| Tamanho máximo do arquivo de saída (não compactado) | 1 GB | Não |
| Número máximo de arquivos por solicitação de saída | 10 | Não |
| Número máximo de solicitações de saída por segundo | 100 | Não |
| Número máximo de solicitações de entrada por segundo | 100 | Não |
| Largura de banda máxima de saída por conta (tanto o SFTP de saída quanto as AS2 solicitações contribuem para esse valor) | 50 MB por segundo | Não |
| Número máximo de contratos por conta | 100 | Sim |
| Número máximo de conectores por conta (tanto o SFTP quanto AS2 os conectores contribuem para esse limite) | 100 | Sim |
| Número máximo de certificados por perfil de parceiro | 10 | Não |
| Número máximo de certificados por conta | 1000 | Sim |
| Número máximo de perfis de parceiros por conta | 1000 | Sim |
Cotas para lidar com segredos
AWS Transfer Family faz chamadas AWS Secrets Manager em nome de AS2 clientes que estão usando a autenticação básica. Além disso, o Secrets Manager faz chamadas para AWS KMS.
nota
Essas cotas não são específicas para o uso de segredos para Transfer Family: elas são compartilhadas entre todos os serviços do seu Conta da AWS.
Para o Secrets ManagerGetSecretValue, a cota aplicável é a taxa combinada de solicitações DescribeSecret e de GetSecretValue API, conforme descrito em AWS Secrets Manager
cotas.
| Nome | Valor | Descrição |
|---|---|---|
| Taxa combinada de solicitações DescribeSecret e de GetSecretValue API | Cada região compatível: 10.000 por segundo | O máximo de transações por segundo para operações DescribeSecret de GetSecretValue API combinadas. |
Para AWS KMS, as seguintes cotas se aplicam. Decrypt Para obter detalhes, consulte Solicitar cotas para cada operação de AWS KMS API
| Nome da cota | Valor padrão (solicitações por segundo) |
|---|---|
|
Taxa de solicitação de operações criptográficas (simétricas) |
Essas cotas compartilhadas variam de acordo com Região da AWS e com o tipo de AWS KMS chave usada na solicitação. Cada cota é calculada separadamente.
|
|
Cotas de solicitação de armazenamento de chaves personalizadas notaEsta cota só se aplica se você estiver usando um repositório de chaves externo. |
As cotas de solicitação de armazenamento de chaves personalizadas são calculadas separadamente para cada armazenamento de chaves personalizadas.
|
Limitações conhecidas
-
O keep-alive TCP do lado do servidor não é suportado. A conexão expira após 350 segundos de inatividade, a menos que o cliente envie pacotes keep-alive.
-
Para que um contrato ativo seja aceito pelo serviço e apareça nos CloudWatch registros da Amazon, as mensagens devem conter AS2 cabeçalhos válidos.
-
O servidor que está recebendo mensagens de AWS Transfer Family for AS2 deve suportar o atributo de proteção do algoritmo Cryptographic Message Syntax (CMS) para validar assinaturas de mensagens, conforme definido na RFC 6211.
Este atributo não é suportado em alguns produtos IBM Sterling mais antigos. -
Mensagem duplicada IDs resulta em uma mensagem
processada/Aviso: documento duplicado. -
O tamanho da chave para AS2 certificados deve ser de pelo menos 2048 bits e no máximo 4096.
-
Ao enviar AS2 mensagens ou de forma assíncrona MDNs para o endpoint HTTPS de um parceiro comercial, as mensagens MDNs devem usar um certificado SSL válido assinado por uma autoridade de certificação (CA) publicamente confiável. Atualmente, certificados autoassinados são compatíveis somente com transferências externas.
-
O endpoint deve suportar o protocolo TLS versão 1.2 e um algoritmo criptográfico permitido pela política de segurança (conforme descrito em Políticas de segurança para AWS Transfer Family servidores).
-
Atualmente, não há suporte para vários anexos e mensagens de troca de certificados (CEM) da AS2 versão 1.2.
-
Atualmente, a autenticação básica é suportada apenas para mensagens de saída.
-
Você pode anexar um fluxo de trabalho de processamento de arquivos a um servidor Transfer Family que usa o AS2 protocolo: no entanto, AS2 as mensagens não executam fluxos de trabalho conectados ao servidor.
AS2 características e capacidades
As tabelas a seguir listam os recursos e capacidades disponíveis para os recursos da Transfer Family que usam AS2.
AS2 features
O Transfer Family oferece os seguintes recursos para AS2.
| Recurso | Apoiado por AWS Transfer Family |
|---|---|
| Certificação Drummond |
Sim |
| AWS CloudFormation apoio | Sim |
| CloudWatchMétricas da Amazon | Sim |
| Algoritmos criptográficos SHA-2 | Sim |
| Support para Amazon S3 | Sim |
| Suporte para o Amazon EFS | Não |
| Mensagens agendadas | Sim 1 |
| AWS Transfer Family Fluxos de trabalho gerenciados | Não |
| Mensagens de troca de certificados (CEM) | Não |
| TLS mútuo (mTLS) | Não |
| Support para certificados autoassinados | Sim |
1. Mensagens agendadas de saída disponíveis por meio de AWS Lambda funções de agendamento usando a Amazon EventBridge
AS2 recursos de envio e recebimento
A tabela a seguir fornece uma lista dos recursos de AWS Transfer Family AS2 envio e recebimento.
| Recurso | Entrada: recebimento com servidor | Saída: envio com conector |
|---|---|---|
| Transporte criptografado TLS (HTTPS) | Sim 1 |
Sim |
| Transporte não TLS (HTTP) | Sim |
Sim 2 |
| MDN síncrono | Sim | Sim |
| Compressão de mensagens | Sim | Sim |
| MDN assíncrono | Sim | Não |
| Endereço IP estático | Sim | Sim |
| Traga seu próprio endereço IP | Sim | Não |
| Vários anexos de arquivo | Não | Não |
| Autenticação básica | Não | Sim |
| AS2 Reiniciar | Não aplicável | Não |
| AS2 Confiabilidade | Não | Não |
| Assunto personalizado por mensagem | Não aplicável | Não |
1. Transporte criptografado TLS de entrada disponível com Network Load Balancer (NLB) ou Application Load Balancer (ALB)
2. Transporte não TLS de saída disponível somente quando a criptografia está habilitada
