AWS Transfer Family 对于 AS2

适用性声明 2 (AS2) 是 RFC 定义的文件传输规范，其中包括强大的消息保护和验证机制。该 AS2 协议对于需要在协议中内置数据保护和安全功能的合规性要求的工作流程至关重要。

注意

AS2 for Transfer Family 已获得德拉蒙德认证。

零售、生命科学、制造、金融服务和公用事业等依赖 AS2 供应链、物流和支付工作流程的行业的客户可以使用 AWS Transfer Family AS2 端点安全地与其业务合作伙伴进行交易。已处理的数据可在本地访问， AWS 用于处理、分析和机器学习。这些数据也可用于与运行 AWS的企业资源规划 (ERP) 和客户关系管理 (CRM) 系统集成。借 AS2助，客户可以大规模进行其 business-to-business (B2B) 交易， AWS 同时保持现有的业务合作伙伴集成和合规性。

如果您是 Transfer Family 客户，想要与具有 AS2启用服务器的合作伙伴交换文件，则设置包括生成一个用于加密的公私密钥对，另一个用于与合作伙伴签署和交换公钥。

Transfer Family 提供了一个你可以参加的研讨会，在研讨会中，你可以将 Transfer Family 端点配置为 AS2 已启用，也可以配置 Transfer Famil AS2 y 连接器。您可以在此处查看本次研讨会的详细信息。

保护传输中的有效 AS2 载荷通常涉及使用加密消息语法 (CMS)，通常使用加密和数字签名来提供数据保护和对等身份验证。已签名的消息处置通知（MDN）响应有效负载提供消息已接收并成功解密的验证（不可否认性）。

这些 CMS 有效负载和 MDN 响应通过 HTTP 进行传输。

注意

目前不支持 HTTPS AS2 服务器端点。目前，客户负责 TLS 终止。

有关设置适用性声明 2 (AS2) 配置的详细 step-by-step演练，请参阅教程。设置 AS2 配置

用户指南提供了在 Transfer Family 中配置过程 AS2 中的每个步骤的说明。

AS2 用例

如果您是想要与具有 AS2启用服务器的合作伙伴交换文件的 AWS Transfer Family 客户，则设置中最复杂的部分是生成一个用于加密的公私密钥对，另一个用于与合作伙伴签署和交换公钥。

AWS Transfer Family 与一起使用时，请考虑以下变体 AS2。

注意

贸易伙伴是与该合作伙伴资料关联的合作伙伴。

下表中所有提及 MDN 的内容都假设已签名 MDNs。

AS2 用例
仅限入站的使用案例将加密的 AS2 消息从交易伙伴传输到 Transfer Family 服务器。在此情况下，您可以执行以下操作：为您的贸易伙伴和您自己创建档案。创建使用该 AS2协议的 Transfer Family 服务器。创建协议并将其添加到您的服务器。导入带有私钥的证书并将其添加到您的个人资料中，然后将公钥导入您的合作伙伴资料进行加密。拿到这些物品后，将证书的公有密钥发送给您的交易伙伴。现在，您的合作伙伴可以向您发送加密消息，您可以将其解密并存储在您的 Amazon S3 存储桶中。将加密的 AS2 消息从交易伙伴传输到 Transfer Family 服务器并添加签名。在这种情况下，您仍然只进行入站传输，但现在您希望让您的合作伙伴签署他们发送的消息。在这种情况下，请导入贸易伙伴的签名公钥（作为添加到合作伙伴资料中的签名证书）。将加密的 AS2 消息从交易伙伴传输到 Transfer Family 服务器，然后添加签名并发送 MDN 响应。在这种情况下，您仍然只进行入站传输，但是现在，除了接收已签名的有效负载外，您的交易伙伴还希望接收签名的 MDN 响应。导入您的公有和私有签名密钥（作为签名证书导入您的配置文件中）。将公开签名密钥发送给您的贸易伙伴。
仅限出站的使用案例将加密的 AS2 消息从 Transfer Family 服务器传输给交易伙伴。这种情况与仅限入站传输的用例类似，不同之处在于您无需向 AS2服务器添加协议，而是创建连接器。在这种情况下，您可以将贸易伙伴的公钥导入他们的个人资料中。将加密的 AS2 消息从 Transfer Family 服务器传输给贸易伙伴并添加签名。您仍然只进行出站转账，但现在您的贸易伙伴希望您在发送给他们的消息上签名。导入您的签名私有密钥（作为签名证书添加至您的配置文件中）。将您的公钥发送给您的贸易伙伴。将加密的 AS2 消息从 Transfer Family 服务器传输到交易伙伴，然后添加签名并发送 MDN 响应。您仍然只能进行出站转账，但是现在，除了发送已签名的有效载荷外，您还希望收到贸易伙伴签名的 MDN 响应。您的贸易伙伴向您发送他们的公开签名密钥。导入您的贸易伙伴的公钥（作为添加到您的合作伙伴资料中的签名证书）。
入站和出站使用案例在 Transfer Family 服务器和交易伙伴之间双向传输加密 AS2 消息。在此情况下，您可以执行以下操作：为您的贸易伙伴和您自己创建档案。创建使用该 AS2协议的 Transfer Family 服务器。创建协议并将其添加到您的服务器。创建连接器。导入带有私钥的证书并将其添加到您的个人资料中，然后将公钥导入您的合作伙伴资料进行加密。从您的贸易伙伴那里接收公钥并将其添加到他们的个人资料中进行加密。拿到这些物品后，将证书的公有密钥发送给您的交易伙伴。现在，您和您的交易伙伴可以交换加密消息，并且双方都可以对其进行解密。您可以将接收的消息存储在 Amazon S3 存储桶中，且您的合作伙伴可以解密和存储您发送给他们的消息。在 Transfer Family 服务器和贸易伙伴之间双向传输加密 AS2 消息并添加签名。现在您和您的合作伙伴想要签名消息。导入您的签名私有密钥（作为签名证书添加至您的配置文件中）。将您的公钥发送给您的贸易伙伴。导入您的贸易伙伴的签名公钥并将其添加到他们的个人资料中。在 Transfer Family 服务器和交易伙伴之间双向传输加密 AS2 消息，添加签名并发送 MDN 响应。现在，您想交换签名的有效负载，并且您和您的交易伙伴都想要 MDN 响应。您的贸易伙伴向您发送他们的公开签名密钥。导入贸易伙伴的公钥（作为合作伙伴资料的签名证书）。将您的公钥发送给您的贸易伙伴。

AS2 CloudFormation 模板

本主题提供有关 AWS CloudFormation 模板的信息，您可以使用这些模板来快速部署 AS2 服务器和配置 AWS Transfer Family。这些模板可以自动执行设置过程，并帮助您实施 AS2 文件传输的最佳实践。

有关基本 AS2 模板的描述，请参见使用模板创建演示 Transfer Family AS2 堆栈
中描述了用于自定义 HTTP 标头的 AS2 为 AS2 消息自定义 HTTP 标头模板。

自定义模板 AS2

您可以自定义提供的模板以满足您的特定要求：

从 S3 网址下载模板。
修改 YAML 代码以调整配置，例如：
- 安全设置和证书配置
- 网络架构和 VPC 设置
- 存储选项和文件处理
- 监控和通知首选项
将修改后的模板上传到自己的 S3 存储桶。
使用 AWS CloudFormation 控制台部署自定义模板或 AWS CLI。

重要

自定义模板时，请确保保持资源之间的依赖关系并遵循安全最佳实践。

测试您的 AS2 部署

使用模板部署 AS2 服务器后，您可以测试配置：

查看 CloudFormation 堆栈输出以获取示例命令和端点信息。

使用 AWS CLI 发送测试文件：


aws s3api put-object --bucket your-bucket-name --key test.txt --body test.txt
aws transfer start-file-transfer --connector-id your-connector-id --send-file-paths /your-bucket-name/test.txt

验证目标 S3 存储桶中的文件传输。
检查 CloudWatch 日志是否成功处理和 MDN 响应。

要进行更全面的测试，可以考虑使用第三方 AS2 客户端将文件发送到您的 Transfer Famil AS2 y 服务器。

AS2 模板部署的最佳实践

使用 AS2 CloudFormation 模板时，请遵循以下最佳实践：

安全性

使用强证书并定期轮换。

实施最低权限的 IAM 策略。

使用安全组限制网络访问。

可靠性

跨多个可用区部署。

对失败的传输实施监控和警报。

为失败的传输设置自动重试。

性能

为您的传输量选择合适的实例类型。

实施 S3 生命周期策略以实现高效的文件管理。

监控和优化网络配置。

成本优化

对可变的工作负载使用自动缩放。

为较旧的文件实现 S3 存储类别。

根据实际使用情况监控和调整资源。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

参考架构

配置 AS2