本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 正在配置 AS2
要创建 AS2启用了的服务器,还必须指定以下组件:
+ **协议** — 双边贸易伙伴*协议*或伙伴关系,定义交换消息(文件)的双方之间的关系。为了定义协议,Transfer Family 结合了服务器、本地配置文件、合作伙伴配置文件和证书信息。Tran AS2 sfer Family 入站流程使用协议。
+ **证书**-*公钥 (X.509) 证书*用于 AS2 通信以进行消息加密和验证。证书也用于连接器端点。
+ **本地档案和合作伙伴档案 — *本地资料***定义本地(AS2已启用 Transfer Family 服务器)组织或 “派对”。同样,*合作伙伴配置文件*定义了 Transfer Family 外部的远程合作伙伴组织。
虽然并非所有 AS2启用了连接器的服务器都需要连接器,但对于出站传输,则需要**连接器**。连接器捕获出站连接的参数。要将文件发送到客户的外部非 AWS 服务器,则需要使用连接器。
下图显示了入站和出站流程中涉及的 AS2 对象之间的关系。
![\[该图显示了入站和出站流程中涉及的 AS2 对象之间的关系。\]](http://docs.aws.amazon.com/zh_cn/transfer/latest/userguide/images/as2-architecture-in-out-agree-connect.png)
有关 AS2 配置示 end-to-end例,请参阅[设置 AS2 配置](as2-example-tutorial.md)。
**Topics**
+ [AS2 配置](#as2-supported-configurations)
+ [AS2 配额和限制](#as2-limitations)
+ [AS2 特性和功能](#as2-capabilities)
## AS2 配置
本主题介绍使用适用性声明 2 (AS2) 协议的传输支持的配置、特性和功能,包括接受的密码和摘要。
**签名、加密、压缩、MDN**
对于入站和出站传输,以下项目为必需或可选项目:
+ **加密** - 必需(对于 HTTP 传输,这是目前唯一支持的传输方法)。只有通过终止 TLS 的代理(例如应用程序负载均衡器(ALB))转发且 `X-Forwarded-Proto: https` 标头存在的情况下,才会接受未加密的消息。
+ **签名** - 可选
+ **压缩** - 可选(目前唯一支持的压缩算法是 ZLIB)
+ **邮件处置通知 (MDN)** - 可选
**密码**
入站和出站传输均支持以下密码:
+ AES128\$1CBC
+ AES192\$1CBC
+ AES256\$1CBC
+ 3DES(仅用于向后兼容)
**摘要**
支持以下摘要:
+ **入站签名和 MDN** — SHA1、、 SHA256、 SHA384 SHA512
+ **出站签名和 MDN** — SHA1、、 SHA256、 SHA384 SHA512
**MDN**
对于 MDN 响应,支持某些类型,如下所示:
+ **入站传输** - 同步和异步
+ **出站传输**-同步和异步
+ **简单邮件传输协议(SMTP)(电子邮件 MDN)** – 不支持
**Transports**
+ **入站传输** – HTTP 是目前唯一支持的传输,您必须明确指定。
**注意**
如果您需要使用 HTTPS 进行入站传输,则可以在应用程序负载均衡器或网络负载均衡器上终止 TLS。[通过 HTTPS 接收 AS2 消息](send-as2-messages.md#receive-https)中对此进行了描述。
+ **出站传输** - 如果您提供 HTTP URL,则还必须指定加密算法。如果您提供 HTTPS URL,则可以选择为加密算法指定 **NONE**。
## AS2 配额和限制
本节讨论配额和限制 AS2
**Topics**
+ [AS2 配额](#as2-quotas)
+ [处理密钥的限额](#as2-quotas-secrets)
+ [已知限制条件](#as2-known-limitations)
### AS2 配额
AS2 文件传输有以下配额。要申请增加可调整的限额,请参阅 *AWS 一般参考* 中的 [AWS 服务 限额](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html)。
**AS2 配额**
| Name | 默认值 | 可调整 |
| --- | --- | --- |
| 每个出站请求的最大文件数 | 10 | 否 |
| 每秒最大出站请求数 | 100 | 否 |
| 每秒最大入站请求数 | 100 | 否 |
| 每个账户的最大出站带宽(出站 SFTP 和 AS2请求均构成此值) | 每秒 50 MB | 否 |
### 处理密钥的限额
AWS Transfer Family AWS Secrets Manager 代表使用基本身份验证的 AS2 客户拨打电话。此外,Secrets Manager 还会拨打电话 AWS KMS。
**注意**
这些配额并不特定于你对 Transfer Family 的密钥的使用:它们是在你的所有服务之间共享的 AWS 账户。
对于 Secrets Manager`GetSecretValue`,适用的配额是**组合速率 DescribeSecret 和 GetSecretValue API 请求**,如[AWS Secrets Manager 配额](https://docs.aws.amazon.com/secretsmanager/latest/userguide/reference_limits.html#quotas)中所述。
**Secrets Manager `GetSecretValue`**
| Name | 值 | 说明 |
| --- | --- | --- |
| 和 GetSecretValue API 请求 DescribeSecret 的合并速率 | 每个受支持的区域:每秒 1 万个 | DescribeSecret和 GetSecretValue API 操作的每秒最大交易总和。 |
对于 AWS KMS,以下配额适用`Decrypt`。有关详细信息,请参阅[每个 AWS KMS API 操作的请求配额](https://docs.aws.amazon.com/kms/latest/developerguide/requests-per-second.html#rps-table)
**AWS KMS `Decrypt`**
| 限额名称 | 默认值(每秒请求数) |
| --- | --- |
| 加密操作(对称)请求速率 | 这些共享配额因请求中使用的 AWS KMS 密钥类型 AWS 区域 和密钥类型而异。每个配额都单独计算。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/transfer/latest/userguide/create-b2b-server.html) |
| 自定义密钥存储请求限额 此限额仅适用于使用外部密钥存储的情况。 | 自定义密钥存储请求限额是针对每个自定义密钥存储单独计算的。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/transfer/latest/userguide/create-b2b-server.html) |
### 已知限制条件
+ 不支持服务器端 TCP 保持活动状态。除非客户端发送保持活动状态的数据包,否则连接将在处于非活动状态 350 秒后超时。
+ 要使有效协议被服务接受并显示在 Amazon CloudWatch 日志中,消息必须包含有效的 AS2 标头。
+ 从 AWS Transfer Family for 接收消息的服务器 AS2 必须支持 [R](https://datatracker.ietf.org/doc/html/rfc6211) FC 6211 中定义的用于验证消息签名的加密消息语法 (CMS) 算法保护属性。某些较早的 IBM Sterling 产品不支持此属性。
+ 重复的消息 IDs 会导致已处理/警告:重复的文档消息。
+ AS2 证书的密钥长度必须至少为 2048 位,最多为 4096 位。
+ MDNs 向贸易伙伴的 HTTPS 终端节点发送 AS2 消息或异步消息时,消息或 MDNs 必须使用由公开信任的证书颁发机构 (CA) 签署的有效 SSL 证书。目前仅支持出站传输自签名证书。
+ 端点必须支持 TLS 版本 1.2 协议和安全策略允许的加密算法(如 [AWS Transfer Family 服务器的安全策略](security-policies.md) 中所述)。
+ 目前不支持 AS2 版本 1.2 中的多个附件和证书交换消息 (CEM)。
+ 基本身份验证目前仅支持出站消息。
+ 您可以将文件处理工作流程附加到使用该 AS2 协议的 Transfer Family 服务器:但是, AS2 消息不会执行附加到服务器的工作流程。
## AS2 特性和功能
下表列出了使用的 Transfer Family 资源可用的特性和功能 AS2。
### AS2 features
Transfer Family 为以下用户提供以下功能 AS2。
| 功能 | 由... 支持 AWS Transfer Family |
| --- |--- |
| [德拉蒙德认证](https://aws.amazon.com/about-aws/whats-new/2023/06/aws-transfer-family-drummond-group-as2-certification/) | 是 |
| [AWS CloudFormation 支持](https://docs.aws.amazon.com/transfer/latest/userguide/as2-cfn-demo-template.html) | 是 |
| [亚马逊 CloudWatch指标](https://docs.aws.amazon.com/transfer/latest/userguide/as2-monitoring.html) | 是 |
| [SHA-2 加密算法](https://docs.aws.amazon.com/transfer/latest/userguide/security-policies.html#cryptographic-algorithms) | 是 |
| 对亚马逊 S3 的支持 | 是 |
| Amazon EFS 支持 | 否 |
| 定时消息 | 是 1 |
| AWS Transfer Family 托管工作流程 | 否 |
| 证书交换消息 (CEM) | 否 |
| 双向 TLS(mTLS) | 否 |
| Support 支持自签名证书 | 是 |
1. 通过[使用 Amazon 的计划 AWS Lambda 功能](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-run-lambda-schedule.html)提供出站预设消息 EventBridge
### AS2 发送和接收功能
下表列出了 AWS Transfer Family AS2 发送和接收功能。
| 能力 | 入站:通过服务器接收 | 出站:使用连接器发送 |
| --- |--- |--- |
| [TLS 加密传输 (HTTPS)](send-as2-messages.md#as2-https-process) | 是 1 | 是 |
| 非 TLS 传输 (HTTP) | 是 | 是 2 |
| 同步 MDN | 支持 | 是 |
| 消息压缩 | 支持 | 是 |
| 异步 MDN | 支持 | 是 |
| 静态 IP 地址 | 支持 | 是 |
| 自带 IP 地址 | 是 | 否 |
| 多个文件附件 | 否 | 否 |
| 基本身份验证 | 否 | 是 |
| AS2 重启 | 不适用 | 否 |
| AS2 可靠性 | 否 | 否 |
| 每封邮件的自定义主题 | 不适用 | 否 |
1. Network Load Balancer (NLB) 或应用程序负载均衡器 (ALB) 提供入站 TLS 加密传输
2. 只有启用加密后,出站非 TLS 传输才可用