AWS Transfer Family 適用於 AS2 的

適用性聲明 2 (AS2) 是一種 RFC 定義的檔案傳輸規格，其中包含強大的訊息保護和驗證機制。保護傳輸中的 AS2 承載會使用加密訊息語法 (CMS) 搭配加密和數位簽章，以提供資料保護和對等身分驗證。已簽署的訊息處置通知 (MDN) 回應承載提供驗證（不可否認），指出訊息已接收並成功解密。

AS2 通訊協定對於具有合規要求的工作流程至關重要，這些工作流程依賴於在協定中內建的資料保護和安全性功能。 AWS Transfer Family AS2 端點經過 Drummond 認證，可讓零售、生命科學、製造、金融服務和公用程式等產業的客戶安全地與其業務合作夥伴交易。

當您搭配 Transfer Family 使用 AS2 時，交易的資料可在中 AWS 原生存取：

處理、分析和機器學習
與企業資源規劃 (ERP) 系統整合
與客戶關係管理 (CRM) 系統整合

若要與具有AS2-enabled之伺服器的合作夥伴交換檔案，您必須：

產生用於加密的公有/私有金鑰對
產生公有/私有金鑰對以進行簽署
與您的合作夥伴交換公有金鑰

重要

目前不支援 HTTPS AS2 伺服器端點。您必須負責終止 TLS。

Transfer Family 提供您可以參加的研討會，您可以在其中設定啟用 AS2 的 Transfer Family 端點，以及 Transfer Family AS2 連接器。您可以在這裡檢視此研討會的詳細資訊。

如需在 Transfer Family 中設定 AS2 step-by-step說明，請參閱以下內容：

如需完整範例，請參閱設定 AS2 組態。

注意

若要顯示 AS2 Terraform 範本的支援，請將拇指向上反應 (👍) 新增至 Transfer Family Terraform 範本功能請求。您也可以新增說明使用案例的註解。

AS2 使用案例

如果您是想要與AS2-enabled伺服器的合作夥伴交換檔案 AWS Transfer Family 的客戶，則設定中最複雜的部分包括產生一個公有/私有金鑰對進行加密，以及另一個用於簽署，以及與合作夥伴交換公有金鑰。

考慮將 AWS Transfer Family 與 AS2 搭配使用的下列變化。

注意

交易合作夥伴是與該合作夥伴設定檔相關聯的合作夥伴。

下表中所有提及的 MDN 都會假設已簽署MDNs。

AS2 使用案例
僅限傳入使用案例將加密的 AS2 訊息從交易合作夥伴傳輸到 Transfer Family 伺服器。在此情況下，請執行下列操作：為您的交易合作夥伴和您自己建立設定檔。建立使用 AS2 通訊協定的 Transfer Family 伺服器。建立協議並將其新增至您的伺服器。使用私有金鑰匯入憑證並將其新增至您的設定檔，然後將公有金鑰匯入您的合作夥伴設定檔以進行加密。取得這些項目後，請將憑證的公有金鑰傳送給您的交易合作夥伴。現在，您的合作夥伴可以傳送加密的訊息給您，而且您可以解密它們並將其存放在 Amazon S3 儲存貯體中。將加密的 AS2 訊息從交易合作夥伴傳輸到 Transfer Family 伺服器，並新增簽署。在此案例中，您仍然只執行傳入傳輸，但現在您希望合作夥伴簽署他們傳送的訊息。在此情況下，匯入交易合作夥伴的簽署公有金鑰（做為新增至合作夥伴設定檔的簽署憑證）。將加密的 AS2 訊息從交易合作夥伴傳輸到 Transfer Family 伺服器，並新增簽署和傳送 MDN 回應。在此案例中，您仍然只執行傳入傳輸，但現在除了接收已簽署的承載之外，您的交易合作夥伴還希望收到已簽署的 MDN 回應。匯入您的公有和私有簽署金鑰（做為您設定檔的簽署憑證）。將公有簽署金鑰傳送給您的交易合作夥伴。
僅限傳出使用案例將加密的 AS2 訊息從 Transfer Family 伺服器傳輸到交易合作夥伴。此案例類似於僅限傳入的傳輸使用案例，但您可以建立連接器，而不是將協議新增至 AS2 伺服器。在此情況下，您會將交易合作夥伴的公有金鑰匯入其設定檔。將加密的 AS2 訊息從 Transfer Family 伺服器傳輸到交易合作夥伴，並新增簽署。您仍然只執行對外轉移，但現在您的交易合作夥伴希望您簽署傳送給他們的訊息。匯入您的簽署私有金鑰（做為新增至設定檔的簽署憑證）。將公有金鑰傳送給您的交易合作夥伴。將加密的 AS2 訊息從 Transfer Family 伺服器傳輸到交易合作夥伴，並新增簽署並傳送 MDN 回應。您仍然只執行傳出傳輸，但現在除了傳送已簽署的承載之外，還希望從交易合作夥伴收到已簽署的 MDN 回應。您的貿易合作夥伴會傳送其公有簽署金鑰給您。匯入交易合作夥伴的公有金鑰（做為新增至合作夥伴設定檔的簽署憑證）。
傳入和傳出使用案例在 Transfer Family 伺服器和交易合作夥伴之間雙向傳輸加密的 AS2 訊息。在此情況下，請執行下列操作：為您的交易合作夥伴和您自己建立設定檔。建立使用 AS2 通訊協定的 Transfer Family 伺服器。建立協議並將其新增至您的伺服器。建立連接器。使用私有金鑰匯入憑證並將其新增至您的設定檔，然後將公有金鑰匯入您的合作夥伴設定檔以進行加密。從您的交易合作夥伴接收公有金鑰，並將其新增至其設定檔以進行加密。取得這些項目後，請將憑證的公有金鑰傳送給您的交易合作夥伴。現在，您和您的交易合作夥伴可以交換加密的訊息，而且可以解密它們。您可以將收到的訊息存放在 Amazon S3 儲存貯體中，您的合作夥伴可以解密和儲存您傳送給他們的訊息。在 Transfer Family 伺服器與交易合作夥伴之間以雙向傳輸加密的 AS2 訊息，並新增簽署。現在您和您的合作夥伴想要已簽章的訊息。匯入您的簽署私有金鑰（做為新增至設定檔的簽署憑證）。將公有金鑰傳送給您的交易合作夥伴。匯入您交易合作夥伴的簽署公有金鑰，並將其新增至其設定檔。在 Transfer Family 伺服器與交易合作夥伴之間雙向傳輸加密的 AS2 訊息，並新增簽署並傳送 MDN 回應。現在，您想要交換已簽章的承載，而且您和您的交易合作夥伴都想要 MDN 回應。您的貿易合作夥伴會傳送其公有簽署金鑰給您。匯入您交易合作夥伴的公有金鑰（做為您合作夥伴設定檔的簽署憑證）。將您的公有金鑰傳送給您的交易合作夥伴。

AS2 CloudFormation 範本

本主題提供有關 AWS CloudFormation 範本的資訊，您可以用來快速部署 AS2 伺服器和組態 AWS Transfer Family。這些範本會自動化設定程序，並協助您實作 AS2 檔案傳輸的最佳實務。

基本 AS2 範本說明於使用範本建立示範 Transfer Family AS2 堆疊
中說明自訂 HTTP 標頭的 AS2 範本自訂 AS2 訊息的 HTTP 標頭。

自訂 AS2 範本

您可以自訂提供的範本，以符合您的特定需求：

從 S3 URL 下載範本。
修改 YAML 程式碼以調整組態，例如：
- 安全性設定和憑證組態
- 網路架構和 VPC 設定
- 儲存選項和檔案處理
- 監控和通知偏好設定
將修改後的範本上傳至您自己的 S3 儲存貯體。
使用 CloudFormation 主控台或部署自訂範本 AWS CLI。

重要

自訂範本時，請確定您維護資源之間的相依性，並遵循安全最佳實務。

測試您的 AS2 部署

使用範本部署 AS2 伺服器之後，您可以測試組態：

檢查 CloudFormation 堆疊輸出的範例命令和端點資訊。

使用 AWS CLI 傳送測試檔案：


aws s3api put-object --bucket your-bucket-name --key test.txt --body test.txt
aws transfer start-file-transfer --connector-id your-connector-id --send-file-paths /your-bucket-name/test.txt

在目的地 S3 儲存貯體中驗證檔案交付。
檢查 CloudWatch 日誌是否有成功的處理和 MDN 回應。

如需更全面的測試，請考慮使用第三方 AS2 用戶端將檔案傳送到 Transfer Family AS2 伺服器。

AS2 範本部署的最佳實務

使用 AS2 CloudFormation 範本時，請遵循下列最佳實務：

安全

使用強式憑證並定期輪換。

實作最低權限的 IAM 政策。

使用安全群組限制網路存取。

可靠性

跨多個可用區域部署。

針對失敗的傳輸實作監控和提醒。

設定失敗傳輸的自動重試。

效能

為您的傳輸磁碟區選擇適當的執行個體類型。

實作 S3 生命週期政策以實現高效的檔案管理。

監控和最佳化網路組態。

成本最佳化

針對可變工作負載使用自動擴展。

實作較舊檔案的 S3 儲存類別。

根據實際用量監控和調整資源。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

參考架構

設定 AS2