設定 AS2 連接器 - AWS Transfer Family
建立 AS2 連接器AS2 連接器演算法AS2 連接器的基本身分驗證啟用 AS2 連接器的基本身分驗證檢視連接器詳細資訊

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定 AS2 連接器

連接器的目的是在交易合作夥伴之間建立對外傳輸的關係,將 AS2 檔案從 Transfer Family 伺服器傳送至外部的合作夥伴擁有目的地。對於連接器,您可以指定本機方、遠端合作夥伴及其憑證 (透過建立本機和合作夥伴設定檔)。

準備好連接器後,您可以將資訊傳輸給交易合作夥伴。每個 AS2 伺服器都會指派三個靜態 IP 地址。AS2 連接器使用這些 IP 地址透過 AS2 傳送非同步 MDNs 給您的交易合作夥伴。

注意

交易合作夥伴收到的訊息大小與 Amazon S3 中的物件大小不相符。發生此差異是因為 AS2 訊息在傳送之前將檔案包裝在信封中。因此,即使檔案是以壓縮方式傳送,檔案大小也可能會增加。因此,請確定交易合作夥伴的檔案大小上限大於您要傳送的檔案大小。

  1. 匯入 AS2 憑證

  2. 建立 AS2 設定檔

  3. 建立 AS2 伺服器

  4. 建立 AS2 協議

  5. 建立 AS2 連接器

建立 AS2 連接器

此程序說明如何使用 AWS Transfer Family 主控台建立 AS2 連接器。如果您想要 AWS CLI 改用 ,請參閱 步驟 6:在您和合作夥伴之間建立連接器

建立 AS2 連接器

  1. 在 https://https://console.aws.amazon.com/transfer/ 開啟 AWS Transfer Family 主控台。

  2. 在左側導覽窗格中,從 AS2 交易合作夥伴功能表中選擇要傳送訊息的連接器,然後選擇建立 AS2 連接器

  3. 連接器組態區段中,指定下列資訊:

    • URL – 輸入傳出連線的 URL。

    • 存取角色 – 選擇要使用的 (IAM) 角色的 Amazon Resource Name AWS Identity and Access Management (ARN)。請確定此角色提供對StartFileTransfer請求中所用檔案位置之父目錄的讀取和寫入存取權。此外,請確定角色提供您要使用 傳送之檔案的父目錄的讀取和寫入存取權StartFileTransfer

      注意

      如果您使用連接器的基本身分驗證,存取角色需要秘密的 secretsmanager:GetSecretValue 許可。如果秘密是使用客戶受管金鑰而非 AWS 受管金鑰 中的 加密 AWS Secrets Manager,則角色也需要該金鑰的 kms:Decrypt 許可。如果您以字首 命名秘密aws/transfer/,您可以使用萬用字元 (*) 新增必要的許可,如建立秘密的範例許可所示。

    • 記錄角色 (選用) – 為連接器選擇用於將事件推送至 CloudWatch 日誌的 IAM 角色。

  4. AS2 組態區段中,選擇本機和合作夥伴設定檔、加密和簽署演算法,以及是否壓縮傳輸的資訊。請注意以下內容:

    • Preserve S3 Content-Type 參數預設為啟用。

      設定時,Transfer Family 會使用與 S3 中的物件相關聯的 Amazon S3,而不是根據副檔名來映射內容類型。 Content-Type如果您希望服務根據副檔名來映射 AS2 訊息的內容類型,而不是使用 S3 物件中的內容類型,請清除此設定。

    • 對於加密演算法,除非您必須支援需要的舊版用戶端,DES_EDE3_CBC否則請勿選擇 ,因為它是一種較弱的加密演算法。

    • 在與連接器一起傳送的 AS2 訊息中,主旨會用作 subject HTTP 標頭屬性。

    • 如果您選擇在沒有加密演算法的情況下建立連接器,則必須指定 HTTPS做為您的通訊協定。

  5. 基本身分驗證區段中,指定下列資訊。

    • 若要傳送登入憑證與傳出訊息,請選取啟用基本身分驗證。如果您不想傳送任何包含傳出訊息的登入資料,請保持清除啟用基本身分驗證

    • 如果您使用身分驗證,請選擇或建立秘密。

      • 若要建立新的秘密,請選擇建立新的秘密,然後輸入使用者名稱和密碼。這些登入資料必須符合連線至合作夥伴端點的使用者。

        AWS Transfer Family 主控台中的建立連接器頁面,顯示基本身分驗證區段,其中包含選擇建立新的秘密。

      • 若要使用現有的秘密,請選擇選擇現有的秘密,然後從下拉式功能表中選擇秘密。如需在 Secrets Manager 中建立正確格式秘密的詳細資訊,請參閱 啟用 AS2 連接器的基本身分驗證

        AWS Transfer Family 主控台中的建立連接器頁面,顯示基本身分驗證區段,其中包含選擇所選的現有秘密。

  6. MDN 組態區段中,指定下列資訊:

    • 請求 MDN – 您可以選擇要求交易合作夥伴在成功透過 AS2 接收您的訊息之後,傳送 MDN 給您。

    • 已簽署 MDN – 您可以選擇要求簽署 MDNs。只有在您已選取請求 MDN 時,才能使用此選項。

  7. 確認所有設定後,請選擇建立 AS2 連接器以建立連接器。

連接器頁面隨即出現,並將新連接器的 ID 新增至清單。若要檢視連接器的詳細資訊,請參閱 檢視 AS2 連接器詳細資訊

AS2 連接器演算法

當您建立 AS2 連接器時,下列安全演算法會連接至連接器。

類型 演算法
TLS 密碼

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

AS2 連接器的基本身分驗證

當您建立或更新使用 AS2 通訊協定的 Transfer Family 伺服器時,您可以為傳出訊息新增基本身分驗證。您可以將身分驗證資訊新增至連接器來執行此操作。

注意

只有在您使用 HTTPS 時,才能使用基本身分驗證。

若要對連接器使用身分驗證,請在基本身分驗證區段中選取啟用基本身分驗證。啟用基本身分驗證後,您可以選擇建立新的秘密,或使用現有的秘密。在任何一種情況下,秘密中的登入資料都會與使用此連接器的傳出訊息一起傳送。登入資料必須符合嘗試連線至交易合作夥伴遠端端點的使用者。

下列螢幕擷取畫面顯示已選取啟用基本身分驗證,以及建立所選的新秘密。做出這些選擇後,您可以輸入秘密的使用者名稱和密碼。

Transfer Family 主控台連接器頁面,顯示連接器的訊息身分驗證資訊。在此情況下,會選取啟用基本身分驗證,並選取建立新秘密。

下列螢幕擷取畫面顯示已選取啟用基本身分驗證,以及選擇所選的現有秘密。您的秘密必須採用正確的格式,如中所述啟用 AS2 連接器的基本身分驗證

Transfer Family 主控台連接器頁面,顯示連接器的訊息身分驗證資訊。在此情況下,會選取啟用基本身分驗證,並選擇現有的秘密。

啟用 AS2 連接器的基本身分驗證

當您為 AS2 連接器啟用基本身分驗證時,您可以在 Transfer Family 主控台中建立新的秘密,也可以使用您在 中建立的秘密 AWS Secrets Manager。在任何一種情況下,您的秘密都會存放在 Secrets Manager 中。

在主控台中建立新的秘密

當您在主控台中建立連接器時,您可以建立新的秘密。

若要建立新的秘密,請選擇建立新的秘密,然後輸入使用者名稱和密碼。這些登入資料必須符合連線至合作夥伴端點的使用者。

AWS Transfer Family 主控台建立連接器頁面,顯示基本身分驗證區段,其中包含選擇建立新的秘密。
注意

當您在主控台中建立新的秘密時,秘密的名稱遵循此命名慣例:/aws/transfer/connector-id,其中 connector-id 是您建立的連接器 ID。當您嘗試在其中尋找秘密時,請考慮這一點 AWS Secrets Manager。

使用現有的 密碼

在主控台中建立連接器時,您可以指定現有的秘密。

若要使用現有的秘密,請選擇選擇現有的秘密,然後從下拉式功能表中選擇秘密。如需在 Secrets Manager 中建立正確格式秘密的詳細資訊,請參閱 在 中建立秘密 AWS Secrets Manager

AWS Transfer Family 主控台建立連接器頁面,顯示基本身分驗證區段與選擇所選的現有秘密。

在 中建立秘密 AWS Secrets Manager

下列程序說明如何建立適當的秘密,以搭配 AS2 連接器使用。

注意

只有在您使用 HTTPS 時,才能使用基本身分驗證。

將使用者登入資料儲存在 Secrets Manager for AS2 基本身分驗證中

  1. 登入 AWS Management Console 並開啟位於 https://https://console.aws.amazon.com/secretsmanager/ 的 AWS Secrets Manager 主控台。

  2. 在左側導覽窗格中,選擇秘密

  3. 秘密頁面上,選擇儲存新的秘密

  4. 選擇秘密類型頁面上,針對秘密類型,選擇其他類型的秘密

  5. 鍵/值對區段中,選擇鍵/值索引標籤。

    • 金鑰 – 輸入 Username

    • value – 輸入授權連線至合作夥伴伺服器的使用者名稱。

  6. 如果您想要提供密碼,請選擇新增資料列,然後在鍵/值對區段中,選擇鍵/值索引標籤。

    選擇新增資料列,然後在鍵/值對區段中,選擇鍵/值索引標籤。

    • 金鑰 – 輸入 Password

    • value – 輸入使用者的密碼。

  7. 如果您想要提供私有金鑰,請選擇新增資料列,然後在金鑰/值對區段中,選擇金鑰/值索引標籤。

    • 金鑰 – 輸入 PrivateKey

    • value – 輸入使用者的私有金鑰。此值必須以 OpenSSH 格式存放,且必須對應至遠端伺服器中為此使用者存放的公有金鑰。

  8. 選擇下一步

  9. 設定秘密頁面上,輸入秘密的名稱和描述。我們建議您使用 的字首aws/transfer/做為名稱。例如,您可以將秘密命名為 aws/transfer/connector-1

  10. 選擇下一步,然後在設定輪換頁面上接受預設值。然後選擇下一步

  11. 檢閱頁面上,選擇存放以建立和存放秘密。

建立秘密之後,您可以在建立連接器時選擇秘密 (請參閱 設定 AS2 連接器)。在您啟用基本身分驗證的步驟中,從可用秘密的下拉式清單中選擇秘密。

檢視 AS2 連接器詳細資訊

您可以在 AWS Transfer Family 主控台中找到 AS2 AWS Transfer Family connector 的詳細資訊和屬性清單。AS2 連接器的屬性包括其 URL、角色、設定檔、MDNs、標籤和監控指標。

這是檢視連接器詳細資訊的程序。

檢視連接器詳細資訊

  1. 在 https://https://console.aws.amazon.com/transfer/ 開啟 AWS Transfer Family 主控台。

  2. 在左側導覽窗格中,選擇 Connectors (連接器)

  3. 連接器 ID 欄中選擇識別符,以查看所選連接器的詳細資訊頁面。

您可以選擇編輯,在連接器的詳細資訊頁面上變更 AS2 連接器的屬性。

Transfer Family 主控台連接器詳細資訊頁面,顯示所選連接器的 URL、存取角色和記錄角色。
Transfer Family 主控台連接器詳細資訊頁面,顯示所選連接器的 AS2 組態詳細資訊。
Transfer Family 主控台連接器詳細資訊頁面,顯示所選連接器的 AS2 基本身分驗證區段詳細資訊、標籤、靜態 IP 和 AS2 監控資訊。
注意

您可以執行下列 AWS Command Line Interface (AWS CLI 命令:

aws transfer describe-connector --connector-id your-connector-id

如需詳細資訊,請參閱 API 參考DescribeConnector中的 。