設定 AS2 - AWS Transfer Family

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定 AS2

若要建立AS2-enabled的伺服器,您還必須指定下列元件:

  • 協議 – 雙邊貿易合作夥伴協議或合作夥伴關係,定義交換訊息 (檔案) 的雙方之間的關係。為了定義協議,Transfer Family 結合了伺服器、本機設定檔、合作夥伴設定檔和憑證資訊。Transfer Family AS2-inbound程序使用協議。

  • 憑證公有金鑰 (X.509) 憑證用於 AS2 通訊,用於訊息加密和驗證。憑證也用於連接器端點。

  • 本機設定檔和合作夥伴設定檔本機設定檔定義本機 (啟用 AS2 的 Transfer Family 伺服器) 組織或「派對」。同樣地,合作夥伴設定檔會定義 Transfer Family 外部的遠端合作夥伴組織。

雖然並非所有AS2-enabled的伺服器都需要,但對於傳出傳輸,您需要連接器。連接器會擷取傳出連線的參數。將檔案傳送到客戶的外部非 AWS 伺服器時,需要連接器。

下圖顯示傳入和傳出程序中涉及的 AS2 物件之間的關係。

圖表顯示傳入和傳出程序中涉及的 AS2 物件之間的關係。

如需end-to-end範例 AS2 組態,請參閱 設定 AS2 組態

AS2 組態

本主題說明使用適用性聲明 2 (AS2) 通訊協定之傳輸支援的組態、功能和功能,包括接受的密碼和摘要。

簽署、加密、壓縮、MDN

對於傳入和傳出傳輸,下列項目為必要或選用項目:

  • 加密 – 必要 (用於 HTTP 傳輸,這是目前唯一支援的傳輸方法)。只有在 TLS 終止代理轉送,例如 Application Load Balancer (ALB) 且 X-Forwarded-Proto: https標頭存在時,才會接受未加密的訊息。

  • 簽署 – 選用

  • 壓縮 – 選用 (目前唯一支援的壓縮演算法是 ZLIB)

  • 訊息處置通知 (MDN) – 選用

密碼

傳入和傳出傳輸都支援下列密碼:

  • AES128_CBC

  • AES192_CBC

  • AES256_CBC

  • 3DES (僅適用於回溯相容性)

摘要

支援下列摘要:

  • 傳入簽署和 MDN – SHA1, SHA256, SHA384, SHA512

  • 傳出簽署和 MDN – SHA1, SHA256, SHA384, SHA512

MDN

對於 MDN 回應,支援特定類型,如下所示:

  • 傳入傳輸 – 同步和非同步

  • 傳出傳輸 – 僅限同步

  • 簡易郵件傳輸通訊協定 (SMTP) (電子郵件 MDN) – 不支援

傳輸

  • 傳入傳輸 – HTTP 是目前唯一支援的傳輸,您必須明確指定。

    注意

    如果您需要使用 HTTPS 進行傳入傳輸,您可以在 Application Load Balancer 或 Network Load Balancer 上終止 TLS。如 中所述透過 HTTPS 接收 AS2 訊息

  • 傳出傳輸 – 如果您提供 HTTP URL,您還必須指定加密演算法。如果您提供 HTTPS URL,您可以選擇為加密演算法指定 NONE

AS2 配額和限制

本節討論 AS2 的配額和限制

AS2 配額

AS2 檔案傳輸具有下列配額。若要請求增加可調整的配額,請參閱 中的AWS 服務 配額AWS 一般參考

AS2 配額
名稱 預設 可調整
每秒收到的傳入檔案數目上限 100
每秒傳送的傳出檔案數量上限 100
並行傳入檔案的數量上限 400
並行傳出檔案的數量上限 400
傳入檔案的大小上限 (未壓縮) 1 GB
傳出檔案的大小上限 (未壓縮) 1 GB
每個傳出請求的檔案數量上限 10
每秒傳出請求的數量上限 100
每秒傳入請求的數量上限 100
每個帳戶的最大傳出頻寬 (傳出 SFTP 和 AS2 請求都有助於此值) 每秒 50 MB
每個帳戶的協議數目上限 100
每個帳戶的連接器數量上限 (SFTP 和 AS2 連接器都造成此限制) 100
每個合作夥伴設定檔的憑證數量上限 10
每個帳戶的憑證數量上限 1000
每個帳戶的合作夥伴設定檔數目上限 1000

處理秘密的配額

AWS Transfer Family AWS Secrets Manager 代表使用基本身分驗證的 AS2 客戶呼叫 。此外,Secrets Manager 會呼叫 AWS KMS。

注意

這些配額並非專屬於您使用 Transfer Family 的秘密:它們會與您 中的所有服務共用 AWS 帳戶。

對於 Secrets Manager GetSecretValue,套用的配額是 DescribeSecret 和 GetSecretValue API 請求的合併速率,如AWS Secrets Manager 配額中所述。

Secrets ManagerGetSecretValue
名稱 描述
DescribeSecret 和 GetSecretValue API 請求的合併速率 每個支援的區域:每秒 1 萬個 合併 DescribeSecretGetSecretValue API 操作的每秒交易上限。

對於 AWS KMS,下列配額適用於 Decrypt。如需詳細資訊,請參閱每個 AWS KMS API 操作的請求配額

AWS KMS Decrypt
配額名稱 預設值 (每秒請求數)

密碼編譯操作 (對稱) 請求率

這些共用配額會隨 AWS 區域 和請求中使用的 AWS KMS 金鑰類型而有所不同。每個配額會分別計算。

  • 5,500 (共用)

  • 下列區域中為 10,000 (共享):

    • 美國東部 (俄亥俄),us-east-2

    • 亞太區域 (新加坡) ap-southeast-1

    • 亞太區域 (雪梨),ap-southeast-2

    • 亞太區域 (東京),ap-northeast-1

    • 歐洲 (法蘭克福),eu-central-1

    • 歐洲 (倫敦),eu-west-2

  • 下列區域中為 50,000 (共用):

    • 美國東部 (維吉尼亞北部),us-east-1

    • 美國西部 (奧勒岡),us-west-2

    • 歐洲 (愛爾蘭),eu-west-1

自訂金鑰存放區請求配額

注意

此配額僅適用於您使用外部金鑰存放區的情況。

自訂金鑰存放區請求配額會針對每個自訂金鑰存放區分別計算。

  • 每個 AWS CloudHSM 金鑰存放區 1,800 個 (共用)

  • 每個外部金鑰存放區 1800 個 (共用)

已知限制

  • 不支援伺服器端 TCP 保持連線。除非用戶端傳送持續連線封包,否則連線會在閒置 350 秒後逾時。

  • 若要讓服務接受並出現在 Amazon CloudWatch logs中的作用中協議,訊息必須包含有效的 AS2 標頭。

  • 從 AWS Transfer Family for AS2 接收訊息的伺服器必須支援密碼編譯訊息語法 (CMS) 演算法保護屬性,以驗證訊息簽章,如 RFC 6211 中所定義。某些舊版 IBM Sterling 產品不支援此屬性。

  • 重複的訊息 IDs會產生已處理/警告:重複的文件訊息。

  • AS2 憑證的金鑰長度必須至少為 2048 位元,最多為 4096 位元。

  • 將 AS2 訊息或非同步 MDNs 傳送至交易合作夥伴的 HTTPS 端點時,訊息或 MDNs 必須使用由公開信任憑證授權單位 (CA) 簽署的有效 SSL 憑證。自我簽署憑證目前僅支援傳出傳輸。

  • 端點必須支援 TLS 1.2 版通訊協定和安全政策允許的密碼編譯演算法 (如 中所述AWS Transfer Family 伺服器的安全政策)。

  • 目前不支援來自 AS2 1.2 版的多個附件和憑證交換訊息 (CEM)。

  • 目前僅支援傳出訊息的基本身分驗證。

  • 您可以將檔案處理工作流程連接至使用 AS2 通訊協定的 Transfer Family 伺服器:不過,AS2 訊息不會執行連接到伺服器的工作流程。

AS2 功能

下表列出使用 AS2 的 Transfer Family 資源可用的功能。

AS2 功能

Transfer Family 為 AS2 提供下列功能。

Feature Supported by AWS Transfer Family
Drummond 認證 Yes
AWS CloudFormation 支援 Yes
Amazon CloudWatch 指標 Yes
SHA-2 密碼編譯演算法 Yes
Support for Amazon S3 Yes
Support for Amazon EFS No
Scheduled Messages Yes 1
AWS Transfer Family Managed Workflows No
Certificate Exchange Messaging (CEM) No
Mutual TLS (mTLS) No
Support for self-signed certificates Yes

1. 使用 Amazon EventBridge 排程 AWS Lambda 函數可用的傳出排程訊息

AS2 傳送和接收功能

下表提供 AWS Transfer Family AS2 傳送和接收功能的清單。

Capability Inbound: Receiving with server Outbound: Sending with connector
TLS 加密傳輸 (HTTPS)

1

Yes
Non-TLS Transport (HTTP) Yes

2

Synchronous MDN Yes Yes
Message Compression Yes Yes
Asynchronous MDN Yes No
Static IP Address Yes Yes
Bring Your Own IP Address Yes No
Multiple File Attachments No No
Basic Authentication No Yes
AS2 Restart Not applicable No
AS2 Reliability No No
Custom Subject per Message Not applicable No

1. Network Load Balancer (NLB) 或 Application Load Balancer (ALB) 提供傳入 TLS 加密傳輸

2. 只有在啟用加密時才能使用傳出非 TLS Transport