本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
設定 AS2
若要建立AS2-enabled的伺服器,您還必須指定下列元件:
-
協議 – 雙邊貿易合作夥伴協議或合作夥伴關係,定義交換訊息 (檔案) 的雙方之間的關係。為了定義協議,Transfer Family 結合了伺服器、本機設定檔、合作夥伴設定檔和憑證資訊。Transfer Family AS2-inbound程序使用協議。
-
憑證 – 公有金鑰 (X.509) 憑證用於 AS2 通訊,用於訊息加密和驗證。憑證也用於連接器端點。
-
本機設定檔和合作夥伴設定檔 – 本機設定檔定義本機 (啟用 AS2 的 Transfer Family 伺服器) 組織或「派對」。同樣地,合作夥伴設定檔會定義 Transfer Family 外部的遠端合作夥伴組織。
雖然並非所有AS2-enabled的伺服器都需要,但對於傳出傳輸,您需要連接器。連接器會擷取傳出連線的參數。將檔案傳送到客戶的外部非 AWS 伺服器時,需要連接器。
下圖顯示傳入和傳出程序中涉及的 AS2 物件之間的關係。

如需end-to-end範例 AS2 組態,請參閱 設定 AS2 組態。
AS2 組態
本主題說明使用適用性聲明 2 (AS2) 通訊協定之傳輸支援的組態、功能和功能,包括接受的密碼和摘要。
簽署、加密、壓縮、MDN
對於傳入和傳出傳輸,下列項目為必要或選用項目:
-
加密 – 必要 (用於 HTTP 傳輸,這是目前唯一支援的傳輸方法)。只有在 TLS 終止代理轉送,例如 Application Load Balancer (ALB) 且
X-Forwarded-Proto: https
標頭存在時,才會接受未加密的訊息。 -
簽署 – 選用
-
壓縮 – 選用 (目前唯一支援的壓縮演算法是 ZLIB)
-
訊息處置通知 (MDN) – 選用
密碼
傳入和傳出傳輸都支援下列密碼:
-
AES128_CBC
-
AES192_CBC
-
AES256_CBC
-
3DES (僅適用於回溯相容性)
摘要
支援下列摘要:
-
傳入簽署和 MDN – SHA1, SHA256, SHA384, SHA512
-
傳出簽署和 MDN – SHA1, SHA256, SHA384, SHA512
MDN
對於 MDN 回應,支援特定類型,如下所示:
-
傳入傳輸 – 同步和非同步
-
傳出傳輸 – 僅限同步
-
簡易郵件傳輸通訊協定 (SMTP) (電子郵件 MDN) – 不支援
傳輸
-
傳入傳輸 – HTTP 是目前唯一支援的傳輸,您必須明確指定。
注意
如果您需要使用 HTTPS 進行傳入傳輸,您可以在 Application Load Balancer 或 Network Load Balancer 上終止 TLS。如 中所述透過 HTTPS 接收 AS2 訊息。
-
傳出傳輸 – 如果您提供 HTTP URL,您還必須指定加密演算法。如果您提供 HTTPS URL,您可以選擇為加密演算法指定 NONE。
AS2 配額和限制
本節討論 AS2 的配額和限制
AS2 配額
AS2 檔案傳輸具有下列配額。若要請求增加可調整的配額,請參閱 中的AWS 服務 配額AWS 一般參考。
名稱 | 預設 | 可調整 |
---|---|---|
每秒收到的傳入檔案數目上限 | 100 | 否 |
每秒傳送的傳出檔案數量上限 | 100 | 否 |
並行傳入檔案的數量上限 | 400 | 否 |
並行傳出檔案的數量上限 | 400 | 否 |
傳入檔案的大小上限 (未壓縮) | 1 GB | 否 |
傳出檔案的大小上限 (未壓縮) | 1 GB | 否 |
每個傳出請求的檔案數量上限 | 10 | 否 |
每秒傳出請求的數量上限 | 100 | 否 |
每秒傳入請求的數量上限 | 100 | 否 |
每個帳戶的最大傳出頻寬 (傳出 SFTP 和 AS2 請求都有助於此值) | 每秒 50 MB | 否 |
每個帳戶的協議數目上限 | 100 | 是 |
每個帳戶的連接器數量上限 (SFTP 和 AS2 連接器都造成此限制) | 100 | 是 |
每個合作夥伴設定檔的憑證數量上限 | 10 | 否 |
每個帳戶的憑證數量上限 | 1000 | 是 |
每個帳戶的合作夥伴設定檔數目上限 | 1000 | 是 |
處理秘密的配額
AWS Transfer Family AWS Secrets Manager 代表使用基本身分驗證的 AS2 客戶呼叫 。此外,Secrets Manager 會呼叫 AWS KMS。
注意
這些配額並非專屬於您使用 Transfer Family 的秘密:它們會與您 中的所有服務共用 AWS 帳戶。
對於 Secrets Manager GetSecretValue
,套用的配額是 DescribeSecret 和 GetSecretValue API 請求的合併速率,如AWS Secrets Manager 配額中所述。
名稱 | 值 | 描述 |
---|---|---|
DescribeSecret 和 GetSecretValue API 請求的合併速率 | 每個支援的區域:每秒 1 萬個 | 合併 DescribeSecret 和 GetSecretValue API 操作的每秒交易上限。 |
對於 AWS KMS,下列配額適用於 Decrypt
。如需詳細資訊,請參閱每個 AWS KMS API 操作的請求配額
配額名稱 | 預設值 (每秒請求數) |
---|---|
密碼編譯操作 (對稱) 請求率 |
這些共用配額會隨 AWS 區域 和請求中使用的 AWS KMS 金鑰類型而有所不同。每個配額會分別計算。
|
自訂金鑰存放區請求配額 注意此配額僅適用於您使用外部金鑰存放區的情況。 |
自訂金鑰存放區請求配額會針對每個自訂金鑰存放區分別計算。
|
已知限制
-
不支援伺服器端 TCP 保持連線。除非用戶端傳送持續連線封包,否則連線會在閒置 350 秒後逾時。
-
若要讓服務接受並出現在 Amazon CloudWatch logs中的作用中協議,訊息必須包含有效的 AS2 標頭。
-
從 AWS Transfer Family for AS2 接收訊息的伺服器必須支援密碼編譯訊息語法 (CMS) 演算法保護屬性,以驗證訊息簽章,如 RFC 6211
中所定義。某些舊版 IBM Sterling 產品不支援此屬性。 -
重複的訊息 IDs會產生
已處理/警告:重複的文件
訊息。 -
AS2 憑證的金鑰長度必須至少為 2048 位元,最多為 4096 位元。
-
將 AS2 訊息或非同步 MDNs 傳送至交易合作夥伴的 HTTPS 端點時,訊息或 MDNs 必須使用由公開信任憑證授權單位 (CA) 簽署的有效 SSL 憑證。自我簽署憑證目前僅支援傳出傳輸。
-
端點必須支援 TLS 1.2 版通訊協定和安全政策允許的密碼編譯演算法 (如 中所述AWS Transfer Family 伺服器的安全政策)。
-
目前不支援來自 AS2 1.2 版的多個附件和憑證交換訊息 (CEM)。
-
目前僅支援傳出訊息的基本身分驗證。
-
您可以將檔案處理工作流程連接至使用 AS2 通訊協定的 Transfer Family 伺服器:不過,AS2 訊息不會執行連接到伺服器的工作流程。
AS2 功能
下表列出使用 AS2 的 Transfer Family 資源可用的功能。
AS2 功能
Transfer Family 為 AS2 提供下列功能。
Feature | Supported by AWS Transfer Family |
---|---|
Drummond 認證 |
Yes |
AWS CloudFormation 支援 | Yes |
Amazon CloudWatch 指標 | Yes |
SHA-2 密碼編譯演算法 | Yes |
Support for Amazon S3 | Yes |
Support for Amazon EFS | No |
Scheduled Messages | Yes 1 |
AWS Transfer Family Managed Workflows | No |
Certificate Exchange Messaging (CEM) | No |
Mutual TLS (mTLS) | No |
Support for self-signed certificates | Yes |
1. 使用 Amazon EventBridge 排程 AWS Lambda 函數可用的傳出排程訊息
AS2 傳送和接收功能
下表提供 AWS Transfer Family AS2 傳送和接收功能的清單。
Capability | Inbound: Receiving with server | Outbound: Sending with connector |
---|---|---|
TLS 加密傳輸 (HTTPS) | 是 1 |
Yes |
Non-TLS Transport (HTTP) | Yes |
是 2 |
Synchronous MDN | Yes | Yes |
Message Compression | Yes | Yes |
Asynchronous MDN | Yes | No |
Static IP Address | Yes | Yes |
Bring Your Own IP Address | Yes | No |
Multiple File Attachments | No | No |
Basic Authentication | No | Yes |
AS2 Restart | Not applicable | No |
AS2 Reliability | No | No |
Custom Subject per Message | Not applicable | No |
1. Network Load Balancer (NLB) 或 Application Load Balancer (ALB) 提供傳入 TLS 加密傳輸
2. 只有在啟用加密時才能使用傳出非 TLS Transport