本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 設定 AS2
若要建立AS2-enabled的伺服器,您還必須指定下列元件:
+ **協議** – 雙邊交易合作夥伴*協議*或合作夥伴關係,定義交換訊息 (檔案) 的雙方之間的關係。為了定義協議,Transfer Family 結合了伺服器、本機設定檔、合作夥伴設定檔和憑證資訊。Transfer 系列 AS2-inbound程序使用協議。
+ **憑證** – *公有金鑰 (X.509) 憑證*用於 AS2 通訊,以進行訊息加密和驗證。憑證也用於連接器端點。
+ **本機設定檔和合作夥伴設定檔** – *本機設定檔*定義本機 (啟用 AS2 的 Transfer Family 伺服器) 組織或 "party"。同樣地,*合作夥伴設定檔*會定義 Transfer Family 外部的遠端合作夥伴組織。
雖然並非所有AS2-enabled的伺服器都需要,但對於傳出傳輸,您需要**連接器**。連接器會擷取傳出連線的參數。將檔案傳送到客戶的外部非 AWS 伺服器時,需要連接器。
下圖顯示傳入和傳出程序中涉及的 AS2 物件之間的關係。
![\[圖表顯示傳入和傳出程序中涉及的 AS2 物件之間的關係。\]](http://docs.aws.amazon.com/zh_tw/transfer/latest/userguide/images/as2-architecture-in-out-agree-connect.png)
如需end-to-end範例 AS2 組態,請參閱 [設定 AS2 組態](as2-example-tutorial.md)。
**Topics**
+ [AS2 組態](#as2-supported-configurations)
+ [AS2 配額和限制](#as2-limitations)
+ [AS2 功能](#as2-capabilities)
## AS2 組態
本主題說明使用適用性聲明 2 (AS2) 通訊協定的傳輸支援的組態、功能和功能,包括接受的密碼和摘要。
**簽署、加密、壓縮、MDN**
對於傳入和傳出轉接,下列項目為必要或選用:
+ **加密** – 必要 (用於 HTTP 傳輸,這是目前唯一支援的傳輸方法)。只有在 TLS 終止代理轉送,例如 Application Load Balancer (ALB) 且 `X-Forwarded-Proto: https`標頭存在時,才會接受未加密的訊息。
+ **簽署** – 選用
+ **壓縮** – 選用 (目前唯一支援的壓縮演算法是 ZLIB)
+ **訊息處置通知 (MDN)** – 選用
**密碼**
傳入和傳出傳輸都支援下列密碼:
+ AES128\$1CBC
+ AES192\$1CBC
+ AES256\$1CBC
+ 3DES (僅適用於回溯相容性)
**摘要**
支援下列摘要:
+ **傳入簽署和 MDN** – SHA1, SHA256, SHA384, SHA512
+ **傳出簽署和 MDN** – SHA1, SHA256, SHA384, SHA512
**MDN**
對於 MDN 回應,支援特定類型,如下所示:
+ **傳入傳輸** – 同步和非同步
+ **傳出傳輸** – 同步和非同步
+ **簡易郵件傳輸通訊協定 (SMTP) (電子郵件 MDN)** – 不支援
**傳輸**
+ **傳入傳輸** – HTTP 是目前唯一支援的傳輸,您必須明確指定。
**注意**
如果您需要使用 HTTPS 進行傳入傳輸,您可以在 Application Load Balancer 或 Network Load Balancer 上終止 TLS。如[透過 HTTPS 接收 AS2 訊息](send-as2-messages.md#receive-https)中所述。
+ **傳出傳輸** – 如果您提供 HTTP URL,您還必須指定加密演算法。如果您提供 HTTPS URL,您可以選擇為加密演算法指定 **NONE**。
## AS2 配額和限制
本節討論 AS2 的配額和限制
**Topics**
+ [AS2 配額](#as2-quotas)
+ [處理秘密的配額](#as2-quotas-secrets)
+ [已知限制](#as2-known-limitations)
### AS2 配額
AS2 檔案傳輸具有下列配額。若要請求增加可調整的配額,請參閱 中的[AWS 服務 配額](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html)*AWS 一般參考*。
**AS2 配額**
| 名稱 | 預設 | 可調整 |
| --- | --- | --- |
| 每個傳出請求的檔案數量上限 | 10 | 否 |
| 每秒傳出請求的數量上限 | 100 | 否 |
| 每秒傳入請求的數量上限 | 100 | 否 |
| 每個帳戶的最大傳出頻寬 (傳出 SFTP 和 AS2 請求都有助於此值) | 每秒 50 MB | 否 |
### 處理秘密的配額
AWS Transfer Family AWS Secrets Manager 代表使用基本身分驗證的 AS2 客戶呼叫 。此外,Secrets Manager 會呼叫 AWS KMS。
**注意**
這些配額並非專屬於您使用 Transfer Family 的秘密:它們會與您 中的所有服務共用 AWS 帳戶。
對於 Secrets Manager `GetSecretValue`,套用的配額是 ** DescribeSecret 和 GetSecretValue API 請求的合併速率**,如[AWS Secrets Manager 配額](https://docs.aws.amazon.com/secretsmanager/latest/userguide/reference_limits.html#quotas)中所述。
**Secrets Manager `GetSecretValue`**
| 名稱 | 值 | Description |
| --- | --- | --- |
| DescribeSecret 和 GetSecretValue API 請求的合併速率 | 每個支援的區域:每秒 1 萬個 | 合併 DescribeSecret和 GetSecretValue API 操作的每秒交易上限。 |
對於 AWS KMS,下列配額適用於 `Decrypt`。如需詳細資訊,請參閱[每個 AWS KMS API 操作的請求配額](https://docs.aws.amazon.com/kms/latest/developerguide/requests-per-second.html#rps-table)
**AWS KMS `Decrypt`**
| 配額名稱 | 預設值 (每秒請求數) |
| --- | --- |
| 密碼編譯操作 (對稱) 請求率 | 這些共用配額會隨 AWS 區域 和請求中使用的 AWS KMS 金鑰類型而有所不同。每個配額會分別計算。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/transfer/latest/userguide/create-b2b-server.html) |
| 自訂金鑰存放區請求配額 此配額僅適用於您使用外部金鑰存放區的情況。 | 自訂金鑰存放區請求配額會針對每個自訂金鑰存放區分別計算。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/transfer/latest/userguide/create-b2b-server.html) |
### 已知限制
+ 不支援伺服器端 TCP 保持連線。除非用戶端傳送持續連線封包,否則連線會在閒置 350 秒後逾時。
+ 若要讓服務接受並出現在 Amazon CloudWatch logs中的作用中協議,訊息必須包含有效的 AS2 標頭。
+ 從 AWS Transfer Family for AS2 接收訊息的伺服器必須支援密碼編譯訊息語法 (CMS) 演算法保護屬性,以驗證訊息簽章,如 [RFC 6211 ](https://datatracker.ietf.org/doc/html/rfc6211)中所定義。某些舊版 IBM Sterling 產品不支援此屬性。
+ 重複的訊息 IDs會產生已處理/警告:重複的文件訊息。
+ AS2 憑證的金鑰長度必須至少為 2048 位元,最多為 4096 位元。
+ 將 AS2 訊息或非同步 MDNs 傳送至交易合作夥伴的 HTTPS 端點時,訊息或 MDNs 必須使用由公開信任憑證授權單位 (CA) 簽署的有效 SSL 憑證。自我簽署憑證目前僅支援傳出傳輸。
+ 端點必須支援 TLS 1.2 版通訊協定和安全政策允許的密碼編譯演算法 (如 中所述[AWS Transfer Family 伺服器的安全政策](security-policies.md))。
+ 目前不支援來自 AS2 1.2 版的多個附件和憑證交換訊息 (CEM)。
+ 目前僅支援傳出訊息的基本身分驗證。
+ 您可以將檔案處理工作流程連接至使用 AS2 通訊協定的 Transfer Family 伺服器:不過,AS2 訊息不會執行連接到伺服器的工作流程。
## AS2 功能
下表列出使用 AS2 的 Transfer Family 資源可用的功能。
### AS2 功能
Transfer Family 為 AS2 提供下列功能。
| Feature | Supported by AWS Transfer Family |
| --- |--- |
| [Drummond 認證](https://aws.amazon.com/about-aws/whats-new/2023/06/aws-transfer-family-drummond-group-as2-certification/) | Yes |
| [AWS CloudFormation 支援](https://docs.aws.amazon.com/transfer/latest/userguide/as2-cfn-demo-template.html) | Yes |
| [Amazon CloudWatch 指標](https://docs.aws.amazon.com/transfer/latest/userguide/as2-monitoring.html) | Yes |
| [SHA-2 密碼編譯演算法](https://docs.aws.amazon.com/transfer/latest/userguide/security-policies.html#cryptographic-algorithms) | Yes |
| Support for Amazon S3 | Yes |
| Support for Amazon EFS | No |
| Scheduled Messages | Yes 1 |
| AWS Transfer Family Managed Workflows | No |
| Certificate Exchange Messaging (CEM) | No |
| Mutual TLS (mTLS) | No |
| Support for self-signed certificates | Yes |
1. [使用 Amazon EventBridge 排程 AWS Lambda 函數](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-run-lambda-schedule.html)可用的傳出排程訊息
### AS2 傳送和接收功能
下表提供 AWS Transfer Family AS2 傳送和接收功能的清單。
| Capability | Inbound: Receiving with server | Outbound: Sending with connector |
| --- |--- |--- |
| [TLS 加密傳輸 (HTTPS)](send-as2-messages.md#as2-https-process) | 是 1 | Yes |
| Non-TLS Transport (HTTP) | Yes | 是 2 |
| Synchronous MDN | Yes | Yes |
| Message Compression | Yes | Yes |
| Asynchronous MDN | Yes | Yes |
| Static IP Address | Yes | Yes |
| Bring Your Own IP Address | Yes | No |
| Multiple File Attachments | No | No |
| Basic Authentication | No | Yes |
| AS2 Restart | Not applicable | No |
| AS2 Reliability | No | No |
| Custom Subject per Message | Not applicable | No |
1. Network Load Balancer (NLB) 或 Application Load Balancer (ALB) 提供傳入 TLS 加密傳輸
2. 只有在啟用加密時才能使用傳出非 TLS Transport