Einrichtung einer AS2-Konfiguration - AWS Transfer Family
Schritt 1: Zertifikate für AS2 erstellenSchritt 2: Erstellen Sie einen Transfer Family Family-Server, der das AS2-Protokoll verwendetSchritt 3: Zertifikate als Transfer Family Family-Zertifikatsressourcen importierenSchritt 4: Erstellen Sie Profile für Sie und Ihren HandelspartnerSchritt 5: Erstellen Sie eine Vereinbarung zwischen Ihnen und Ihrem PartnerSchritt 6: Stellen Sie eine Verbindung zwischen Ihnen und Ihrem Partner herSchritt 7: Testen Sie den Austausch von Dateien über AS2 mithilfe von Transfer Family

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einrichtung einer AS2-Konfiguration

In diesem Tutorial wird beschrieben, wie Sie eine AS2-Konfiguration (Applicability Statement 2) mit einrichten. AWS Transfer Family Nachdem Sie die hier beschriebenen Schritte ausgeführt haben, verfügen Sie über einen AS2-fähigen Server, der bereit ist, AS2-Nachrichten von einem Beispielhandelspartner anzunehmen. Sie werden auch über einen Konnektor verfügen, mit dem AS2-Nachrichten an den Beispielhandelspartner gesendet werden können.

Anmerkung

In einigen Teilen des Beispiel-Setups wird das AWS Command Line Interface (AWS CLI) verwendet. Falls Sie das noch nicht installiert haben AWS CLI, finden Sie weitere Informationen unter Installieren oder Aktualisieren der neuesten Version von AWS CLI im AWS Command Line Interface Benutzerhandbuch.

  1. Erstellen Sie Zertifikate für sich und Ihren Handelspartner. Wenn Sie bereits Zertifikate haben, die Sie verwenden können, können Sie diesen Abschnitt überspringen.

    Dieser Vorgang wird unter beschriebenSchritt 1: Zertifikate für AS2 erstellen.

  2. Erstellen Sie einen AWS Transfer Family Server, der das AS2-Protokoll verwendet. Optional können Sie dem Server eine Elastic IP-Adresse hinzufügen, sodass er mit dem Internet verbunden ist.

    Dieser Prozess wird unter beschrieben. Schritt 2: Erstellen Sie einen Transfer Family Family-Server, der das AS2-Protokoll verwendet

    Anmerkung

    Sie müssen einen Transfer Family Family-Server nur für eingehende Übertragungen erstellen. Wenn Sie nur ausgehende Übertragungen durchführen, benötigen Sie keinen Transfer Family Family-Server.

  3. Importieren Sie die Zertifikate, die Sie in Schritt 1 erstellt haben.

    Dieser Vorgang wird unter beschriebenSchritt 3: Zertifikate als Transfer Family Family-Zertifikatsressourcen importieren.

  4. Um Ihre Handelspartner einzurichten, erstellen Sie ein lokales Profil und ein Partnerprofil.

    Dieser Vorgang wird unter beschriebenSchritt 4: Erstellen Sie Profile für Sie und Ihren Handelspartner.

  5. Erstellen Sie eine Vereinbarung zwischen Ihnen und Ihrem Handelspartner.

    Dieser Prozess wird unter beschriebenSchritt 5: Erstellen Sie eine Vereinbarung zwischen Ihnen und Ihrem Partner.

    Anmerkung

    Sie müssen eine Vereinbarung nur für eingehende Übertragungen erstellen. Wenn Sie nur ausgehende Überweisungen durchführen, benötigen Sie keine Vereinbarung.

  6. Stellen Sie eine Verbindung zwischen Ihnen und Ihrem Handelspartner her.

    Dieser Prozess wird unter beschriebenSchritt 6: Stellen Sie eine Verbindung zwischen Ihnen und Ihrem Partner her.

    Anmerkung

    Sie müssen einen Connector nur für ausgehende Übertragungen erstellen. Wenn Sie nur eingehende Übertragungen durchführen, benötigen Sie keinen Connector.

  7. Testen Sie einen AS2-Dateiaustausch.

    Dieser Vorgang wird unter beschrieben. Schritt 7: Testen Sie den Austausch von Dateien über AS2 mithilfe von Transfer Family

Nachdem Sie diese Schritte abgeschlossen haben, können Sie wie folgt vorgehen:

  • Senden Sie Dateien mit dem Befehl Transfer Family start-file-transfer AWS Command Line Interface (AWS CLI) an einen AS2-fähigen Remote-Partnerserver.

  • Empfangen Sie Dateien von einem AS2-fähigen Remote-Partnerserver auf Port 5080 über Ihren Virtual Private Cloud (VPC) -Endpunkt.

Schritt 1: Zertifikate für AS2 erstellen

Beide Parteien in einem AS2-Austausch benötigen X.509-Zertifikate. Sie können diese Zertifikate auf beliebige Weise erstellen. In diesem Thema wird beschrieben, wie Sie OpenSSL von der Befehlszeile aus verwenden, um ein Stammzertifikat zu erstellen und anschließend untergeordnete Zertifikate zu signieren. Beide Parteien müssen ihre eigenen Zertifikate generieren.

Anmerkung

Die Schlüssellänge für AS2-Zertifikate muss mindestens 2048 Bit und höchstens 4096 Bit betragen.

Beachten Sie Folgendes, um Dateien mit einem Partner zu übertragen:

  • Sie können Zertifikate an Profile anhängen. Die Zertifikate enthalten öffentliche oder private Schlüssel.

  • Ihr Handelspartner sendet Ihnen seine öffentlichen Schlüssel und Sie senden ihm Ihre.

  • Ihr Handelspartner verschlüsselt Nachrichten mit Ihrem öffentlichen Schlüssel und signiert sie mit seinem privaten Schlüssel. Umgekehrt verschlüsseln Sie Nachrichten mit dem öffentlichen Schlüssel Ihres Partners und signieren sie mit Ihrem privaten Schlüssel.

    Anmerkung

    Wenn Sie es vorziehen, Schlüssel mit einer GUI zu verwalten, Portecleist dies eine Option, die Sie verwenden können.

Um Beispielzertifikate zu generieren
Wichtig

Senden Sie Ihrem Partner nicht Ihre privaten Schlüssel. In diesem Beispiel generieren Sie einen Satz selbstsignierter öffentlicher und privater Schlüssel für eine Partei. Wenn Sie zu Testzwecken als beide Geschäftspartner agieren möchten, können Sie diese Anweisungen wiederholen, um zwei Schlüsselsätze zu generieren: einen für jeden Geschäftspartner. In diesem Fall müssen Sie nicht zwei Root-Zertifizierungsstellen (CAs) generieren.

  1. Führen Sie den folgenden Befehl aus, um einen privaten RSA-Schlüssel mit einem 2048-Bit-Modul zu generieren.

    /usr/bin/openssl genrsa -out root-ca-key.pem 2048

  2. Führen Sie den folgenden Befehl aus, um ein selbstsigniertes Zertifikat mit Ihrer Datei zu erstellen. root-ca-key.pem

    /usr/bin/openssl req \
-x509 -new -nodes -sha256 \
-days 1825 \
-subj "/C=US/ST=MA/L=Boston/O=TransferFamilyCustomer/OU=IT-dept/CN=ROOTCA" \
-key root-ca-key.pem \
-out root-ca.pem

    Das -subj Argument besteht aus den folgenden Werten.

    Name Beschreibung
    C Ländercode Ein aus zwei Buchstaben bestehender Code für das Land, in dem Ihre Organisation ansässig ist.
    ST Bundesland, Region oder Provinz Das Bundesland, die Region oder die Provinz, in der Ihre Organisation ansässig ist. (In diesem Fall bezieht sich Region nicht auf Ihre AWS-Region.)
    L Ortsname Die Stadt, in der sich Ihre Organisation befindet.
    O Name der Organisation Der vollständige offizielle Name Ihrer Organisation, einschließlich Suffixen wie LLC, Corp usw.
    OU Name der Organisationseinheit Die Abteilung in Ihrer Organisation, die sich mit diesem Zertifikat befasst.
    CN Allgemeiner Name oder vollqualifizierter Domänenname (FQDN) In diesem Fall erstellen wir ein Stammzertifikat, der Wert ist ROOTCA also. In diesen Beispielen beschreiben wir den Zweck des Zertifikats. CN

  3. Erstellen Sie einen Signaturschlüssel und einen Verschlüsselungsschlüssel für Ihr lokales Profil.

    /usr/bin/openssl genrsa -out signing-key.pem 2048
/usr/bin/openssl genrsa -out encryption-key.pem 2048
    Anmerkung

    Einige AS2-fähige Server, wie OpenAS2, erfordern, dass Sie dasselbe Zertifikat sowohl für das Signieren als auch für die Verschlüsselung verwenden. In diesem Fall können Sie denselben privaten Schlüssel und dasselbe Zertifikat für beide Zwecke importieren. Führen Sie dazu diesen Befehl anstelle der beiden vorherigen Befehle aus:

    /usr/bin/openssl genrsa -out signing-and-encryption-key.pem 2048

  4. Führen Sie die folgenden Befehle aus, um Certificate Signing Requests (CSRs) für den zu signierenden Stammschlüssel zu erstellen.

    /usr/bin/openssl req -new -key signing-key.pem -subj \
"/C=US/ST=MA/L=Boston/O=TransferFamilyCustomer/OU=IT-dept/CN=Signer" -out signing-key-csr.pem
    /usr/bin/openssl req -new -key encryption-key.pem -subj \
"/C=US/ST=MA/L=Boston/O=TransferFamilyCustomer/OU=IT-dept/CN=Encrypter" -out encryption-key-csr.pem

  5. Als Nächstes müssen Sie eine signing-cert.conf Datei und eine encryption-cert.conf Datei erstellen.

    • Verwenden Sie einen Texteditor, um die signing-cert.conf Datei mit dem folgenden Inhalt zu erstellen:

      authorityKeyIdentifier=keyid,issuer
keyUsage = digitalSignature, nonRepudiation

    • Verwenden Sie einen Texteditor, um die encryption-cert.conf Datei mit dem folgenden Inhalt zu erstellen:

      authorityKeyIdentifier=keyid,issuer
keyUsage = dataEncipherment

  6. Schließlich erstellen Sie die signierten Zertifikate, indem Sie die folgenden Befehle ausführen.

    /usr/bin/openssl x509 -req -sha256 -CAcreateserial -days 1825 -in signing-key-csr.pem -out signing-cert.pem -CA \
root-ca.pem -CAkey root-ca-key.pem -extfile signing-cert.conf
    /usr/bin/openssl x509 -req -sha256 -CAcreateserial -days 1825 -in encryption-key-csr.pem -out encryption-cert.pem \
-CA root-ca.pem -CAkey root-ca-key.pem -extfile encryption-cert.conf

Schritt 2: Erstellen Sie einen Transfer Family Family-Server, der das AS2-Protokoll verwendet

In diesem Verfahren wird erklärt, wie Sie mithilfe der Transfer Family einen AS2-fähigen Server erstellen. AWS CLI

Anmerkung

In vielen der Beispielschritte werden Befehle verwendet, mit denen Parameter aus einer Datei geladen werden. Weitere Informationen zur Verwendung von Dateien zum Laden von Parametern finden Sie unter So laden Sie Parameter aus einer Datei.

Wenn Sie stattdessen die Konsole verwenden möchten, finden Sie weitere Informationen unterErstellen Sie einen AS2-Server mit der Transfer Family Family-Konsole.

Ähnlich wie beim Erstellen eines SFTP- oder AWS Transfer Family FTPS-Servers erstellen Sie einen AS2-fähigen Server mithilfe des --protocols AS2 Befehlsparameters. create-server AWS CLI Derzeit unterstützt Transfer Family nur VPC-Endpunkttypen und Amazon S3 S3-Speicher mit dem AS2-Protokoll.

Wenn Sie Ihren AS2-fähigen Server für Transfer Family mithilfe des create-server Befehls erstellen, wird automatisch ein VPC-Endpunkt für Sie erstellt. Dieser Endpunkt macht den TCP-Port 5080 verfügbar, sodass er AS2-Nachrichten akzeptieren kann.

Wenn Sie Ihren VPC-Endpunkt öffentlich dem Internet zugänglich machen möchten, können Sie Elastic IP-Adressen mit Ihrem VPC-Endpunkt verknüpfen.

Um diese Anweisungen verwenden zu können, benötigen Sie Folgendes:

  • Die ID Ihrer VPC (z. B. vpc-abcdef01).

  • Die IDs Ihrer VPC-Subnetze (z. B. subnet-abcdef01, subnet-subnet-abcdef01, subnet-021345ab).

  • Eine oder mehrere IDs der Sicherheitsgruppen, die eingehenden Datenverkehr über den TCP-Port 5080 von Ihren Handelspartnern zulassen (z. B. sg-1234567890abcdef0 und sg-abcdef01234567890).

  • (Optional) Die Elastic IP-Adressen, die Sie Ihrem VPC-Endpunkt zuordnen möchten.

  • Wenn Ihr Handelspartner nicht über ein VPN mit Ihrer VPC verbunden ist, benötigen Sie ein Internet-Gateway. Weitere Informationen finden Sie unter Verbinden mit dem Internet über ein Internet-Gateway im Amazon-VPC-Benutzerhandbuch.

Um einen AS2-fähigen Server zu erstellen

  1. Führen Sie den folgenden Befehl aus. Ersetzen Sie jeden user input placeholder durch Ihre Informationen.

    aws transfer create-server --endpoint-type VPC \
--endpoint-details VpcId=vpc-abcdef01,SubnetIds=subnet-abcdef01,subnet-abcdef01,subnet-
021345ab,SecurityGroupIds=sg-abcdef01234567890,sg-1234567890abcdef0 --protocols AS2 \
--protocol-details As2Transports=HTTP

  2. (Optional) Sie können den VPC-Endpunkt öffentlich machen. Sie können Elastic IP-Adressen nur über einen update-server Vorgang an einen Transfer Family Family-Server anhängen. Die folgenden Befehle stoppen den Server, aktualisieren ihn mit Elastic IP-Adressen und starten ihn dann erneut.

    aws transfer stop-server --server-id your-server-id
    aws transfer update-server --server-id your-server-id --endpoint-details \
AddressAllocationIds=eipalloc-abcdef01234567890,eipalloc-1234567890abcdef0,eipalloc-abcd012345ccccccc
    aws transfer start-server --server-id your-server-id

    Dieser start-server Befehl erstellt automatisch einen DNS-Eintrag für Sie, der die öffentliche IP-Adresse für Ihren Server enthält. Um Ihrem Handelspartner Zugriff auf den Server zu gewähren, stellen Sie ihm die folgenden Informationen zur Verfügung. your-regionBezieht sich in diesem Fall auf Ihre AWS-Region.

    s-your-server-id.server.transfer.your-region.amazonaws.com

    Die vollständige URL, die Sie Ihrem Handelspartner zur Verfügung stellen, lautet wie folgt:

    http://s-your-server-id.server.transfer.your-region.amazonaws.com:5080

  3. Verwenden Sie die folgenden Befehle, um zu testen, ob auf Ihren AS2-fähigen Server zugegriffen werden kann. Stellen Sie sicher, dass auf Ihren Server entweder über die private DNS-Adresse Ihres VPC-Endpunkts oder über Ihren öffentlichen Endpunkt (falls Sie Ihrem Endpunkt eine Elastic IP-Adresse zugeordnet haben) zugegriffen werden kann.

    Wenn Ihr Server korrekt konfiguriert ist, ist die Verbindung erfolgreich. Sie erhalten jedoch eine Antwort mit dem HTTP-Statuscode 400 (Bad Request), da Sie keine gültige AS2-Nachricht senden.

    • Führen Sie für einen öffentlichen Endpunkt (wenn Sie im vorherigen Schritt eine Elastic IP-Adresse zugewiesen haben) den folgenden Befehl aus und ersetzen Sie dabei Ihre Server-ID und Region.

      curl -vv -X POST http://s-your-server-id.transfer.your-region.amazonaws.com:5080

    • Wenn Sie eine Verbindung innerhalb Ihrer VPC herstellen, suchen Sie den privaten DNS-Namen Ihres VPC-Endpunkts, indem Sie die folgenden Befehle ausführen.

      aws transfer describe-server --server-id s-your-server-id

      Dieser describe-server Befehl gibt Ihre VPC-Endpunkt-ID im VpcEndpointId Parameter zurück. Verwenden Sie diesen Wert, um den folgenden Befehl auszuführen.

      aws ec2 describe-vpc-endpoints --vpc-endpoint-ids vpce-your-vpc-endpoint-id

      Dieser describe-vpc-endpoints Befehl gibt ein DNSEntries Array mit mehreren DnsName Parametern zurück. Verwenden Sie im folgenden Befehl den regionalen DNS-Namen (den Namen, der die Availability Zone nicht enthält).

      curl -vv -X POST http://vpce-your-vpce.vpce-svc-your-vpce-svc.your-region.vpce.amazonaws.com:5080

      Der folgende Befehl zeigt beispielsweise Beispielwerte für die Platzhalter im vorherigen Befehl.

      curl -vv -X POST http://vpce-0123456789abcdefg-fghij123.vpce-svc-11111aaaa2222bbbb.us-east-1.vpce.amazonaws.com:5080

  4. (Optional) Konfigurieren Sie eine Protokollierungsrolle. Transfer Family protokolliert den Status von gesendeten und empfangenen Nachrichten in einem strukturierten JSON-Format in CloudWatch Amazon-Protokollen. Um Transfer Family Zugriff auf die CloudWatch Protokolle in Ihrem Konto zu gewähren, müssen Sie eine Protokollierungsrolle auf Ihrem Server konfigurieren.

    Erstellen Sie eine transfer.amazonaws.com vertrauenswürdige AWS Identity and Access Management (IAM-) Rolle und fügen Sie die AWSTransferLoggingAccess verwaltete Richtlinie hinzu. Details hierzu finden Sie unter Erstellen Sie eine IAM-Rolle und -Richtlinie. Notieren Sie sich den Amazon-Ressourcennamen (ARN) der IAM-Rolle, die Sie gerade erstellt haben, und verknüpfen Sie ihn mit dem Server, indem Sie den folgenden update-server Befehl ausführen:

    aws transfer update-server --server-id your-server-id --logging-role arn:aws:iam::your-account-id:role/logging-role-name
    Anmerkung

    Obwohl die Logging-Rolle optional ist, empfehlen wir dringend, sie so einzurichten, dass Sie den Status Ihrer Nachrichten einsehen und Konfigurationsprobleme beheben können.

Schritt 3: Zertifikate als Transfer Family Family-Zertifikatsressourcen importieren

In diesem Verfahren wird erklärt, wie Zertifikate mithilfe von importiert AWS CLI werden. Wenn Sie stattdessen die Transfer Family Family-Konsole verwenden möchten, finden Sie weitere Informationen unterAS2-Zertifikate importieren.

Führen Sie die folgenden import-certificate Befehle aus, um die Signatur- und Verschlüsselungszertifikate zu importieren, die Sie in Schritt 1 erstellt haben. Wenn Sie dasselbe Zertifikat für Verschlüsselung und Signierung verwenden, importieren Sie dasselbe Zertifikat zweimal (einmal mit der SIGNING Verwendung und erneut mit der ENCRYPTION Verwendung).

aws transfer import-certificate --usage SIGNING --certificate file://signing-cert.pem \
            --private-key file://signing-key.pem --certificate-chain file://root-ca.pem

Dieser Befehl gibt Ihre Signatur zurückCertificateId. Im nächsten Abschnitt wird diese Zertifikat-ID als bezeichnetmy-signing-cert-id.

aws transfer import-certificate --usage ENCRYPTION --certificate file://encryption-cert.pem \
            --private-key file://encryption-key.pem --certificate-chain file://root-ca.pem

Dieser Befehl gibt Ihre Verschlüsselung zurückCertificateId. Im nächsten Abschnitt wird diese Zertifikat-ID als bezeichnetmy-encrypt-cert-id.

Importieren Sie als Nächstes die Verschlüsselungs- und Signaturzertifikate Ihres Partners, indem Sie die folgenden Befehle ausführen.

aws transfer import-certificate --usage ENCRYPTION --certificate file://partner-encryption-cert.pem \
--certificate-chain file://partner-root-ca.pem

Dieser Befehl gibt die Verschlüsselung Ihres Partners zurückCertificateId. Im nächsten Abschnitt wird diese Zertifikat-ID als bezeichnetpartner-encrypt-cert-id.

aws transfer import-certificate --usage SIGNING --certificate file://partner-signing-cert.pem \
--certificate-chain file://partner-root-ca.pem

Dieser Befehl gibt die Signatur Ihres Partners zurückCertificateId. Im nächsten Abschnitt wird diese Zertifikat-ID als bezeichnetpartner-signing-cert-id.

Schritt 4: Erstellen Sie Profile für Sie und Ihren Handelspartner

In diesem Verfahren wird erklärt, wie Sie AS2-Profile mithilfe AWS CLI von erstellen. Wenn Sie stattdessen die Transfer Family Family-Konsole verwenden möchten, finden Sie weitere Informationen unterErstellen Sie AS2-Profile.

Erstellen Sie Ihr lokales AS2-Profil, indem Sie den folgenden Befehl ausführen. Dieser Befehl verweist auf die Zertifikate, die Ihre öffentlichen und privaten Schlüssel enthalten.

aws transfer create-profile --as2-id MYCORP --profile-type LOCAL --certificate-ids \
my-signing-cert-id my-encrypt-cert-id

Dieser Befehl gibt Ihre Profil-ID zurück. Im nächsten Abschnitt wird diese ID als bezeichnetmy-profile-id.

Erstellen Sie nun das Partnerprofil, indem Sie den folgenden Befehl ausführen. Dieser Befehl verwendet nur die Public-Key-Zertifikate Ihres Partners. Um diesen Befehl zu verwenden, ersetzen Sie das user input placeholders durch Ihre eigenen Informationen, z. B. den AS2-Namen und die Zertifikat-IDs Ihres Partners.

aws transfer create-profile --as2-id PARTNER-COMPANY --profile-type PARTNER --certificate-ids \
partner-signing-cert-id partner-encrypt-cert-id

Dieser Befehl gibt die Profil-ID Ihres Partners zurück. Im nächsten Abschnitt wird diese ID als bezeichnetpartner-profile-id.

Anmerkung

Ersetzen Sie in den vorherigen Befehlen MYCORP durch den Namen Ihrer Organisation und PARTNER-COMPANY durch den Namen der Organisation Ihres Handelspartners.

Schritt 5: Erstellen Sie eine Vereinbarung zwischen Ihnen und Ihrem Partner

In diesem Verfahren wird erklärt, wie Sie AS2-Vereinbarungen mithilfe von erstellen. AWS CLI Wenn Sie stattdessen die Transfer Family Family-Konsole verwenden möchten, finden Sie weitere Informationen unterErstellen Sie AS2-Vereinbarungen.

In Vereinbarungen werden die beiden Profile (lokal und Partner), ihre Zertifikate und eine Serverkonfiguration zusammengeführt, die eingehende AS2-Übertragungen zwischen zwei Parteien ermöglicht. Sie können Ihre Artikel auflisten, indem Sie die folgenden Befehle ausführen.

aws transfer list-profiles --profile-type LOCAL
aws transfer list-profiles --profile-type PARTNER
aws transfer list-servers

Für diesen Schritt sind ein Amazon S3 S3-Bucket und eine IAM-Rolle mit Lese-/Schreibzugriff auf und vom Bucket erforderlich. Die Anweisungen zum Erstellen dieser Rolle entsprechen denen für die SFTP-, FTP- und FTPS-Protokolle der Transfer Family und sind unter verfügbar. Erstellen Sie eine IAM-Rolle und -Richtlinie

Um eine Vereinbarung zu erstellen, benötigen Sie die folgenden Elemente:

  • Der Amazon S3 S3-Bucket-Name (und das Objektpräfix, falls angegeben)

  • Der ARN der IAM-Rolle mit Zugriff auf den Bucket

  • Ihre Transfer Family Family-Server-ID

  • Ihre Profil-ID und die Profil-ID Ihres Partners

Erstellen Sie die Vereinbarung, indem Sie den folgenden Befehl ausführen.

aws transfer create-agreement --description "ExampleAgreementName" --server-id your-server-id \
--local-profile-id your-profile-id --partner-profile-id your-partner-profile-id --base-directory /DOC-EXAMPLE-DESTINATION-BUCKET/AS2-inbox \
--access-role arn:aws:iam::111111111111:role/TransferAS2AccessRole

Bei Erfolg gibt dieser Befehl die ID für die Vereinbarung zurück. Sie können dann die Details der Vereinbarung mit dem folgenden Befehl anzeigen.

aws transfer describe-agreement --agreement-id agreement-id --server-id your-server-id

Schritt 6: Stellen Sie eine Verbindung zwischen Ihnen und Ihrem Partner her

In diesem Verfahren wird erklärt, wie Sie AS2-Konnektoren mithilfe von erstellen. AWS CLI Wenn Sie stattdessen die Transfer Family Family-Konsole verwenden möchten, finden Sie weitere Informationen unterAS2-Konnektoren konfigurieren.

Sie können den StartFileTransfer API-Vorgang verwenden, um Dateien, die in Amazon S3 gespeichert sind, mithilfe eines Connectors an den AS2-Endpunkt Ihres Handelspartners zu senden. Sie können die zuvor erstellten Profile finden, indem Sie den folgenden Befehl ausführen.

aws transfer list-profiles

Wenn Sie den Connector erstellen, müssen Sie die AS2-Server-URL Ihres Partners angeben. Kopieren Sie den folgenden Text in eine Datei mit dem NamentestAS2Config.json.

{
"Compression": "ZLIB",
"EncryptionAlgorithm": "AES256_CBC",
"LocalProfileId": "your-profile-id",
"MdnResponse": "SYNC",
"MdnSigningAlgorithm": "DEFAULT",
"MessageSubject": "Your Message Subject",
"PartnerProfileId": "partner-profile-id",
"SigningAlgorithm": "SHA256"
}
Anmerkung

Geben Sie den DES_EDE3_CBC Algorithmus nur anEncryptionAlgorithm, wenn Sie einen älteren Client unterstützen müssen, der ihn benötigt, da es sich um einen schwachen Verschlüsselungsalgorithmus handelt.

Führen Sie dann den folgenden Befehl aus, um den Connector zu erstellen.

aws transfer create-connector --url "http://partner-as2-server-url" \
--access-role your-IAM-role-for-bucket-access \
--logging-role arn:aws:iam::your-account-id:role/service-role/AWSTransferLoggingAccess \
--as2-config file:///path/to/testAS2Config.json

Schritt 7: Testen Sie den Austausch von Dateien über AS2 mithilfe von Transfer Family

Erhalten Sie eine Datei von Ihrem Handelspartner

Wenn Sie Ihrem VPC-Endpunkt eine öffentliche Elastic IP-Adresse zugeordnet haben, hat Transfer Family automatisch einen DNS-Namen erstellt, der Ihre öffentliche IP-Adresse enthält. Die Subdomain ist Ihre AWS Transfer Family Server-ID (im Formats-1234567890abcdef0). Geben Sie Ihrem Handelspartner Ihre Server-URL im folgenden Format an.

http://s-1234567890abcdef0.server.transfer.us-east-1.amazonaws.com:5080

Wenn Sie Ihrem VPC-Endpunkt keine öffentliche Elastic IP-Adresse zugeordnet haben, suchen Sie nach dem Hostnamen des VPC-Endpunkts, der AS2-Nachrichten über HTTP POST von Ihren Handelspartnern auf Port 5080 annehmen kann. Verwenden Sie den folgenden Befehl, um die VPC-Endpunktdetails abzurufen.

aws transfer describe-server --server-id s-1234567890abcdef0

Nehmen wir beispielsweise an, der vorherige Befehl gibt die VPC-Endpunkt-ID von vpce-1234abcd5678efghi zurück. Dann würden Sie den folgenden Befehl verwenden, um die DNS-Namen abzurufen.

aws ec2 describe-vpc-endpoints --vpc-endpoint-ids vpce-1234abcd5678efghi

Dieser Befehl gibt alle Details für den VPC-Endpunkt zurück, die Sie zum Ausführen des folgenden Befehls benötigen.

Der DNS-Name ist im DnsEntries Array aufgeführt. Ihr Handelspartner muss sich in Ihrer VPC befinden, um auf Ihren VPC-Endpunkt zugreifen zu können (z. B. über AWS PrivateLink oder ein VPN). Geben Sie Ihrem Partner Ihre VPC-Endpunkt-URL im folgenden Format an.

http://vpce-your-vpce-id.vpce-svc-your-vpce-svc-id.your-region.vpce.amazonaws.com:5080

Die folgende URL zeigt beispielsweise Beispielwerte für die Platzhalter in den vorherigen Befehlen.

http://vpce-0123456789abcdefg-fghij123.vpce-svc-11111aaaa2222bbbb.us-east-1.vpce.amazonaws.com:5080

In diesem Beispiel werden erfolgreiche Übertragungen an dem Speicherort gespeichert, der in dem von Ihnen angegebenen base-directory Parameter angegeben ist. Schritt 5: Erstellen Sie eine Vereinbarung zwischen Ihnen und Ihrem Partner Wenn wir erfolgreich Dateien mit dem Namen myfile1.txt und empfangenmyfile2.txt, werden die Dateien unter gespeichert/path-defined-in-the-agreement/processed/original_filename.messageId.original_extension. Hier werden die Dateien als /DOC-EXAMPLE-DESTINATION-BUCKET/AS2-inbox/processed/myfile1.messageId.txt und gespeichert/DOC-EXAMPLE-DESTINATION-BUCKET/AS2-inbox/processed/myfile2.messageId.txt.

Wenn Sie bei der Erstellung Ihres Transfer Family Family-Servers eine Protokollierungsrolle konfiguriert haben, können Sie Ihre CloudWatch Protokolle auch auf den Status von AS2-Nachrichten überprüfen.

Senden Sie eine Datei an Ihren Handelspartner

Sie können Transfer Family verwenden, um AS2-Nachrichten zu senden, indem Sie auf die Connector-ID und die Pfade zu den Dateien verweisen, wie im folgenden Befehl start-file-transfer AWS Command Line Interface (AWS CLI) dargestellt:

aws transfer start-file-transfer --connector-id c-1234567890abcdef0 \
--send-file-paths "/DOC-EXAMPLE-SOURCE-BUCKET/myfile1.txt" "/DOC-EXAMPLE-SOURCE-BUCKET/myfile2.txt"

Führen Sie den folgenden Befehl aus, um die Details für Ihre Konnektoren abzurufen:

aws transfer list-connectors

Der list-connectors Befehl gibt die Connector-IDs, URLs und Amazon-Ressourcennamen (ARNs) für Ihre Konnektoren zurück.

Um die Eigenschaften eines bestimmten Connectors zurückzugeben, führen Sie den folgenden Befehl mit der ID aus, die Sie verwenden möchten:

aws transfer describe-connector --connector-id your-connector-id

Der describe-connector Befehl gibt alle Eigenschaften für den Connector zurück, einschließlich seiner URL, Rollen, Profile, MDNs (Message Disposition Notices), Tags und Überwachungsmetriken.

Sie können überprüfen, ob der Partner die Dateien erfolgreich erhalten hat, indem Sie sich die JSON- und MDN-Dateien ansehen. Diese Dateien werden gemäß den unter beschriebenen Konventionen benannt. Dateinamen und Speicherorte Wenn Sie bei der Erstellung des Connectors eine Protokollierungsrolle konfiguriert haben, können Sie Ihre CloudWatch Protokolle auch auf den Status von AS2-Nachrichten überprüfen.