Configuración AS2 - AWS Transfer Family
AS2 configuracionesAS2 cuotasAS2 características y capacidades

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración AS2

Para crear un servidor AS2 habilitado, también debe especificar los siguientes componentes:

  • Acuerdos: los acuerdos bilaterales con socios comerciales o asociaciones definen la relación entre las dos partes que intercambian mensajes (archivos). Para definir un acuerdo, Transfer Family combina un servidor, un perfil local, un perfil de socio, un certificado y otros atributos. Transfer Family AS2: los procesos entrantes utilizan acuerdos.

  • Certificados: los certificados de clave pública (X.509) se utilizan en la AS2 comunicación para el cifrado y la verificación de los mensajes. Los certificados también se utilizan para los puntos de conexión de los conectores.

  • Perfiles locales y perfiles de socios: un perfil local define la organización o «parte» local (servidor Transfer Family AS2 habilitado). Del mismo modo, un perfil de socio define la empresa asociada remota, externa a Transfer Family.

Si bien no es obligatorio para todos los servidores AS2 compatibles, para las transferencias salientes se necesita un conector. Un conector captura los parámetros de una conexión de salida. El conector es necesario para enviar archivos a un servidor externo del cliente, que no AWS es uno de ellos.

El siguiente diagrama muestra la relación entre los AS2 objetos involucrados en los procesos de entrada y salida.

Diagrama que muestra la relación entre los AS2 objetos involucrados en los procesos de entrada y salida.

Para ver un end-to-end ejemplo de AS2 configuración, consulte. Establecer una AS2 configuración

AS2 configuraciones

En este tema se describen las configuraciones, características y capacidades compatibles con las transferencias que utilizan el protocolo de la Declaración de Aplicabilidad 2 (AS2), incluidos los cifrados y resúmenes aceptados.

Firma, cifrado, compresión, MDN

Tanto para las transferencias entrantes como para las salientes, los siguientes elementos son obligatorios u opcionales:

  • Cifrado: obligatorio (para el transporte HTTP, que es el único método de transporte compatible actualmente). Los mensajes no cifrados solo se aceptan si los reenvía un proxy de terminación de TLS, como un equilibrador de carga de aplicación (ALB), y el encabezado X-Forwarded-Proto: https está presente.

  • Firma: opcional

  • Compresión: opcional (el único algoritmo de compresión compatible actualmente es ZLIB)

  • Aviso de disposición de mensajes (MDN): opcional

Cifrados

Se admiten los siguientes cifrados para las transferencias entrantes y salientes:

  • AES128_CBC

  • AES192_CBC

  • AES256_CBC

  • 3DES (solo para compatibilidad con versiones anteriores)

Resúmenes

Se admiten los siguientes resúmenes:

  • Firma entrante y MDN:,,, SHA1 SHA256 SHA384 SHA512

  • Firma saliente y MDN —,,, SHA1 SHA256 SHA384 SHA512

MDN

Para las respuestas de MDN, se admiten ciertos tipos, como los siguientes:

  • Transferencias entrantes: síncronas y asíncronas

  • Transferencias salientes: solo sincrónicas

  • Simple Mail Transfer Protocol (SMTP) (correo electrónico MDN): no se admite.

Transporte

  • Transferencias entrantes: HTTP es el único transporte admitido actualmente y debe especificarlo de forma explícita.

    nota

    Si necesita usar HTTPS para las transferencias entrantes, puede cancelar TLS en un equilibrador de carga de aplicación o un equilibrador de carga de red. Esto se describe en Reciba AS2 mensajes a través de HTTPS.

  • Transferencias salientes: si proporciona una URL HTTP, también debe especificar un algoritmo de cifrado. Si proporciona una dirección HTTPS, tiene la opción de especificar NINGUNA para el algoritmo de cifrado.

AS2 cuotas y limitaciones

En esta sección se analizan las cuotas y las limitaciones de AS2

AS2 cuotas

Existen las siguientes cuotas para las transferencias de AS2 archivos. Para solicitar un aumento de una cuota ajustable, consulte las Servicio de AWS cuotas en Referencia general de AWS.

AS2 cuotas
Nombre Valor predeterminado Ajustable
Número máximo de archivos entrantes recibidos por segundo 100 No
Número máximo de archivos salientes enviados por segundo 100 No
Número máximo de archivos entrantes simultáneos 400 No
Número máximo de archivos salientes simultáneos 400 No
Tamaño máximo del archivo entrante (sin comprimir) 1 GB No
Tamaño máximo del archivo saliente (sin comprimir) 1 GB No
Número máximo de archivos por solicitud saliente 10 No
Número máximo de solicitudes salientes por segundo 100 No
Número máximo de solicitudes entrantes por segundo 100 No
Ancho de banda saliente máximo por cuenta (tanto el SFTP saliente como las AS2 solicitudes contribuyen a este valor) 50 MB por segundo No
Número máximo de acuerdos por servidor 100
Número máximo de conectores por cuenta (tanto el SFTP como los AS2 conectores contribuyen a este límite) 100
Número máximo de certificados por perfil de socio 10 No
Número máximo de certificados por cuenta 1 000
Número máximo de perfiles de socios por cuenta 1 000

Cuotas de manejo de secretos

AWS Transfer Family realiza llamadas AWS Secrets Manager en nombre de AS2 los clientes que utilizan la autenticación básica. Además, Secrets Manager hace llamadas a AWS KMS.

nota

Estas cuotas no son específicas del uso que hagas de los secretos para Transfer Family: se comparten entre todos tus servicios Cuenta de AWS.

En el caso de Secrets ManagerGetSecretValue, la cuota que se aplica es la tasa combinada de solicitudes de GetSecretValue API DescribeSecret y la tasa, tal y como se describe en AWS Secrets Manager las cuotas.

Secrets Manager GetSecretValue
Nombre Valor Descripción
Tasa combinada de solicitudes DescribeSecret y GetSecretValue API Cada región admitida: 10 000 por segundo El máximo de transacciones por segundo para las operaciones de GetSecretValue API DescribeSecret y las operaciones de API combinadas.

Para AWS KMS ello, se aplican las siguientes cuotasDecrypt. Para obtener más información, consulta Solicitar cuotas para cada operación de la AWS KMS API

AWS KMS Decrypt
Nombre de la cuota Límite predeterminado (solicitudes por segundo)

Cuota de tasas de solicitud de operaciones criptográficas (simétricas)

Estas cuotas compartidas varían según el tipo de AWS KMS clave utilizada en la solicitud Región de AWS y el tipo de clave que se utilice. Cada cuota se calcula por separado.

  • 5500 (compartidas)

  • 10 000 (compartidas) en las siguientes regiones:

    • EE. UU. Este (Ohio), us-east-2

    • Asia Pacífico (Singapur), ap-southeast-1

    • Asia Pacífico (Sídney), ap-southeast-2

    • Asia Pacífico (Tokio), ap-northeast-1

    • Europa (Fráncfort), eu-central-1

    • Europa (Londres), eu-west-2

  • 50 000 (compartidas) en las siguientes Regiones:

    • EE.UU. Este (Norte de Virginia) (us-east-1)

    • EE.UU. Oeste (Oregón) (us-west-2)

    • Europa (Irlanda), eu-west-1

Cuotas de solicitudes del almacén de claves personalizado

nota

Esta cuota solo se aplica si se utiliza un almacén de claves externo.

Las cuotas de solicitudes del almacén de claves personalizado se calculan por separado para cada almacén de claves personalizado.

  • 1800 (compartidas) por cada almacén de AWS CloudHSM claves

  • 1800 (compartidas) para cada almacén de claves externo.

Limitaciones conocidas

  • No se admite el protocolo TCP keep-alive del servidor. La conexión se agota después de 350 segundos de inactividad, a menos que el cliente envíe paquetes keep-alive.

  • Para que el servicio acepte un acuerdo activo y aparezca en los CloudWatch registros de Amazon, los mensajes deben contener AS2 encabezados válidos.

  • El servidor desde AWS Transfer Family el que recibe los mensajes AS2 debe ser compatible con el atributo de protección del algoritmo de sintaxis de mensajes criptográficos (CMS) para validar las firmas de los mensajes, tal como se define en el RFC 6211. Este atributo no es compatible con algunos productos anteriores de IBM Sterling.

  • Los mensajes duplicados IDs dan como resultado un mensaje procesado/Advertencia: documento duplicado.

  • La longitud de la clave de los AS2 certificados debe ser de 2048 bits como mínimo y 4096 como máximo.

  • Al enviar AS2 mensajes o de forma asíncrona MDNs al punto de conexión HTTPS de un socio comercial, los mensajes o los mensajes MDNs deben utilizar un certificado SSL válido firmado por una autoridad de certificación (CA) de confianza pública. Actualmente, los certificados autofirmados solo se admiten para las transferencias salientes.

  • El punto de conexión debe ser compatible con el protocolo TLS de la versión 1.2 y con un algoritmo criptográfico permitido por la política de seguridad (tal y como se describe en Políticas de seguridad para servidores AWS Transfer Family).

  • Actualmente, no se admiten varios archivos adjuntos ni la mensajería de intercambio de certificados (CEM) de la AS2 versión 1.2.

  • Actualmente, la autenticación básica solo se admite para los mensajes salientes.

  • Puede adjuntar un flujo de trabajo de procesamiento de archivos a un servidor Transfer Family que utilice el AS2 protocolo; sin embargo, AS2 los mensajes no ejecutan los flujos de trabajo adjuntos al servidor.

AS2 características y capacidades

En las siguientes tablas se enumeran las funciones y capacidades disponibles para los recursos de Transfer Family que utilizan AS2.

AS2 features

Transfer Family ofrece las siguientes funciones para AS2.

Característica Con el apoyo de AWS Transfer Family
Certificación Drummond
AWS CloudFormation apoyo
CloudWatchMétricas de Amazon
Algoritmos criptográficos SHA-2
Support para Amazon S3
Compatibilidad con Amazon EFS No
Mensajes programados 1
AWS Transfer Family Flujos de trabajo administrados No
Mensajería de intercambio de certificados (CEM) No
TLS mutuo (mTLS) No
Support para certificados autofirmados

1. Mensajes programados salientes disponibles mediante AWS Lambda las funciones de programación de Amazon EventBridge

AS2 capacidades de envío y recepción

La siguiente tabla proporciona una lista de las capacidades de AWS Transfer Family AS2 envío y recepción.

Funcionalidad Entrante: recepción con el servidor Saliente: envío con conector
Transporte cifrado TLS (HTTPS)

1
Transporte sin TLS (HTTP)

2
MDN síncrono
Compresión de mensajes
MDN asíncrono No
Dirección IP estática
Traiga su propia dirección IP No
Varios archivos adjuntos No No
Autenticación básica No
AS2 Reiniciar No aplicable No
AS2 Fiabilidad No No
Asunto personalizado por mensaje No aplicable No

1. Transporte cifrado TLS entrante disponible con Network Load Balancer (NLB) o Application Load Balancer (ALB)

2. El transporte saliente sin TLS solo está disponible cuando el cifrado está activado