AWS Transfer Family per AS2

La Dichiarazione di applicabilità 2 (AS2) è una specifica per la RFC-defined trasmissione di file che include potenti meccanismi di protezione e verifica dei messaggi. La protezione di un payload AS2 in transito utilizza la Cryptographic Message Syntax (CMS) con crittografia e firme digitali per fornire protezione dei dati e autenticazione tra pari. Un payload di risposta MDN (Message Disposition Notice) firmato consente di verificare (non ripudio) che un messaggio sia stato ricevuto e decifrato correttamente.

Il protocollo AS2 è fondamentale per i flussi di lavoro con requisiti di conformità che si basano sull'integrazione di funzionalità di protezione e sicurezza dei dati nel protocollo. AWS Transfer Family Gli endpoint AS2 sono certificati Drummond e consentono ai clienti di settori quali vendita al dettaglio, scienze biologiche, produzione, servizi finanziari e servizi di pubblica utilità di effettuare transazioni in sicurezza con i propri partner commerciali.

Quando utilizzi AS2 con Transfer Family, i dati oggetto di transazione sono accessibili in modo nativo per: AWS

• Elaborazione, analisi e apprendimento automatico

• Integrazione con i sistemi di pianificazione delle risorse aziendali (ERP)

• Integrazione con i sistemi di gestione delle relazioni con i clienti (CRM)

Per scambiare file con un partner che dispone di un AS2-enabled server, è necessario:

• Genera una coppia di chiavi pubblica-privata per la crittografia

• Genera una coppia di chiavi pubblica-privata per la firma

• Scambia le chiavi pubbliche con il tuo partner

Importante

Gli endpoint del server HTTPS AS2 non sono attualmente supportati. L'utente è responsabile della cessazione del TLS.

Transfer Family offre un workshop a cui puoi partecipare, in cui puoi configurare un endpoint Transfer Family con AS2 abilitato e un connettore Transfer Family AS2. Puoi visualizzare i dettagli di questo workshop qui.

Per istruzioni dettagliate sulla configurazione di AS2 in Transfer Family, consulta quanto segue:

1. Importa certificati AS2

2. Crea profili AS2

3. Creare un server AS2

4. Creare un accordo AS2

5. Configura i connettori AS2

Per un esempio completo, vedi. Configurazione di una configurazione AS2

Nota

Per mostrare il supporto per i modelli AS2 Terraform, aggiungi una reazione con il pollice in su (👍) alla richiesta di funzionalità dei modelli Transfer Family Terraform. Puoi anche aggiungere un commento che descriva il tuo caso d'uso.

Casi d'uso di AS2

Se sei un AWS Transfer Family cliente che desidera scambiare file con un partner che dispone di un AS2-enabled server, la parte più complessa della configurazione prevede la generazione di una coppia di chiavi pubblica-privata per la crittografia e un'altra per la firma e lo scambio delle chiavi pubbliche con il partner.

Considerate le seguenti varianti per l'utilizzo con AWS Transfer Family AS2.

Nota

Il partner commerciale è il partner associato a quel profilo di partner.

Tutte le menzioni di MDN nella tabella seguente presuppongono mDNS firmati.

Casi d'uso di AS2

Inbound-only casi d'uso Trasferisci messaggi AS2 crittografati da un partner commerciale a un server Transfer Family. In questo caso, esegui queste operazioni: Crea profili per te e per il tuo partner commerciale. Crea un server Transfer Family che utilizzi il protocollo AS2. Crea un accordo e aggiungilo al tuo server. Importa un certificato con una chiave privata e aggiungilo al tuo profilo, quindi importa la chiave pubblica nel tuo profilo partner per la crittografia. Dopo aver ricevuto questi elementi, invia la chiave pubblica del certificato al tuo partner commerciale. Ora il tuo partner può inviarti messaggi crittografati e tu puoi decrittografarli e archiviarli nel tuo bucket Amazon S3. Trasferisci messaggi AS2 crittografati da un partner commerciale a un server Transfer Family e aggiungi la firma. In questo scenario, stai ancora effettuando solo trasferimenti in entrata, ma ora vuoi che il tuo partner firmi i messaggi che invia. In questo caso, importa la chiave pubblica di firma del partner commerciale (come certificato di firma aggiunto al profilo del partner). Trasferisci messaggi AS2 crittografati da un partner commerciale a un server Transfer Family e aggiungi la firma e l'invio di una risposta MDN. In questo scenario, stai ancora effettuando solo trasferimenti in entrata, ma ora, oltre a ricevere payload firmati, il tuo partner commerciale desidera ricevere una risposta MDN firmata. Importa le tue chiavi di firma pubbliche e private (come certificato di firma sul tuo profilo). Invia la chiave di firma pubblica al tuo partner commerciale.

Outbound-only casi d'uso Trasferisci messaggi AS2 crittografati da un server Transfer Family a un partner commerciale. Questo caso è simile al caso di utilizzo del solo trasferimento in entrata, tranne per il fatto che invece di aggiungere un accordo al server AS2, si crea un connettore. In questo caso, importi la chiave pubblica del tuo partner commerciale nel suo profilo. Trasferisci messaggi AS2 crittografati da un server Transfer Family a un partner commerciale e aggiungi la firma. Stai ancora effettuando solo trasferimenti in uscita, ma ora il tuo partner commerciale vuole che tu firmi il messaggio che gli invii. Importa la tua chiave privata di firma (come certificato di firma aggiunto al tuo profilo). Invia al tuo partner commerciale la tua chiave pubblica. Trasferisci messaggi AS2 crittografati da un server Transfer Family a un partner commerciale, aggiungi la firma e invia una risposta MDN. Stai ancora effettuando solo trasferimenti in uscita, ma ora, oltre a inviare payload firmati, desideri ricevere una risposta MDN firmata dal tuo partner commerciale. Il tuo partner commerciale ti invia la sua chiave di firma pubblica. Importa la chiave pubblica del tuo partner commerciale (come certificato di firma aggiunto al tuo profilo di partner).

Casi d'uso in entrata e in uscita Trasferisci messaggi AS2 crittografati in entrambe le direzioni tra un server Transfer Family e un partner commerciale. In questo caso, esegui queste operazioni: Crea profili per te e per il tuo partner commerciale. Crea un server Transfer Family che utilizzi il protocollo AS2. Crea un accordo e aggiungilo al tuo server. Crea un connettore. Importa un certificato con una chiave privata e aggiungilo al tuo profilo, quindi importa la chiave pubblica nel tuo profilo partner per la crittografia. Ricevi una chiave pubblica dal tuo partner commerciale e aggiungila al suo profilo per la crittografia. Dopo aver ricevuto questi elementi, invia la chiave pubblica del certificato al tuo partner commerciale. Ora tu e il tuo partner commerciale potete scambiarvi messaggi crittografati ed entrambi potete decrittografarli. Puoi archiviare i messaggi che ricevi nel tuo bucket Amazon S3 e il tuo partner può decrittografare e archiviare i messaggi che gli invii. Trasferisci messaggi AS2 crittografati in entrambe le direzioni tra un server Transfer Family e un partner commerciale e aggiungi la firma. Ora tu e il tuo partner volete messaggi firmati. Importa la tua chiave privata per la firma (come certificato di firma aggiunto al tuo profilo). Invia al tuo partner commerciale la tua chiave pubblica. Importa la chiave pubblica per la firma del tuo partner commerciale e aggiungila al suo profilo. Trasferisci messaggi AS2 crittografati in entrambe le direzioni tra un server Transfer Family e un partner commerciale, aggiungi la firma e invia una risposta MDN. Ora vuoi scambiare payload firmati e sia tu che il tuo partner commerciale desiderate risposte MDN. Il tuo partner commerciale ti invia la sua chiave di firma pubblica. Importa la chiave pubblica del tuo partner commerciale (come certificato di firma sul tuo profilo di partner). Invia la tua chiave pubblica al tuo partner commerciale.

Modelli AS2 CloudFormation

Questo argomento fornisce informazioni sui AWS CloudFormation modelli che è possibile utilizzare per distribuire rapidamente server e configurazioni AS2 per. AWS Transfer Family Questi modelli automatizzano il processo di configurazione e aiutano a implementare le migliori pratiche per i trasferimenti di file AS2.

• Il modello AS2 di base è descritto in Usa un modello per creare uno stack demo Transfer Family AS2

• Il modello AS2 per personalizzare le intestazioni HTTP è descritto in. Personalizza le intestazioni HTTP per i messaggi AS2

Personalizzazione dei modelli AS2

Puoi personalizzare i modelli forniti per soddisfare le tue esigenze specifiche:

1. Scarica il modello dall'URL S3.

2. Modifica il codice YAML per regolare configurazioni come:

   • Impostazioni di sicurezza e configurazioni dei certificati

   • Architettura di rete e impostazioni VPC

   • Opzioni di archiviazione e gestione dei file

   • Preferenze di monitoraggio e notifica

3. Carica il modello modificato nel tuo bucket S3.

4. Implementa il modello personalizzato utilizzando la CloudFormation console o. AWS CLI

Importante

Quando personalizzi i modelli, assicurati di mantenere le dipendenze tra le risorse e di seguire le migliori pratiche di sicurezza.

Verifica della distribuzione AS2

Dopo aver distribuito un server AS2 utilizzando un modello, puoi testare la configurazione:

1. Controlla gli output dello CloudFormation stack per esempi di comandi e informazioni sugli endpoint.

2. Usa il AWS CLI per inviare un file di test:

   aws s3api put-object --bucket your-bucket-name --key test.txt --body test.txt
   aws transfer start-file-transfer --connector-id your-connector-id --send-file-paths /your-bucket-name/test.txt

3. Verifica la consegna dei file nel bucket S3 di destinazione.

4. Controlla CloudWatch i log per verificare la corretta elaborazione e le risposte MDN.

Per test più completi, prendi in considerazione l'utilizzo di client AS2 di terze parti per inviare file al tuo server Transfer Family AS2.

Le migliori pratiche per la distribuzione dei modelli AS2

Segui queste best practice quando usi i modelli AS2: CloudFormation

Sicurezza

Usa certificati robusti e ruotali regolarmente.

Implementa politiche IAM con privilegi minimi.

Limita l'accesso alla rete utilizzando gruppi di sicurezza.

Affidabilità

Implementa su più zone di disponibilità.

Implementa il monitoraggio e la generazione di avvisi in caso di trasferimenti non riusciti.

Imposta nuovi tentativi automatici per i trasferimenti non riusciti.

Performance

Scegliete i tipi di istanza appropriati per il volume di trasferimento.

Implementa le politiche del ciclo di vita di S3 per una gestione efficiente dei file.

Monitora e ottimizza le configurazioni di rete.

Ottimizzazione dei costi

Usa l'auto-scaling per carichi di lavoro variabili.

Implementa le classi di storage S3 per i file più vecchi.

Monitora e regola le risorse in base all'utilizzo effettivo.