AWS Transfer Family AS2 の - AWS Transfer Family

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Transfer Family AS2 の

適用性ステートメント 2 (AS2) は RFC が定義したファイル転送仕様で、強力なメッセージ保護と検証メカニズムが含まれています。AS2 プロトコルは、データ保護とセキュリティ機能をプロトコルに組み込むことが前提となるコンプライアンス要件のあるワークフローにとって重要です。

注記

Transfer Family AS2 は「ドラモンド認定」を受けています。

サプライチェーン、物流、決済のワークフローで AS2 を利用している小売、ライフサイエンス、製造、金融サービス、公益事業などの業界のお客様は、 AWS Transfer Family AS2 エンドポイントを使用してビジネスパートナーと安全に取引できます。トランザクションされたデータは、処理、分析、機械学習 AWS のために でネイティブにアクセスできます。このデータは、 AWS上で動作する企業資源計画 (ERP) や顧客関係管理 (CRM) システムとの統合にも利用できます。AS2 を使用すると、既存のビジネスパートナーの統合とコンプライアンス AWS を維持しながら、 business-to-business (B2B) トランザクションを大規模に実行できます。

Transfer Family のお客様が AS2 対応サーバーを設定しているパートナーとファイルを交換する場合は、暗号化用の公開鍵と秘密鍵のペアを 1 つ生成し、パートナーとの公開鍵の署名と交換のためにもう 1 つのペアを生成します。

Transfer Family には、AS2 を有効にして Transfer Family エンドポイントを設定するワークショップと、Transfer Family AS2 コネクタが用意されています。このワークショップの詳細については、こちらを参照してください

転送中の AS2 ペイロードを保護するには通常、暗号メッセージ構文 (CMS) を使用し、通常は暗号化とデジタル署名を使用してデータ保護とピア認証を行います。署名付きメッセージ処理通知 (MDN) レスポンスペイロードは、メッセージが受信され、正常に復号されたことを確認 (否認防止) します。

これらの CMS ペイロードと MDN 応答は HTTP 経由で転送されます。

注記

HTTPS AS2 サーバーのエンドポイントは現在サポートされていません。現在、TLS の終了はお客様の責任です。

適用性ステートメント 2 (AS2) 設定の設定の詳細な step-by-step ウォークスルーについては、チュートリアル「」を参照してくださいAS2 設定のセットアップ

AS2 ユースケース

AS2 サーバーが設定されたパートナーとファイル AWS Transfer Family を交換する場合は、セットアップの最も複雑な部分として、暗号化用に 1 つのパブリックキーとプライベートキーのペアを生成し、もう 1 つのパブリックキーに署名してパートナーと交換します。

公開鍵と秘密鍵のペアを暗号化と署名に使用する方法を示す図。

AS2 で を使用する場合は AWS Transfer Family 、次のバリエーションを考慮してください。

注記

取引先は、そのパートナープロファイルに関連付けられたパートナーです。

以下の表の MDN に関する記述はすべて、署名付き MDN を前提としています。

インバウンドのみのユースケース

  • 暗号化された AS2 メッセージを取引相手から Transfer Family サーバーに転送します。

    この場合、次の操作を行います。

    1. 取引相手と自分自身のプロファイルを作成します。

    2. AS2 プロトコルを使用するTransfer Family サーバーを作成します。

    3. 契約書を作成してサーバーに追加します。

    4. プライベートキーを使用して証明書をインポートし、プロファイルに追加してから、パブリックキーをパートナープロファイルにインポートして暗号化します。

    5. これらの項目を入手したら、証明書の公開鍵を取引相手に送信します。

    これで、パートナーは暗号化されたメッセージを送信できるようになり、ユーザーはそれらを復号して Amazon S3 バケットに保存できます。

  • 暗号化された AS2 メッセージを取引相手から Transfer Family サーバーに転送し、署名を追加します。

    このシナリオでは、まだ受信転送のみを行っていますが、今度はパートナーが送信するメッセージに署名してもらいたいと考えています。この場合、取引相手の署名パブリックキー (パートナーのプロファイルに追加された署名証明書として) をインポートします。

  • 暗号化された AS2 メッセージを取引相手から Transfer Family サーバーに転送し、署名と MDN レスポンスの送信を追加します。

    このシナリオでは、まだインバウンド転送のみを行っていますが、取引相手は署名されたペイロードの受信に加えて、署名済みの MDN レスポンスを受信したいと考えています。

    1. 公開署名鍵と秘密署名鍵を (署名証明書としてプロファイルに) インポートします。

    2. 公開署名キーを取引相手に送信します。

アウトバウンドのみのユースケース

  • 暗号化された AS2 メッセージを Transfer Family サーバーから取引相手に転送します。

    このケースは受信専用転送のユースケースと似ていますが、AS2 サーバーに契約を追加する代わりにコネクタを作成するという点が異なります。この場合、取引相手のパブリックキーをそのプロファイルにインポートします。

  • 暗号化された AS2 メッセージを Transfer Family サーバーから取引相手に転送し、署名を追加します。

    まだアウトバウンド転送のみを行っていますが、取引相手から送信したメッセージに署名してもらう必要があります。

    1. (プロファイルに追加されたサイン証明書として)サイン用プライベートキーをインポートします。

    2. 取引相手にパブリックキーを送信します。

  • 暗号化された AS2 メッセージを Transfer Family サーバーから取引相手に転送し、署名を追加して MDN レスポンスを送信します。

    まだアウトバウンド転送のみを行っていますが、現在は署名付きペイロードの送信に加えて、取引相手から署名付き MDN レスポンスを受け取る必要があります。

    1. 取引相手が公開署名キーを送信します。

    2. 取引相手のパブリックキー (パートナープロファイルに追加された署名証明書として) をインポートします。

インバウンドとアウトバウンドのユースケース

  • Transfer Family サーバーと取引相手の間で、暗号化された AS2 メッセージを双方向に転送します。

    この場合、次の操作を行います。

    1. 取引相手と自分自身のプロファイルを作成します。

    2. AS2 プロトコルを使用するTransfer Family サーバーを作成します。

    3. 契約書を作成してサーバーに追加します。

    4. コネクタを作成します。

    5. プライベートキーを使用して証明書をインポートし、プロファイルに追加してから、パブリックキーをパートナープロファイルにインポートして暗号化します。

    6. 取引相手からパブリックキーを受け取り、暗号化のためにプロファイルに追加します。

    7. これらの項目を入手したら、証明書の公開鍵を取引相手に送信します。

    これで、あなたと取引相手は暗号化されたメッセージを交換でき、両方とも暗号化を解除できます。受信したメッセージは Amazon S3 バケットに保存でき、パートナーは送信したメッセージを復号して保存できます。

  • Transfer Family サーバーと取引相手の間で暗号化された AS2 メッセージを双方向に転送し、署名を追加します。

    これで、あなたとパートナーは署名付きのメッセージを求めます。

    1. (プロファイルに追加されたサイン証明書として)サイン用プライベートキーをインポートします。

    2. 取引相手にパブリックキーを送信します。

    3. 取引相手の署名パブリックキーをインポートし、プロファイルに追加します。

  • Transfer Family サーバーと取引相手の間で暗号化された AS2 メッセージを双方向に転送し、署名を追加して MDN レスポンスを送信します。

    次に、署名付きペイロードを交換する場合、自分と取引相手の両方が MDN レスポンスを必要としています。

    1. 取引相手が公開署名キーを送信します。

    2. 取引相手のパブリックキーを (パートナープロファイルの署名証明書として) インポートします。

    3. 公開キーを取引相手に送信します。