正在配置 AS2 - AWS Transfer Family

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

正在配置 AS2

要创建 AS2启用了的服务器,还必须指定以下组件:

  • 协议 — 双边贸易伙伴协议或伙伴关系,定义交换消息(文件)的双方之间的关系。为了定义协议,Transfer Family 结合了服务器、本地配置文件、合作伙伴配置文件和证书信息。Tran AS2 sfer Family 入站流程使用协议。

  • 证书-公钥 (X.509) 证书用于 AS2 通信以进行消息加密和验证。证书也用于连接器端点。

  • 本地档案和合作伙伴档案 — 本地资料定义本地(AS2已启用 Transfer Family 服务器)组织或 “派对”。同样,合作伙伴配置文件定义了 Transfer Family 外部的远程合作伙伴组织。

虽然并非所有 AS2启用了连接器的服务器都需要连接器,但对于出站传输,则需要连接器。连接器捕获出站连接的参数。将文件发送到客户的外部非 AWS 服务器时需要使用连接器。

下图显示了入站和出站流程中涉及的 AS2 对象之间的关系。

该图显示了入站和出站流程中涉及的 AS2 对象之间的关系。

有关 AS2 配置示 end-to-end例,请参阅设置 AS2 配置

AS2 配置

本主题介绍使用适用性声明 2 (AS2) 协议的传输支持的配置、特性和功能,包括接受的密码和摘要。

签名、加密、压缩、MDN

对于入站和出站传输,以下项目为必需或可选项目:

  • 加密 - 必需(对于 HTTP 传输,这是目前唯一支持的传输方法)。只有通过终止 TLS 的代理(例如应用程序负载均衡器(ALB))转发且 X-Forwarded-Proto: https 标头存在的情况下,才会接受未加密的消息。

  • 签名 - 可选

  • 压缩 - 可选(目前唯一支持的压缩算法是 ZLIB)

  • 邮件处置通知 (MDN) - 可选

密码

入站和出站传输均支持以下密码:

  • AES128_CBC

  • AES192_CBC

  • AES256_CBC

  • 3DES(仅用于向后兼容)

摘要

支持以下摘要:

  • 入站签名和 MDN — SHA1、、 SHA256、 SHA384 SHA512

  • 出站签名和 MDN — SHA1、、 SHA256、 SHA384 SHA512

MDN

对于 MDN 响应,支持某些类型,如下所示:

  • 入站传输 - 同步和异步

  • 出站传输 - 仅限同步

  • 简单邮件传输协议(SMTP)(电子邮件 MDN) – 不支持

Transports

  • 入站传输 – HTTP 是目前唯一支持的传输,您必须明确指定。

    注意

    如果您需要使用 HTTPS 进行入站传输,则可以在应用程序负载均衡器或网络负载均衡器上终止 TLS。通过 HTTPS 接收 AS2 消息中对此进行了描述。

  • 出站传输 - 如果您提供 HTTP URL,则还必须指定加密算法。如果您提供 HTTPS URL,则可以选择为加密算法指定 NONE

AS2 配额和限制

本节讨论以下各项的配额和限制 AS2

AS2 配额

AS2 文件传输有以下配额。要申请增加可调整的限额,请参阅 AWS 一般参考 中的 AWS 服务 限额

AS2 配额
名称 默认值 可调整
每秒接收的最大入站文件数 100
每秒发送的最大出站文件数 100
并发入站文件的最大数量 400
并发出站文件的最大数量 400
入站文件的最大大小(未压缩) 1 GB
出站文件的最大大小(未压缩) 1 GB
每个出站请求的最大文件数 10
每秒最大出站请求数 100
每秒最大入站请求数 100
每个账户的最大出站带宽(出站 SFTP 和 AS2请求均构成此值) 每秒 50 MB
每台服务器的最大协议数 100
每个账户的最大连接器数量(SFTP 和 AS2 连接器均构成此限制) 100
每个合作伙伴资料的最大证书数量 10
每个账户的最大证书数 1000
每个账户的最大合作伙伴配置文件数 1000

处理密钥的限额

AWS Transfer Family AWS Secrets Manager 代表使用基本身份验证的 AS2 客户拨打电话。此外,Secrets Manager 还会拨打电话 AWS KMS。

注意

这些配额并不特定于你对 Transfer Family 的密钥的使用:它们是在你的所有服务之间共享的 AWS 账户。

对于 Secrets ManagerGetSecretValue,适用的配额是组合速率 DescribeSecret 和 GetSecretValue API 请求,如AWS Secrets Manager 配额中所述。

Secrets Manager GetSecretValue
名称 描述
和 GetSecretValue API 请求 DescribeSecret 的合并速率 每个受支持的区域:每秒 1 万个 DescribeSecretGetSecretValue API 操作的每秒最大事务总和。

对于 AWS KMS,以下配额适用Decrypt。有关详细信息,请参阅每个 AWS KMS API 操作的请求配额

AWS KMS Decrypt
限额名称 默认值(每秒请求数)

加密操作(对称)请求速率

这些共享配额因请求中使用的 AWS KMS 密钥类型 AWS 区域 和密钥类型而异。每个配额都单独计算。

  • 5500(共享)

  • 在以下区域中为 10000(共享):

    • 美国东部(俄亥俄),us-east-2

    • 亚太地区(新加坡),ap-southeast-1

    • 亚太区域(悉尼),ap-southeast-2

    • 亚太区域(东京),ap-northeast-1

    • 欧洲(法兰克福),eu-central-1

    • 欧洲(伦敦),eu-west-2

  • 在以下区域中为 50000(共享):

    • 美国东部(弗吉尼亚北部),us-east-1

    • 美国西部(俄勒冈),us-west-2

    • 欧洲(爱尔兰),eu-west-1

自定义密钥存储请求限额

注意

此限额仅适用于使用外部密钥存储的情况。

自定义密钥存储请求限额是针对每个自定义密钥存储单独计算的。

  • 每个 AWS CloudHSM 密钥库有 1,800 个(共享)

  • 每个外部密钥存储 1800 次(共享)

已知限制条件

  • 不支持服务器端 TCP 保持活动状态。除非客户端发送保持活动状态的数据包,否则连接将在处于非活动状态 350 秒后超时。

  • 要使有效协议被服务接受并显示在 Amazon CloudWatch 日志中,消息必须包含有效的 AS2 标头。

  • 从 AWS Transfer Family for 接收消息的服务器 AS2 必须支持 R FC 6211 中定义的用于验证消息签名的加密消息语法 (CMS) 算法保护属性。某些较早的 IBM Sterling 产品不支持此属性。

  • 重复的消息 IDs 会导致已处理/警告:重复的文档消息。

  • AS2 证书的密钥长度必须至少为 2048 位,最多为 4096 位。

  • MDNs 向贸易伙伴的 HTTPS 终端节点发送 AS2 消息或异步消息时,消息或 MDNs 必须使用由公开信任的证书颁发机构 (CA) 签署的有效 SSL 证书。目前仅支持出站传输自签名证书。

  • 端点必须支持 TLS 版本 1.2 协议和安全策略允许的加密算法(如 AWS Transfer Family 服务器的安全策略 中所述)。

  • 目前不支持 AS2 版本 1.2 中的多个附件和证书交换消息 (CEM)。

  • 基本身份验证目前仅支持出站消息。

  • 您可以将文件处理工作流程附加到使用该 AS2 协议的 Transfer Family 服务器:但是, AS2 消息不会执行附加到服务器的工作流程。

AS2 特性和功能

下表列出了使用的 Transfer Family 资源可用的特性和功能 AS2。

AS2 features

Transfer Family 为以下用户提供以下功能 AS2。

功能 由... 支持 AWS Transfer Family
德拉蒙德认证
AWS CloudFormation 支持
亚马逊 CloudWatch指标
SHA-2 加密算法
对 Amazon S3 的支持
Amazon EFS 支持
定时消息 1
AWS Transfer Family 托管工作流程
证书交换消息 (CEM)
双向 TLS (mTLS)
Support 对自签名证书的支持

1. 通过使用 Amazon 的计划 AWS Lambda 功能提供出站预设消息 EventBridge

AS2 发送和接收功能

下表列出了 AWS Transfer Family AS2 发送和接收功能。

能力 入站:通过服务器接收 出站:使用连接器发送
TLS 加密传输 (HTTPS)

1

非 TLS 传输 (HTTP)

2

同步 MDN 支持
消息压缩 支持
异步 MDN
静态 IP 地址 支持
带上你自己的 IP 地址
多个文件附件
基本身份验证
AS2 重启 不适用
AS2 可靠性
每封邮件的自定义主题 不适用

1. Network Load Balancer (NLB) 或应用程序负载均衡器 (ALB) 提供入站 TLS 加密传输

2. 只有启用加密后,出站非 TLS 传输才可用