本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
正在配置 AS2
要创建 AS2启用了的服务器,还必须指定以下组件:
-
协议 — 双边贸易伙伴协议或伙伴关系,定义交换消息(文件)的双方之间的关系。为了定义协议,Transfer Family 结合了服务器、本地配置文件、合作伙伴配置文件和证书信息。Tran AS2 sfer Family 入站流程使用协议。
-
证书-公钥 (X.509) 证书用于 AS2 通信以进行消息加密和验证。证书也用于连接器端点。
-
本地档案和合作伙伴档案 — 本地资料定义本地(AS2已启用 Transfer Family 服务器)组织或 “派对”。同样,合作伙伴配置文件定义了 Transfer Family 外部的远程合作伙伴组织。
虽然并非所有 AS2启用了连接器的服务器都需要连接器,但对于出站传输,则需要连接器。连接器捕获出站连接的参数。将文件发送到客户的外部非 AWS 服务器时需要使用连接器。
下图显示了入站和出站流程中涉及的 AS2 对象之间的关系。
有关 AS2 配置示 end-to-end例,请参阅设置 AS2 配置。
AS2 配置
本主题介绍使用适用性声明 2 (AS2) 协议的传输支持的配置、特性和功能,包括接受的密码和摘要。
签名、加密、压缩、MDN
对于入站和出站传输,以下项目为必需或可选项目:
-
加密 - 必需(对于 HTTP 传输,这是目前唯一支持的传输方法)。只有通过终止 TLS 的代理(例如应用程序负载均衡器(ALB))转发且
X-Forwarded-Proto: https标头存在的情况下,才会接受未加密的消息。 -
签名 - 可选
-
压缩 - 可选(目前唯一支持的压缩算法是 ZLIB)
-
邮件处置通知 (MDN) - 可选
密码
入站和出站传输均支持以下密码:
-
AES128_CBC
-
AES192_CBC
-
AES256_CBC
-
3DES(仅用于向后兼容)
摘要
支持以下摘要:
-
入站签名和 MDN — SHA1、、 SHA256、 SHA384 SHA512
-
出站签名和 MDN — SHA1、、 SHA256、 SHA384 SHA512
MDN
对于 MDN 响应,支持某些类型,如下所示:
-
入站传输 - 同步和异步
-
出站传输 - 仅限同步
-
简单邮件传输协议(SMTP)(电子邮件 MDN) – 不支持
Transports
-
入站传输 – HTTP 是目前唯一支持的传输,您必须明确指定。
注意
如果您需要使用 HTTPS 进行入站传输,则可以在应用程序负载均衡器或网络负载均衡器上终止 TLS。通过 HTTPS 接收 AS2 消息中对此进行了描述。
-
出站传输 - 如果您提供 HTTP URL,则还必须指定加密算法。如果您提供 HTTPS URL,则可以选择为加密算法指定 NONE。
AS2 配额和限制
本节讨论以下各项的配额和限制 AS2
AS2 配额
AS2 文件传输有以下配额。要申请增加可调整的限额,请参阅 AWS 一般参考 中的 AWS 服务 限额。
| 名称 | 默认值 | 可调整 |
|---|---|---|
| 每秒接收的最大入站文件数 | 100 | 否 |
| 每秒发送的最大出站文件数 | 100 | 否 |
| 并发入站文件的最大数量 | 400 | 否 |
| 并发出站文件的最大数量 | 400 | 否 |
| 入站文件的最大大小(未压缩) | 1 GB | 否 |
| 出站文件的最大大小(未压缩) | 1 GB | 否 |
| 每个出站请求的最大文件数 | 10 | 否 |
| 每秒最大出站请求数 | 100 | 否 |
| 每秒最大入站请求数 | 100 | 否 |
| 每个账户的最大出站带宽(出站 SFTP 和 AS2请求均构成此值) | 每秒 50 MB | 否 |
| 每台服务器的最大协议数 | 100 | 是 |
| 每个账户的最大连接器数量(SFTP 和 AS2 连接器均构成此限制) | 100 | 是 |
| 每个合作伙伴资料的最大证书数量 | 10 | 否 |
| 每个账户的最大证书数 | 1000 | 是 |
| 每个账户的最大合作伙伴配置文件数 | 1000 | 是 |
处理密钥的限额
AWS Transfer Family AWS Secrets Manager 代表使用基本身份验证的 AS2 客户拨打电话。此外,Secrets Manager 还会拨打电话 AWS KMS。
注意
这些配额并不特定于你对 Transfer Family 的密钥的使用:它们是在你的所有服务之间共享的 AWS 账户。
对于 Secrets ManagerGetSecretValue,适用的配额是组合速率 DescribeSecret 和 GetSecretValue API 请求,如AWS Secrets Manager
配额中所述。
| 名称 | 值 | 描述 |
|---|---|---|
| 和 GetSecretValue API 请求 DescribeSecret 的合并速率 | 每个受支持的区域:每秒 1 万个 | DescribeSecret和 GetSecretValue API 操作的每秒最大事务总和。 |
对于 AWS KMS,以下配额适用Decrypt。有关详细信息,请参阅每个 AWS KMS API 操作的请求配额
| 限额名称 | 默认值(每秒请求数) |
|---|---|
|
加密操作(对称)请求速率 |
这些共享配额因请求中使用的 AWS KMS 密钥类型 AWS 区域 和密钥类型而异。每个配额都单独计算。
|
|
自定义密钥存储请求限额 注意此限额仅适用于使用外部密钥存储的情况。 |
自定义密钥存储请求限额是针对每个自定义密钥存储单独计算的。
|
已知限制条件
-
不支持服务器端 TCP 保持活动状态。除非客户端发送保持活动状态的数据包,否则连接将在处于非活动状态 350 秒后超时。
-
要使有效协议被服务接受并显示在 Amazon CloudWatch 日志中,消息必须包含有效的 AS2 标头。
-
从 AWS Transfer Family for 接收消息的服务器 AS2 必须支持 R
FC 6211 中定义的用于验证消息签名的加密消息语法 (CMS) 算法保护属性。某些较早的 IBM Sterling 产品不支持此属性。 -
重复的消息 IDs 会导致已
处理/警告:重复的文档消息。 -
AS2 证书的密钥长度必须至少为 2048 位,最多为 4096 位。
-
MDNs 向贸易伙伴的 HTTPS 终端节点发送 AS2 消息或异步消息时,消息或 MDNs 必须使用由公开信任的证书颁发机构 (CA) 签署的有效 SSL 证书。目前仅支持出站传输自签名证书。
-
端点必须支持 TLS 版本 1.2 协议和安全策略允许的加密算法(如 AWS Transfer Family 服务器的安全策略 中所述)。
-
目前不支持 AS2 版本 1.2 中的多个附件和证书交换消息 (CEM)。
-
基本身份验证目前仅支持出站消息。
-
您可以将文件处理工作流程附加到使用该 AS2 协议的 Transfer Family 服务器:但是, AS2 消息不会执行附加到服务器的工作流程。
AS2 特性和功能
下表列出了使用的 Transfer Family 资源可用的特性和功能 AS2。
AS2 features
Transfer Family 为以下用户提供以下功能 AS2。
| 功能 | 由... 支持 AWS Transfer Family |
|---|---|
| 德拉蒙德认证 |
是 |
| AWS CloudFormation 支持 | 是 |
| 亚马逊 CloudWatch指标 | 是 |
| SHA-2 加密算法 | 是 |
| 对 Amazon S3 的支持 | 是 |
| Amazon EFS 支持 | 否 |
| 定时消息 | 是 1 |
| AWS Transfer Family 托管工作流程 | 否 |
| 证书交换消息 (CEM) | 否 |
| 双向 TLS (mTLS) | 否 |
| Support 对自签名证书的支持 | 是 |
1. 通过使用 Amazon 的计划 AWS Lambda 功能提供出站预设消息 EventBridge
AS2 发送和接收功能
下表列出了 AWS Transfer Family AS2 发送和接收功能。
| 能力 | 入站:通过服务器接收 | 出站:使用连接器发送 |
|---|---|---|
| TLS 加密传输 (HTTPS) | 是 1 |
是 |
| 非 TLS 传输 (HTTP) | 是 |
是 2 |
| 同步 MDN | 支持 | 是 |
| 消息压缩 | 支持 | 是 |
| 异步 MDN | 是 | 否 |
| 静态 IP 地址 | 支持 | 是 |
| 带上你自己的 IP 地址 | 是 | 否 |
| 多个文件附件 | 否 | 否 |
| 基本身份验证 | 否 | 是 |
| AS2 重启 | 不适用 | 否 |
| AS2 可靠性 | 否 | 否 |
| 每封邮件的自定义主题 | 不适用 | 否 |
1. Network Load Balancer (NLB) 或应用程序负载均衡器 (ALB) 提供入站 TLS 加密传输
2. 只有启用加密后,出站非 TLS 传输才可用
