Amazon Transfer Family 适用于 AS2

适用性声明 2 (AS2) 是一种 RFC-defined 文件传输规范，包括强大的消息保护和验证机制。保护传输中的 AS2 有效载荷使用带有加密和数字签名的加密消息语法 (CMS) 来提供数据保护和对等身份验证。已签名的消息处置通知（MDN）响应有效负载提供消息已接收并成功解密的验证（不可否认性）。

AS2 协议对于具有合规性要求的工作流程至关重要，这些工作流程依赖于在协议中内置数据保护和安全功能。 Amazon Transfer Family AS2 端点已通过 Drummond 认证，使零售、生命科学、制造业、金融服务和公用事业等行业的客户能够安全地与其业务合作伙伴进行交易。

当你将 AS2 与 Transfer Family 配合使用时，可以在以下版本中本地访问已处理的数据： Amazon

处理、分析和机器学习
与企业资源规划 (ERP) 系统集成
与客户关系管理 (CRM) 系统集成

要与拥有 AS2-enabled 服务器的合作伙伴交换文件，您必须：

生成用于加密的公私密钥 pair
生成用于签名的公私密钥 pair
与您的伴侣交换公钥

重要

目前不支持 HTTPS AS2 服务器端点。您应对终止 TLS 负责。

Transfer Family 提供了一个你可以参加的研讨会，你可以在其中配置启用 AS2 的 Transfer Family 端点和 Transfer Family AS2 连接器。您可以在此处查看本次研讨会的详细信息。

有关在 Transfer Family 中配置 AS2 的分步说明，请参阅以下内容：

有关完整示例，请参阅设置 AS2 配置。

注意

要显示对 AS2 Terraform 模板的支持，请在 Transfer Family T er raform 模板功能请求中添加竖起大拇指的反应 (👍)。您也可以添加评论来描述您的用例。

AS2 使用案例

如果您是想要与拥有 AS2-enabled 服务器的合作伙伴交换文件的 Amazon Transfer Family 客户，则设置中最复杂的部分是生成一个用于加密的公私密钥对，另一个用于与合作伙伴签署和交换公钥。

在 AS2 中使用 Amazon Transfer Family 时，请考虑以下变体。

注意

贸易伙伴是与该合作伙伴资料关联的合作伙伴。

下表中所有提及 MDN 的内容都假设已签名的 MDN。

AS2 使用案例
Inbound-only 用例将加密的 AS2 消息从交易伙伴传输到 Transfer Family 服务器。在此情况下，您可以执行以下操作：为您的贸易伙伴和您自己创建档案。创建使用 AS2 协议的 Transfer Family 服务器。创建协议并将其添加到您的服务器。导入带有私钥的证书并将其添加到您的个人资料中，然后将公钥导入您的合作伙伴资料进行加密。拿到这些物品后，将证书的公有密钥发送给您的交易伙伴。现在，您的合作伙伴可以向您发送加密消息，您可以将其解密并存储在您的 Amazon S3 存储桶中。将加密的 AS2 消息从交易伙伴传输到 Transfer Family 服务器并添加签名。在这种情况下，您仍然只进行入站传输，但现在您希望让您的合作伙伴签署他们发送的消息。在这种情况下，请导入贸易伙伴的签名公钥（作为添加到合作伙伴资料中的签名证书）。将加密的 AS2 消息从交易伙伴传输到 Transfer Family 服务器，然后添加签名和发送 MDN 响应。在这种情况下，您仍然只进行入站传输，但是现在，除了接收已签名的有效负载外，您的交易伙伴还希望接收签名的 MDN 响应。导入您的公有和私有签名密钥（作为签名证书导入您的配置文件中）。将公开签名密钥发送给您的贸易伙伴。
Outbound-only 用例将加密的 AS2 消息从 Transfer Family 服务器传输给贸易伙伴。这种情况与仅限入站传输的使用案例类似，不同之处在于您无需向 AS2 服务器添加协议，而是创建连接器。在这种情况下，您可以将贸易伙伴的公钥导入他们的个人资料中。将加密的 AS2 消息从 Transfer Family 服务器传输给贸易伙伴并添加签名。您仍然只进行出站转账，但现在您的贸易伙伴希望您在发送给他们的消息上签名。导入您的签名私有密钥（作为签名证书添加至您的配置文件中）。将您的公钥发送给您的贸易伙伴。将加密的 AS2 消息从 Transfer Family 服务器传输到贸易伙伴，然后添加签名并发送 MDN 响应。您仍然只能进行出站转账，但是现在，除了发送已签名的有效载荷外，您还希望收到贸易伙伴签名的 MDN 响应。您的贸易伙伴向您发送他们的公开签名密钥。导入您的贸易伙伴的公钥（作为添加到您的合作伙伴资料中的签名证书）。
入站和出站使用案例在 Transfer Family 服务器和交易伙伴之间双向传输加密的 AS2 消息。在此情况下，您可以执行以下操作：为您的贸易伙伴和您自己创建档案。创建使用 AS2 协议的 Transfer Family 服务器。创建协议并将其添加到您的服务器。创建连接器。导入带有私钥的证书并将其添加到您的个人资料中，然后将公钥导入您的合作伙伴资料进行加密。从您的贸易伙伴那里接收公钥并将其添加到他们的个人资料中进行加密。拿到这些物品后，将证书的公有密钥发送给您的交易伙伴。现在，您和您的交易伙伴可以交换加密消息，并且双方都可以对其进行解密。您可以将接收的消息存储在 Amazon S3 存储桶中，且您的合作伙伴可以解密和存储您发送给他们的消息。在 Transfer Family 服务器和贸易伙伴之间双向传输加密的 AS2 消息并添加签名。现在您和您的合作伙伴想要签名消息。导入您的签名私有密钥（作为签名证书添加至您的配置文件中）。将您的公钥发送给您的贸易伙伴。导入贸易伙伴的签名公钥并将其添加到他们的个人资料中。在 Transfer Family 服务器和交易伙伴之间双向传输加密的 AS2 消息，然后添加签名并发送 MDN 响应。现在，您想交换签名的有效负载，并且您和您的交易伙伴都想要 MDN 响应。您的贸易伙伴向您发送他们的公开签名密钥。导入贸易伙伴的公钥（作为合作伙伴资料的签名证书）。将您的公钥发送给您的贸易伙伴。

AS2 模板 CloudFormation

本主题提供有关可用于快速部署 AS2 服务器和配置的 Amazon CloudFormation Amazon Transfer Family模板的信息。这些模板可以自动执行设置过程，并帮助您实施 AS2 文件传输的最佳实践。

有关基本 AS2 模板的描述，请参见使用模板创建演示 Transfer Family AS2 堆栈
中描述了用于自定义 HTTP 标头的 AS2 模板。自定义 AS2 消息的 HTTP 标头

自定义 AS2 模板

您可以自定义提供的模板以满足您的特定要求：

从 S3 网址下载模板。
修改 YAML 代码以调整配置，例如：
- 安全设置和证书配置
- 网络架构和 VPC 设置
- 存储选项和文件处理
- 监控和通知首选项
将修改后的模板上传到自己的 S3 存储桶。
使用 Amazon CloudFormation 控制台部署自定义模板或 Amazon CLI。

重要

自定义模板时，请确保保持资源之间的依赖关系并遵循安全最佳实践。

测试您的 AS2 部署

使用模板部署 AS2 服务器后，您可以测试配置：

查看 CloudFormation 堆栈输出以获取示例命令和端点信息。

使用 Amazon CLI 发送测试文件：


aws s3api put-object --bucket your-bucket-name --key test.txt --body test.txt
aws transfer start-file-transfer --connector-id your-connector-id --send-file-paths /your-bucket-name/test.txt

验证目标 S3 存储桶中的文件传输。
检查 CloudWatch 日志是否成功处理和 MDN 响应。

要进行更全面的测试，可以考虑使用第三方 AS2 客户端将文件发送到您的 Transfer Family AS2 服务器。

AS2 模板部署的最佳实践

使用 AS2 CloudFormation 模板时，请遵循以下最佳实践：

安全性

使用强证书并定期轮换。

实施最低权限的 IAM 策略。

使用安全组限制网络访问。

可靠性

跨多个可用区部署。

对失败的传输实施监控和警报。

为失败的传输设置自动重试。

性能

为您的传输量选择合适的实例类型。

实施 S3 生命周期策略以实现高效的文件管理。

监控和优化网络配置。

成本优化

对可变的工作负载使用自动缩放。

为较旧的文件实现 S3 存储类别。

根据实际使用情况监控和调整资源。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

参考架构

配置 AS2