本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
配置 AS2 连接器
连接器的用途是在交易伙伴之间建立出站传输的关系 — 将 AS2 文件从 Transfer Family 服务器发送至合作伙伴拥有的外部目的地。对于连接器,您可以指定本地方、远程合作伙伴及其证书(通过创建本地和合作伙伴配置文件)。
有了连接器后,您可以将信息传输给您的交易伙伴。每台 AS2 服务器都分配了三个静态 IP 地址。AS2 连接器使用这些 IP 地址通过 AS2 向您的贸易伙伴发送异步 mDN。
注意
交易伙伴收到的消息大小将与 Amazon S3 中的对象大小不匹配。之所以出现这种差异,是因为 AS2 消息在发送文件之前将其封装在信封中。因此,即使文件是以压缩方式发送的,文件大小也可能会增加。因此,请确保交易伙伴的最大文件大小大于您发送的文件的大小。
创建 AS2 连接器
此过程说明如何使用 Amazon Transfer Family 控制台创建 AS2 连接器。如果要 Amazon CLI 改用,请参阅第 6 步:创建您与合作伙伴之间的连接器。
创建 AS2 连接器
-
打开 Amazon Transfer Family 控制台,网址为 https://console.aws.amazon.com/transfer/
。 -
在左侧的导航窗格中,选择连接器,然后选择创建连接器。
-
在连接器配置部分中,指定以下信息:
-
URL — 输入出站连接的 URL。
-
访问角色-选择要使用的 (IAM) 角色的亚马逊资源名称 Amazon Identity and Access Management (ARN)。确保角色提供对
StartFileTransfer
请求中所使用文件位置父目录的读取和写入访问权限。此外,确保角色对拟定发送StartFileTransfer
的父目录提供读取和写入访问权限。注意
如果您对连接器执行基本身份验证,则访问角色需要密钥的
secretsmanager:GetSecretValue
权限。如果使用客户管理的密钥而不是 in 对密钥进行加密 Amazon Secrets Manager,则该角色还需要kms:Decrypt
获得该密钥的权限。 Amazon 托管式密钥 如果您使用前缀aws/transfer/
命名您的密钥,则可以使用通配符 (*
) 添加必要的权限,如创建密钥的权限示例中所示。 -
日志角色(可选)-选择连接器用于将事件推送到 CloudWatch 日志的 IAM 角色。
-
-
在 AS2 配置部分,选择本地和合作伙伴配置文件、加密和签名算法,以及是否压缩传输的信息。请注意以下几点:
-
对于加密算法,
DES_EDE3_CBC
除非必须支持需要加密算法的旧版客户端,否则不要选择,因为这是一种较弱的加密算法。 -
在使用连接器发送的 AS2 消息中,主题用作
subject
HTTP 标头属性。 -
如果您选择创建不使用加密算法的连接器,则必须指定
HTTPS
为您的协议。
-
-
在 MDN 配置部分中,指定以下信息:
-
请求 MDN — 您可以选择要求您的交易伙伴在通过 AS2 成功收到您的消息后向您发送 MDN。
-
已签名的 MDN — 您可以选择要求对 MDN 进行签名。只有选择了请求 MDN,此选项才可用。
-
-
在基本身份验证部分中,指定以下信息:
-
要将登录凭证与出站消息一起发送,请选择启用基本身份验证。如果您不想在出站消息中发送任何凭证,请清除启用基本身份验证。
-
如果您使用的是身份验证,请选择或创建密钥。
-
要创建新密钥,请选择创建新密钥,然后输入用户名和密码。这些凭证必须与连接到合作伙伴端点的用户相匹配。
要使用现有密钥,请选择选择现有秘钥,然后从下拉菜单中选择密钥。有关在 Secrets Manager 中创建格式正确的密钥的详细信息,请参阅 启用 AS2 连接器的基本身份验证。
-
-
-
确认所有设置后,选择创建连接器以创建连接器。
连接器页面会出现,其中新连接器的 ID 已添加到列表中。要查看连接器的详细信息,请参阅 查看 AS2 连接器详细信息。
AS2 连接器算法
创建 AS2 连接器时,会将以下安全算法附加到该连接器。
类型 | 算法 |
---|---|
TLS 密码 | TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
AS2 连接器的基本身份验证
创建或更新使用 AS2 协议的 Transfer Family 服务器时,可以为出站邮件添加基本身份验证。可以通过为连接器添加身份验证信息来完成此操作。
注意
仅当您使用 HTTPS 时,基本身份验证才可用。
要对连接器使用身份验证,请在“基本身份验证”部分中选择“启用基本身份验证”。启用基本身份验证后,您可以选择创建新密钥,或使用现有密钥。无论哪种情况,密钥中的凭据都与使用此连接器的出站邮件一起发送。这些凭证必须与试图连接到贸易伙伴的远程端点的用户相匹配。
以下屏幕截图显示选中了“启用基本身份验证”,并选择了“创建新密钥”。做出这些选择后,您可以输入密钥的用户名和密码。
![Transfer Family 控制台的“连接器”页面,显示连接器的消息身份验证信息。在这种情况下,选择了“启用基本身份验证”,并选择了“创建新密钥”。](images/as2-basic-auth-create-secret.png)
以下屏幕截图显示选中了“启用基本身份验证”,并选择了“创建现有密钥”。您的密钥必须为正确格式,如 启用 AS2 连接器的基本身份验证 所述。
![Transfer Family 控制台的“连接器”页面,显示连接器的消息身份验证信息。在这种情况下,选择了“启用基本身份验证”,并选择了“选择现有的密钥”。](images/as2-basic-auth-select-secret.png)
启用 AS2 连接器的基本身份验证
为 AS2 连接器启用基本身份验证后,您可以在 Transfer Family 控制台中创建新密钥,也可以使用在 Amazon Secrets Manager中创建的密钥。无论哪种情况,您的密钥都存储在 Secrets Manager 中。
在控制台中创建新的密钥
当您在控制台中创建连接器时,您可以创建一个新的密钥。
要创建新密钥,请选择创建新密钥,然后输入用户名和密码。这些凭证必须与连接到合作伙伴端点的用户相匹配。
![Amazon Transfer Family 控制台的 “创建连接器” 页面,显示了 “基本身份验证” 部分,并选择了 “创建新密钥”。](images/as2-basic-auth-create-secret.png)
注意
当您在控制台中创建新密钥时,密钥的名称将遵循以下命名约定:/aws/transfer/
,其中 connector-id
connector-id
是您正在创建的连接器的 ID。当您试图在 Amazon Secrets Manager中定位密钥时,请考虑这一点。
使用现有 密钥
当您在控制台中创建连接器时,您可以指定一个现有密钥。
要使用现有密钥,请选择选择现有秘钥,然后从下拉菜单中选择密钥。有关在 Secrets Manager 中创建格式正确的密钥的详细信息,请参阅 在中创建密钥 Amazon Secrets Manager。
![Amazon Transfer Family 控制台的 “创建连接器” 页面,显示 “基本身份验证” 部分,并选择 “选择现有密钥”。](images/as2-basic-auth-select-secret.png)
在中创建密钥 Amazon Secrets Manager
以下过程介绍了如何创建用于 AS2 连接器的相应密钥。
注意
仅当您使用 HTTPS 时,基本身份验证才可用。
将用户凭证存储在 Secrets Manager 中进行 AS2 基本身份验证
-
登录 Amazon Web Services Management Console 并打开 Amazon Secrets Manager 控制台,网址为 https://console.aws.amazon.com/secretsmanager/
。 -
在左侧导航窗格中,选择密钥。
-
在密钥页面,选择存储新密钥。
-
在选择密钥类型页面上,对于密钥类型,选择其他类型密钥。
-
在键/值对部分,选择键/值选项卡。
-
键 — 输入
Username
。 -
值 — 输入有权连接到合作伙伴服务器的用户名。
-
-
如果要提供密码,请选择添加行,然后在键/值对部分中,选择键/值选项卡。
选择添加行,然后在键/值对部分选择键/值选项卡。
-
键 — 输入
Password
。 -
值 — 输入用户的密码。
-
-
如果要提供私钥,请选择添加行,然后在密钥/值对部分,选择密钥/值选项卡。
-
键 — 输入
PrivateKey
。 -
值 — 输入用户的私有密钥。此值必须以 OpenSSH 格式存储,并且必须与在远程服务器中为该用户存储的公有密钥相对应。
-
-
选择下一步。
-
在配置密钥页面,输入密钥的名称和描述。建议对名称使用前缀
aws/transfer/
。例如,您可以将密钥命名为aws/transfer/connector-1
。 -
选择下一步,接受配置轮换页面的默认设置。然后选择下一步。
-
在审核页面,选择存储以创建和存储密钥。
创建密钥后,您可以在创建连接器时选择密钥(请参阅 配置 AS2 连接器)。在启用基本身份验证的步骤中,从可用密钥的下拉列表中选择密钥。
查看 AS2 连接器详细信息
您可以在 Amazon Transfer Family 控制台中找到 AS2 Amazon Transfer Family 连接器的详细信息和属性列表。AS2 连接器的属性包括其 URL、角色、配置文件、MDN、标签和监控指标。
这是查看连接器详细信息的过程。
要查看连接器详细信息
-
打开 Amazon Transfer Family 控制台,网址为 https://console.aws.amazon.com/transfer/
。 -
在左侧导航窗格中,选择连接器。
-
在“连接器 ID”列中选择标识符以查看所选连接器的详细信息页面。
通过选择“编辑”,可以在连接器的详细信息页面上更改 AS2 连接器的属性。
![Transfer Family 控制台连接器详细信息页面,显示所选连接器的 URL、访问角色和日志角色。](images/as2-connector-details_01-top.png)
![Transfer Family 控制台连接器详细信息页面,显示所选连接器的 AS2 配置详细信息。](images/as2-connector-details_02-middle.png)
![Transfer Family 控制台连接器详细信息页面,显示所选连接器的 MDN 配置。](images/as2-connector-details_mdn.png)
![Transfer Family 控制台连接器详细信息页面,显示所选连接器的 AS2 基本身份验证部分的详细信息、标签和 AS2 监控信息。](images/as2-basic-auth-details-pane.png)
注意
您可以通过运行以下 Amazon Command Line Interface (Amazon CLI 命令来获取其中的大部分信息,尽管格式不同:
aws transfer describe-connector --connector-id
your-connector-id
有关更多信息,请参阅 API 参考中的 DescribeConnector。