配置 AS2 连接器 - Amazon Transfer Family
创建 AS2 连接器AS2 连接器算法AS2 连接器的基本身份验证启用 AS2 连接器的基本身份验证查看连接器详细信息
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

配置 AS2 连接器

连接器的用途是在交易伙伴之间建立出站传输的关系 — 将 AS2 文件从 Transfer Family 服务器发送至合作伙伴拥有的外部目的地。对于连接器,您可以指定本地方、远程合作伙伴及其证书(通过创建本地和合作伙伴配置文件)。

有了连接器后,您可以将信息传输给您的交易伙伴。每台 AS2 服务器都分配了三个静态 IP 地址。AS2 连接器使用这些 IP 地址通过 AS2 向您的贸易伙伴发送异步 mDN。

注意

交易伙伴收到的消息大小将与 Amazon S3 中的对象大小不匹配。之所以出现这种差异,是因为 AS2 消息在发送文件之前将其封装在信封中。因此,即使文件是以压缩方式发送的,文件大小也可能会增加。因此,请确保交易伙伴的最大文件大小大于您发送的文件的大小。

创建 AS2 连接器

此过程说明如何使用 Amazon Transfer Family 控制台创建 AS2 连接器。如果要 Amazon CLI 改用,请参阅第 6 步:创建您与合作伙伴之间的连接器

创建 AS2 连接器

  1. 打开 Amazon Transfer Family 控制台,网址为 https://console.aws.amazon.com/transfer/

  2. 在左侧的导航窗格中,选择连接器,然后选择创建连接器

  3. 连接器配置部分中,指定以下信息:

    • URL — 输入出站连接的 URL。

    • 访问角色-选择要使用的 (IAM) 角色的亚马逊资源名称 Amazon Identity and Access Management (ARN)。确保角色提供对 StartFileTransfer 请求中所使用文件位置父目录的读取和写入访问权限。此外,确保角色对拟定发送StartFileTransfer的父目录提供读取和写入访问权限。

      注意

      如果您对连接器执行基本身份验证,则访问角色需要密钥的secretsmanager:GetSecretValue权限。如果使用客户管理的密钥而不是 in 对密钥进行加密 Amazon Secrets Manager,则该角色还需要kms:Decrypt获得该密钥的权限。 Amazon 托管式密钥 如果您使用前缀 aws/transfer/ 命名您的密钥,则可以使用通配符 (*) 添加必要的权限,如创建密钥的权限示例中所示。

    • 日志角色(可选)-选择连接器用于将事件推送到 CloudWatch 日志的 IAM 角色。

  4. AS2 配置部分,选择本地和合作伙伴配置文件、加密和签名算法,以及是否压缩传输的信息。请注意以下几点:

    • 对于加密算法,DES_EDE3_CBC除非必须支持需要加密算法的旧版客户端,否则不要选择,因为这是一种较弱的加密算法。

    • 在使用连接器发送的 AS2 消息中,主题用作subject HTTP 标头属性。

    • 如果您选择创建不使用加密算法的连接器,则必须指定HTTPS为您的协议。

  5. MDN 配置部分中,指定以下信息:

    • 请求 MDN — 您可以选择要求您的交易伙伴在通过 AS2 成功收到您的消息后向您发送 MDN。

    • 已签名的 MDN — 您可以选择要求对 MDN 进行签名。只有选择了请求 MDN,此选项才可用。

  6. 基本身份验证部分中,指定以下信息:

    • 要将登录凭证与出站消息一起发送,请选择启用基本身份验证。如果您不想在出站消息中发送任何凭证,请清除启用基本身份验证

    • 如果您使用的是身份验证,请选择或创建密钥。

      • 要创建新密钥,请选择创建新密钥,然后输入用户名和密码。这些凭证必须与连接到合作伙伴端点的用户相匹配。

        Amazon Transfer Family 控制台中的 “创建连接器” 页面,显示了 “基本身份验证” 部分,并选择了 “创建新密钥”。

      • 要使用现有密钥,请选择选择现有秘钥,然后从下拉菜单中选择密钥。有关在 Secrets Manager 中创建格式正确的密钥的详细信息,请参阅启用 AS2 连接器的基本身份验证

        Amazon Transfer Family 控制台中的 “创建连接器” 页面,显示 “基本身份验证” 部分,并选择了选择现有密钥。

  7. 确认所有设置后,选择创建连接器以创建连接器。

连接器页面会出现,其中新连接器的 ID 已添加到列表中。要查看连接器的详细信息,请参阅查看 AS2 连接器详细信息

AS2 连接器算法

创建 AS2 连接器时,会将以下安全算法附加到该连接器。

类型 算法
TLS 密码

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

AS2 连接器的基本身份验证

创建或更新使用 AS2 协议的 Transfer Family 服务器时,可以为出站邮件添加基本身份验证。可以通过为连接器添加身份验证信息来完成此操作。

注意

仅当您使用 HTTPS 时,基本身份验证才可用。

要对连接器使用身份验证,请在“基本身份验证”部分中选择“启用基本身份验证”。启用基本身份验证后,您可以选择创建新密钥,或使用现有密钥。无论哪种情况,密钥中的凭据都与使用此连接器的出站邮件一起发送。这些凭证必须与试图连接到贸易伙伴的远程端点的用户相匹配。

以下屏幕截图显示选中了“启用基本身份验证”,并选择了“创建新密钥”。做出这些选择后,您可以输入密钥的用户名和密码。

Transfer Family 控制台的“连接器”页面,显示连接器的消息身份验证信息。在这种情况下,选择了“启用基本身份验证”,并选择了“创建新密钥”。

以下屏幕截图显示选中了“启用基本身份验证”,并选择了“创建现有密钥”。您的密钥必须为正确格式,如 启用 AS2 连接器的基本身份验证 所述。

Transfer Family 控制台的“连接器”页面,显示连接器的消息身份验证信息。在这种情况下,选择了“启用基本身份验证”,并选择了“选择现有的密钥”。

启用 AS2 连接器的基本身份验证

为 AS2 连接器启用基本身份验证后,您可以在 Transfer Family 控制台中创建新密钥,也可以使用在 Amazon Secrets Manager中创建的密钥。无论哪种情况,您的密钥都存储在 Secrets Manager 中。

在控制台中创建新的密钥

当您在控制台中创建连接器时,您可以创建一个新的密钥。

要创建新密钥,请选择创建新密钥,然后输入用户名和密码。这些凭证必须与连接到合作伙伴端点的用户相匹配。

Amazon Transfer Family 控制台的 “创建连接器” 页面,显示了 “基本身份验证” 部分,并选择了 “创建新密钥”。
注意

当您在控制台中创建新密钥时,密钥的名称将遵循以下命名约定:/aws/transfer/connector-id,其中 connector-id 是您正在创建的连接器的 ID。当您试图在 Amazon Secrets Manager中定位密钥时,请考虑这一点。

使用现有 密钥

当您在控制台中创建连接器时,您可以指定一个现有密钥。

要使用现有密钥,请选择选择现有秘钥,然后从下拉菜单中选择密钥。有关在 Secrets Manager 中创建格式正确的密钥的详细信息,请参阅在中创建密钥 Amazon Secrets Manager

Amazon Transfer Family 控制台的 “创建连接器” 页面,显示 “基本身份验证” 部分,并选择 “选择现有密钥”。

在中创建密钥 Amazon Secrets Manager

以下过程介绍了如何创建用于 AS2 连接器的相应密钥。

注意

仅当您使用 HTTPS 时,基本身份验证才可用。

将用户凭证存储在 Secrets Manager 中进行 AS2 基本身份验证

  1. 登录 Amazon Web Services Management Console 并打开 Amazon Secrets Manager 控制台,网址为 https://console.aws.amazon.com/secretsmanager/

  2. 在左侧导航窗格中,选择密钥

  3. 密钥页面,选择存储新密钥

  4. 选择密钥类型页面上,对于密钥类型,选择其他类型密钥

  5. 键/值对部分,选择键/值选项卡。

    • — 输入Username

    • — 输入有权连接到合作伙伴服务器的用户名。

  6. 如果要提供密码,请选择添加行,然后在键/值对部分中,选择键/值选项卡。

    选择添加行,然后在键/值对部分选择键/值选项卡。

    • — 输入Password

    • — 输入用户的密码。

  7. 如果要提供私钥,请选择添加行,然后在密钥/值对部分,选择密钥/值选项卡。

    • — 输入PrivateKey

    • — 输入用户的私有密钥。此值必须以 OpenSSH 格式存储,并且必须与在远程服务器中为该用户存储的公有密钥相对应。

  8. 选择下一步

  9. 配置密钥页面,输入密钥的名称和描述。建议对名称使用前缀 aws/transfer/。例如,您可以将密钥命名为 aws/transfer/connector-1

  10. 选择下一步,接受配置轮换页面的默认设置。然后选择下一步

  11. 审核页面,选择存储以创建和存储密钥。

创建密钥后,您可以在创建连接器时选择密钥(请参阅配置 AS2 连接器)。在启用基本身份验证的步骤中,从可用密钥的下拉列表中选择密钥。

查看 AS2 连接器详细信息

您可以在 Amazon Transfer Family 控制台中找到 AS2 Amazon Transfer Family 连接器的详细信息和属性列表。AS2 连接器的属性包括其 URL、角色、配置文件、MDN、标签和监控指标。

这是查看连接器详细信息的过程。

要查看连接器详细信息

  1. 打开 Amazon Transfer Family 控制台,网址为 https://console.aws.amazon.com/transfer/

  2. 在左侧导航窗格中,选择 Connectors (连接器)

  3. 在“连接器 ID”列中选择标识符以查看所选连接器的详细信息页面。

通过选择“编辑”,可以在连接器的详细信息页面上更改 AS2 连接器的属性。

Transfer Family 控制台连接器详细信息页面,显示所选连接器的 URL、访问角色和日志角色。
Transfer Family 控制台连接器详细信息页面,显示所选连接器的 AS2 配置详细信息。
Transfer Family 控制台连接器详细信息页面,显示所选连接器的 MDN 配置。
Transfer Family 控制台连接器详细信息页面,显示所选连接器的 AS2 基本身份验证部分的详细信息、标签和 AS2 监控信息。
注意

您可以通过运行以下 Amazon Command Line Interface (Amazon CLI 命令来获取其中的大部分信息,尽管格式不同:

aws transfer describe-connector --connector-id your-connector-id

有关更多信息,请参阅 API 参考中的DescribeConnector