本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
配置AS2连接器
连接器的目的是在贸易伙伴之间建立出站传输关系,即将AS2文件从 Transfer Family 服务器发送到合作伙伴拥有的外部目的地。对于连接器,您可以指定本地方、远程合作伙伴及其证书(通过创建本地和合作伙伴配置文件)。有了连接器后,您可以将信息传输给您的交易伙伴。
注意
交易伙伴收到的消息大小将与 Amazon S3 中的对象大小不匹配。之所以出现这种差异,是因为AS2邮件在发送前会将文件封装在信封中。因此,即使文件是以压缩方式发送的,文件大小也可能会增加。因此,请确保交易伙伴的最大文件大小大于您发送的文件的大小。
适用性声明 2 (AS2) 连接器在出站转账的贸易伙伴之间建立了关系。有关AS2连接器的更多信息,请参见配置AS2连接器。
创建AS2连接器
此过程说明如何使用 Amazon Transfer Family 控制台创建AS2连接器。如果要 Amazon CLI 改用,请参阅第 6 步:创建您与合作伙伴之间的连接器。
创建AS2连接器
-
打开 Amazon Transfer Family 控制台,网址为https://console.aws.amazon.com/transfer/
。 -
在左侧的导航窗格中,选择连接器,然后选择创建连接器。
-
在连接器配置部分中,指定以下信息:
-
URL— URL 为出站连接输入。
-
访问角色-选择要使用的 (ARN) 角色的 Amazon 资源名称 Amazon Identity and Access Management (IAM)。确保角色提供对
StartFileTransfer
请求中所使用文件位置父目录的读取和写入访问权限。此外,确保角色对拟定发送StartFileTransfer
的父目录提供读取和写入访问权限。注意
如果您对连接器执行基本身份验证,则访问角色需要密钥的
secretsmanager:GetSecretValue
权限。如果使用客户管理的密钥而不是 in 对密钥进行加密 Amazon Secrets Manager,则该角色还需要kms:Decrypt
获得该密钥的权限。 Amazon 托管式密钥 如果您使用前缀aws/transfer/
命名您的密钥,则可以使用通配符 (*
) 添加必要的权限,如创建密钥的权限示例中所示。 -
日志角色(可选)-选择连接器用于将事件推送到 CloudWatch 日志的IAM角色。
-
-
在AS2配置部分,选择本地和合作伙伴配置文件、加密和签名算法,以及是否压缩传输的信息。请注意以下几点:
-
对于加密算法,
DES_EDE3_CBC
除非必须支持需要加密算法的旧版客户端,否则不要选择,因为这是一种较弱的加密算法。 -
在使用连接器发送的AS2邮件中,“主题” 用作
subject
HTTP标题属性。 -
如果您选择创建不使用加密算法的连接器,则必须指定
HTTPS
为您的协议。
-
-
在MDN配置部分中,指定以下信息:
-
请求 MDN — 您可以选择要求您的贸易伙伴在成功收到您的消息MDN后向他们发送消息AS2。
-
已@@ 签名 MDN-您可以选择MDNs要求签名。仅当您选择了请求时,此选项才可用MDN。
-
-
在基本身份验证部分中,指定以下信息:
-
要将登录凭证与出站消息一起发送,请选择启用基本身份验证。如果您不想在出站消息中发送任何凭证,请清除启用基本身份验证。
-
如果您使用的是身份验证,请选择或创建密钥。
-
要创建新密钥,请选择创建新密钥,然后输入用户名和密码。这些凭证必须与连接到合作伙伴端点的用户相匹配。
要使用现有密钥,请选择选择现有秘钥,然后从下拉菜单中选择密钥。有关在 Secrets Manager 中创建格式正确的密钥的详细信息,请参阅 为AS2连接器启用基本身份验证。
-
-
-
确认所有设置后,选择创建连接器以创建连接器。
连接器页面会出现,其中新连接器的 ID 已添加到列表中。要查看连接器的详细信息,请参阅 查看AS2连接器详细信息。
AS2连接器算法
创建AS2连接器时,会将以下安全算法附加到该连接器。
类型 | 算法 |
---|---|
TLSCipher | TLS_ _ ECDHE ECDSA _ AES _128 WITH GCM _ _ SHA256 TLS_ _ ECDHE RSA _ AES _128 WITH GCM _ _ SHA256 TLS_ _ ECDHE ECDSA _ AES _128 WITH CBC _ _ SHA256 TLS_ _ ECDHE RSA _ AES _128 WITH CBC _ _ SHA256 TLS_ _ ECDHE ECDSA _ AES _256 WITH GCM _ _ SHA384 TLS_ _ ECDHE RSA _ AES _256 WITH GCM _ _ SHA384 TLS_ _ ECDHE ECDSA _ AES _256 WITH CBC _ _ SHA384 TLS_ _ ECDHE RSA _ AES _256 WITH CBC _ _ SHA384 |
AS2连接器的基本身份验证
创建或更新使用该AS2协议的 Transfer Family 服务器时,可以为出站邮件添加基本身份验证。可以通过为连接器添加身份验证信息来完成此操作。
注意
只有在您使用时,基本身份验证才可用HTTPS。
要对连接器使用身份验证,请在“基本身份验证”部分中选择“启用基本身份验证”。启用基本身份验证后,您可以选择创建新密钥,或使用现有密钥。无论哪种情况,密钥中的凭据都与使用此连接器的出站邮件一起发送。这些凭证必须与试图连接到贸易伙伴的远程端点的用户相匹配。
以下屏幕截图显示选中了“启用基本身份验证”,并选择了“创建新密钥”。做出这些选择后,您可以输入密钥的用户名和密码。
以下屏幕截图显示选中了“启用基本身份验证”,并选择了“创建现有密钥”。您的密钥必须为正确格式,如 为AS2连接器启用基本身份验证 所述。
为AS2连接器启用基本身份验证
为AS2连接器启用基本身份验证后,您可以在 Transfer Family 控制台中创建新密钥,也可以使用在中创建的密钥 Amazon Secrets Manager。无论哪种情况,您的密钥都存储在 Secrets Manager 中。
在控制台中创建新的密钥
当您在控制台中创建连接器时,您可以创建一个新的密钥。
要创建新密钥,请选择创建新密钥,然后输入用户名和密码。这些凭证必须与连接到合作伙伴端点的用户相匹配。
注意
在控制台中创建新密钥时,该密钥的名称将遵循以下命名约定:/aws/transfer/
,其中 connector-id
connector-id
是您正在创建的连接器的 ID。当您试图在 Amazon Secrets Manager中定位密钥时,请考虑这一点。
使用现有 密钥
当您在控制台中创建连接器时,您可以指定一个现有密钥。
要使用现有密钥,请选择选择现有秘钥,然后从下拉菜单中选择密钥。有关在 Secrets Manager 中创建格式正确的密钥的详细信息,请参阅 在中创建密钥 Amazon Secrets Manager。
在中创建密钥 Amazon Secrets Manager
以下过程介绍如何创建用于AS2连接器的相应密钥。
注意
只有在您使用时,基本身份验证才可用HTTPS。
将用户凭据存储在 Secrets Manager 中进行AS2基本身份验证
-
登录 Amazon Web Services Management Console 并打开 Amazon Secrets Manager 控制台,网址为https://console.aws.amazon.com/secretsmanager/
。 -
在左侧导航窗格中,选择密钥。
-
在密钥页面,选择存储新密钥。
-
在选择密钥类型页面上,对于密钥类型,选择其他类型密钥。
-
在键/值对部分,选择键/值选项卡。
-
键 — 输入
Username
。 -
值 — 输入有权连接到合作伙伴服务器的用户名。
-
-
如果要提供密码,请选择添加行,然后在键/值对部分中,选择键/值选项卡。
选择添加行,然后在键/值对部分选择键/值选项卡。
-
键 — 输入
Password
。 -
值 — 输入用户的密码。
-
-
如果要提供私钥,请选择添加行,然后在密钥/值对部分,选择密钥/值选项卡。
-
键 — 输入
PrivateKey
。 -
值 — 输入用户的私有密钥。此值必须以 Open SSH 格式存储,并且必须与在远程服务器中为该用户存储的公钥相对应。
-
-
选择下一步。
-
在配置密钥页面,输入密钥的名称和描述。建议对名称使用前缀
aws/transfer/
。例如,您可以将密钥命名为aws/transfer/connector-1
。 -
选择下一步,接受配置轮换页面的默认设置。然后选择下一步。
-
在审核页面,选择存储以创建和存储密钥。
创建密钥后,您可以在创建连接器时选择密钥(请参阅 配置AS2连接器)。在启用基本身份验证的步骤中,从可用密钥的下拉列表中选择密钥。
查看AS2连接器详细信息
您可以在 Amazon Transfer Family 控制台中找到AS2 Amazon Transfer Family 连接器的详细信息和属性列表。AS2连接器的属性包括连接器URL、角色、配置文件MDNs、标签和监控指标。
这是查看连接器详细信息的过程。
要查看连接器详细信息
-
打开 Amazon Transfer Family 控制台,网址为https://console.aws.amazon.com/transfer/
。 -
在左侧导航窗格中,选择连接器。
-
在“连接器 ID”列中选择标识符以查看所选连接器的详细信息页面。
通过选择 “编辑”,可以在AS2连接器的详细信息页面上更改连接器的属性。
注意
您可以通过运行以下 Amazon Command Line Interface (Amazon CLI 命令来获取其中的大部分信息,尽管格式不同:
aws transfer describe-connector --connector-id
your-connector-id
有关更多信息,请参阅 DescribeConnector在API参考文献中。