配置AS2连接器 - Amazon Transfer Family
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

配置AS2连接器

连接器的目的是在贸易伙伴之间建立出传输关系,即将AS2文件从 Transfer Family 服务器发送到合作伙伴拥有的外部目的地。对于连接器,您可以指定本地方、远程合作伙伴及其证书(通过创建本地和合作伙伴配置文件)。有了连接器后,您可以将信息传输给您的交易伙伴。

注意

交易伙伴收到的消息大小将与 Amazon S3 中的对象大小不匹配。之所以出现这种差异,是因为AS2邮件在发送前会将文件封装在信封中。因此,即使文件是以压缩方式发送的,文件大小也可能会增加。因此,请确保交易伙伴的最大文件大小大于您发送的文件的大小。

适用性声明 2 (AS2) 连接器在出站转账的贸易伙伴之间建立了关系。有关AS2连接器的更多信息,请参见配置AS2连接器。

创建AS2连接器

此过程说明如何使用 Amazon Transfer Family 控制台创建AS2连接器。如果要 Amazon CLI 改用,请参阅第 6 步:创建您与合作伙伴之间的连接器

创建AS2连接器
  1. 打开 Amazon Transfer Family 控制台,网址为https://console.aws.amazon.com/transfer/

  2. 在左侧的导航窗格中,选择连接器,然后选择创建连接器

  3. 连接器配置部分中,指定以下信息:

    • URL— URL 为出站连接输入。

    • 访问角色-选择要使用的 (ARN) 角色的 Amazon 资源名称 Amazon Identity and Access Management (IAM)。确保角色提供对 StartFileTransfer 请求中所使用文件位置父目录的读取和写入访问权限。此外,确保角色对拟定发送 StartFileTransfer 的父目录提供读取和写入访问权限。

      注意

      如果您对连接器执行基本身份验证,则访问角色需要密钥的 secretsmanager:GetSecretValue 权限。如果使用客户管理的密钥而不是 in 对密钥进行加密 Amazon Secrets Manager,则该角色还需要kms:Decrypt获得该密钥的权限。 Amazon 托管式密钥 如果您使用前缀 aws/transfer/ 命名您的密钥,则可以使用通配符 (*) 添加必要的权限,如创建密钥的权限示例中所示。

    • 日志角色(可选)-选择连接器用于将事件推送到 CloudWatch 日志的IAM角色。

  4. AS2配置部分,选择本地和合作伙伴配置文件、加密和签名算法,以及是否压缩传输的信息。请注意以下几点:

    • 对于加密算法,DES_EDE3_CBC除非必须支持需要加密算法的旧版客户端,否则不要选择,因为这是一种较弱的加密算法。

    • 在使用连接器发送的AS2邮件中,“主题” 用作subjectHTTP标题属性。

    • 如果您选择创建不使用加密算法的连接器,则必须指定HTTPS为您的协议。

  5. MDN配置部分中,指定以下信息:

    • 请求 MDN — 您可以选择要求您的贸易伙伴在成功收到您的消息MDN后向他们发送消息AS2。

    • 已@@ 签名 MDN-您可以选择MDNs要求签名。仅当您选择了请求时,此选项才可用MDN。

  6. 基本身份验证部分中,指定以下信息:

    • 要将登录凭证与出站消息一起发送,请选择启用基本身份验证。如果您不想在出站消息中发送任何凭证,请清除启用基本身份验证

    • 如果您使用的是身份验证,请选择或创建密钥。

      • 要创建新密钥,请选择创建新密钥,然后输入用户名和密码。这些凭证必须与连接到合作伙伴端点的用户相匹配。

        Amazon Transfer Family 控制台中的 “创建连接器” 页面,显示了 “基本身份验证” 部分,并选择了 “创建新密钥”。
      • 要使用现有密钥,请选择选择现有秘钥,然后从下拉菜单中选择密钥。有关在 Secrets Manager 中创建格式正确的密钥的详细信息,请参阅 为AS2连接器启用基本身份验证

        Amazon Transfer Family 控制台中的创建连接器页面,显示基本身份验证部分,选择了选择现有密钥。
  7. 确认所有设置后,选择创建连接器以创建连接器。

连接器页面会出现,其中新连接器的 ID 已添加到列表中。要查看连接器的详细信息,请参阅 查看AS2连接器详细信息

AS2连接器算法

创建AS2连接器时,会将以下安全算法附加到该连接器。

类型 算法
TLSCipher

TLS_ _ ECDHE ECDSA _ AES _128 WITH GCM _ _ SHA256

TLS_ _ ECDHE RSA _ AES _128 WITH GCM _ _ SHA256

TLS_ _ ECDHE ECDSA _ AES _128 WITH CBC _ _ SHA256

TLS_ _ ECDHE RSA _ AES _128 WITH CBC _ _ SHA256

TLS_ _ ECDHE ECDSA _ AES _256 WITH GCM _ _ SHA384

TLS_ _ ECDHE RSA _ AES _256 WITH GCM _ _ SHA384

TLS_ _ ECDHE ECDSA _ AES _256 WITH CBC _ _ SHA384

TLS_ _ ECDHE RSA _ AES _256 WITH CBC _ _ SHA384

AS2连接器的基本身份验证

创建或更新使用该AS2协议的 Transfer Family 服务器时,可以为出站邮件添加基本身份验证。可以通过为连接器添加身份验证信息来完成此操作。

注意

只有在您使用时,基本身份验证才可用HTTPS。

要对连接器使用身份验证,请在“基本身份验证”部分中选择“启用基本身份验证”。启用基本身份验证后,您可以选择创建新密钥,或使用现有密钥。无论哪种情况,密钥中的凭据都与使用此连接器的出站邮件一起发送。这些凭证必须与试图连接到贸易伙伴的远程端点的用户相匹配。

以下屏幕截图显示选中了“启用基本身份验证”,并选择了“创建新密钥”。做出这些选择后,您可以输入密钥的用户名和密码。

Transfer Family 控制台的“连接器”页面,显示连接器的消息身份验证信息。在这种情况下,选择了“启用基本身份验证”,并选择了“创建新密钥”。

以下屏幕截图显示选中了“启用基本身份验证”,并选择了“创建现有密钥”。您的密钥必须为正确格式,如 为AS2连接器启用基本身份验证 所述。

Transfer Family 控制台的“连接器”页面,显示连接器的消息身份验证信息。在这种情况下,选择了“启用基本身份验证”,并选择了“选择现有的密钥”。

为AS2连接器启用基本身份验证

为AS2连接器启用基本身份验证后,您可以在 Transfer Family 控制台中创建新密钥,也可以使用在中创建的密钥 Amazon Secrets Manager。无论哪种情况,您的密钥都存储在 Secrets Manager 中。

在控制台中创建新的密钥

当您在控制台中创建连接器时,您可以创建一个新的密钥。

要创建新密钥,请选择创建新密钥,然后输入用户名和密码。这些凭证必须与连接到合作伙伴端点的用户相匹配。

Amazon Transfer Family 控制台的 “创建连接器” 页面,显示了 “基本身份验证” 部分,并选择了 “创建新密钥”。
注意

在控制台中创建新密钥时,该密钥的名称将遵循以下命名约定:/aws/transfer/connector-id,其中 connector-id 是您正在创建的连接器的 ID。当您试图在 Amazon Secrets Manager中定位密钥时,请考虑这一点。

使用现有 密钥

当您在控制台中创建连接器时,您可以指定一个现有密钥。

要使用现有密钥,请选择选择现有秘钥,然后从下拉菜单中选择密钥。有关在 Secrets Manager 中创建格式正确的密钥的详细信息,请参阅 在中创建密钥 Amazon Secrets Manager

Amazon Transfer Family 控制台的 “创建连接器” 页面,显示 “基本身份验证” 部分,并选择 “选择现有密钥”。

在中创建密钥 Amazon Secrets Manager

以下过程介绍如何创建用于AS2连接器的相应密钥。

注意

只有在您使用时,基本身份验证才可用HTTPS。

将用户凭据存储在 Secrets Manager 中进行AS2基本身份验证
  1. 登录 Amazon Web Services Management Console 并打开 Amazon Secrets Manager 控制台,网址为https://console.aws.amazon.com/secretsmanager/

  2. 在左侧导航窗格中,选择密钥

  3. 密钥页面,选择存储新密钥

  4. 选择密钥类型页面上,对于密钥类型,选择其他类型密钥

  5. 键/值对部分,选择键/值选项卡。

    • — 输入Username

    • — 输入有权连接到合作伙伴服务器的用户名。

  6. 如果要提供密码,请选择添加行,然后在键/值对部分中,选择键/值选项卡。

    选择添加行,然后在键/值对部分选择键/值选项卡。

    • — 输入 Password

    • — 输入用户的密码。

  7. 如果要提供私钥,请选择添加行,然后在密钥/值对部分,选择密钥/值选项卡。

    • — 输入 PrivateKey

    • — 输入用户的私有密钥。此值必须以 Open SSH 格式存储,并且必须与在远程服务器中为该用户存储的公钥相对应。

  8. 选择下一步

  9. 配置密钥页面,输入密钥的名称和描述。建议对名称使用前缀 aws/transfer/。例如,您可以将密钥命名为 aws/transfer/connector-1

  10. 选择下一步,接受配置轮换页面的默认设置。然后选择下一步

  11. 审核页面,选择存储以创建和存储密钥。

创建密钥后,您可以在创建连接器时选择密钥(请参阅 配置AS2连接器)。在启用基本身份验证的步骤中,从可用密钥的下拉列表中选择密钥。

查看AS2连接器详细信息

您可以在 Amazon Transfer Family 控制台中找到AS2 Amazon Transfer Family 连接器的详细信息和属性列表。AS2连接器的属性包括连接器URL、角色、配置文件MDNs、标签和监控指标。

这是查看连接器详细信息的过程。

要查看连接器详细信息
  1. 打开 Amazon Transfer Family 控制台,网址为https://console.aws.amazon.com/transfer/

  2. 在左侧导航窗格中,选择连接器

  3. 在“连接器 ID”列中选择标识符以查看所选连接器的详细信息页面。

通过选择 “编辑”,可以在AS2连接器的详细信息页面上更改连接器的属性。

Transfer Family 控制台连接器详细信息页面,显示所选连接器的访问角色和日志角色。URL
Transfer Family 控制台连接器详细信息页面,显示所选连接器的AS2配置详细信息。
Transfer Family 控制台连接器详细信息页面,显示所选连接器的MDN配置。
Transfer Family 控制台连接器详细信息页面,显示所选连接器的AS2基本身份验证部分的详细信息、标签和AS2监控信息。
注意

您可以通过运行以下 Amazon Command Line Interface (Amazon CLI 命令来获取其中的大部分信息,尽管格式不同:

aws transfer describe-connector --connector-id your-connector-id

有关更多信息,请参阅 DescribeConnector在API参考文献中。