Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# AWS Transfer Family für AS2
Applicability Statement 2 (AS2) ist eine RFC-definierte Spezifikation für die Dateiübertragung, die starke Mechanismen zum Schutz und zur Überprüfung von Nachrichten umfasst. Beim Schutz von AS2 Nutzdaten während der Übertragung wird Cryptographic Message Syntax (CMS) mit Verschlüsselung und digitalen Signaturen verwendet, um Datenschutz und Peer-Authentifizierung zu gewährleisten. Eine signierte MDN-Antwortnutzlast (Message Disposition Notice) dient der Überprüfung (Unwiderlegbarkeit), dass eine Nachricht empfangen und erfolgreich entschlüsselt wurde.
Das AS2 Protokoll ist entscheidend für Workflows mit Compliance-Anforderungen, die darauf beruhen, dass Datenschutz- und Sicherheitsfunktionen in das Protokoll integriert sind. AWS Transfer Family AS2 Endgeräte sind [Drummond-zertifiziert](https://aws.amazon.com/about-aws/whats-new/2023/06/aws-transfer-family-drummond-group-as2-certification/), sodass Kunden in Branchen wie Einzelhandel, Biowissenschaften, Fertigung, Finanzdienstleistungen und Versorgungsunternehmen sichere Transaktionen mit ihren Geschäftspartnern durchführen können.
Bei Verwendung AS2 mit Transfer Family sind die Transaktionsdaten nativ zugänglich für: AWS
+ Verarbeitung, Analyse und maschinelles Lernen
+ Integration mit ERP-Systemen (Enterprise Resource Planning)
+ Integration mit Systemen für das Kundenbeziehungsmanagement (CRM)
Um Dateien mit einem Partner auszutauschen, der über einen AS2 -fähigen Server verfügt, müssen Sie:
+ Generieren Sie ein öffentlich-privates key pair für die Verschlüsselung
+ Generieren Sie ein öffentlich-privates key pair zum Signieren
+ Tauschen Sie die öffentlichen Schlüssel mit Ihrem Partner aus
**Wichtig**
AS2 HTTPS-Serverendpunkte werden derzeit nicht unterstützt. Sie sind für die TLS-Terminierung verantwortlich.
Transfer Family bietet einen Workshop, an dem Sie teilnehmen können, in dem Sie einen Transfer Family Family-Endpunkt mit AS2 aktiviertem und einen Transfer Family AS2 Family-Connector konfigurieren können. Die Einzelheiten zu diesem Workshop finden Sie [hier](https://catalog.workshops.aws/transfer-family-as2/en-US).
step-by-stepAnweisungen zur Konfiguration AS2 in Transfer Family finden Sie im Folgenden:
1. [AS2 Zertifikate importieren](managing-as2-partners.md#configure-as2-certificate)
1. [Profile erstellen AS2](configure-as2-profile.md)
1. [Einen AS2 Server erstellen](create-as2-transfer-server.md)
1. [Erstellen Sie eine AS2 Vereinbarung](create-as2-transfer-server.md#as2-agreements)
1. [AS2 Konnektoren konfigurieren](configure-as2-connector.md)
Ein vollständiges Beispiel finden Sie unter[Eine AS2 Konfiguration einrichten](as2-example-tutorial.md).
**Anmerkung**
Um die Unterstützung für AS2 Terraform-Vorlagen anzuzeigen, fügen Sie der Funktionsanfrage für [Terraform-Vorlagen der Transfer Family](https://github.com/aws-ia/terraform-aws-transfer-family/issues/62#issue-3364703944) eine Reaktion mit dem Daumen hoch (👍) hinzu. Sie können auch einen Kommentar hinzufügen, der Ihren Anwendungsfall beschreibt.
## AS2 Anwendungsfälle
Wenn Sie ein AWS Transfer Family Kunde sind, der Dateien mit einem Partner austauschen möchte, der über einen AS2 -fähigen Server verfügt, besteht der komplexeste Teil der Einrichtung darin, ein öffentlich-privates key pair für die Verschlüsselung und ein weiteres für das Signieren und Austauschen der öffentlichen Schlüssel mit dem Partner zu generieren.
![\[Diagramm, das die Verwendung von öffentlich-privaten Schlüsselpaaren für Verschlüsselung und Signierung zeigt.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/as2-architecture-high-level.png)
Ziehen Sie die folgenden Varianten für die Verwendung mit AWS Transfer Family in Betracht. AS2
**Anmerkung**
*Handelspartner* ist der Partner, der mit diesem Partnerprofil verknüpft ist.
Alle Erwähnungen von *MDN* in der folgenden Tabelle gelten als *signiert* MDNs.
**AS2 Anwendungsfälle**
| |
| --- |
| Anwendungsfälle nur für eingehende Nachrichten [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/as2-for-transfer-family.html) |
| Ausschließlich ausgehende Anwendungsfälle [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/as2-for-transfer-family.html) |
| Anwendungsfälle für eingehenden und ausgehenden Datenverkehr [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/as2-for-transfer-family.html) |
## AS2 CloudFormation Vorlagen
Dieses Thema enthält Informationen zu AWS CloudFormation Vorlagen, mit denen Sie schnell AS2 Server und Konfigurationen bereitstellen können AWS Transfer Family. Diese Vorlagen automatisieren den Einrichtungsprozess und helfen Ihnen bei der Implementierung von Best Practices für AS2 Dateiübertragungen.
+ Die grundlegende AS2 Vorlage wird unter beschrieben [Verwenden Sie eine Vorlage, um einen AS2 Demo-Transfer-Family-Stack zu erstellen](create-as2-transfer-server.md#as2-cfn-demo-template)
+ Die AS2 Vorlage zum Anpassen von HTTP-Headern wird unter beschrieben. [HTTP-Header für AS2 Nachrichten anpassen](as2-custom-http-headers.md)
### Vorlagen anpassen AS2
Sie können die bereitgestellten Vorlagen an Ihre spezifischen Anforderungen anpassen:
1. Laden Sie die Vorlage von der S3-URL herunter.
1. Ändern Sie den YAML-Code, um Konfigurationen wie die folgenden anzupassen:
+ Sicherheitseinstellungen und Zertifikatkonfigurationen
+ Netzwerkarchitektur und VPC-Einstellungen
+ Speicheroptionen und Dateiverwaltung
+ Einstellungen für Überwachung und Benachrichtigung
1. Laden Sie Ihre geänderte Vorlage in Ihren eigenen S3-Bucket hoch.
1. Stellen Sie die benutzerdefinierte Vorlage mithilfe der CloudFormation Konsole bereit oder AWS CLI.
**Wichtig**
Achten Sie beim Anpassen von Vorlagen darauf, dass Sie die Abhängigkeiten zwischen den Ressourcen beibehalten und die bewährten Sicherheitsmethoden befolgen.
### Testen Sie Ihre Bereitstellung AS2
Nachdem Sie einen AS2 Server mithilfe einer Vorlage bereitgestellt haben, können Sie die Konfiguration testen:
1. In den CloudFormation Stack-Ausgaben finden Sie Beispielbefehle und Endpunktinformationen.
1. Verwenden Sie den AWS CLI , um eine Testdatei zu senden:
```
aws s3api put-object --bucket your-bucket-name --key test.txt --body test.txt
aws transfer start-file-transfer --connector-id your-connector-id --send-file-paths /your-bucket-name/test.txt
```
1. Überprüfen Sie die Dateizustellung im Ziel-S3-Bucket.
1. Überprüfen Sie die CloudWatch Protokolle auf erfolgreiche Verarbeitung und MDN-Antworten.
Für umfassendere Tests sollten Sie erwägen, AS2 Clients von Drittanbietern zu verwenden, um Dateien an Ihren Transfer Family AS2 Family-Server zu senden.
### Bewährte Methoden für die Bereitstellung von AS2 Vorlagen
Halten Sie sich bei der Verwendung von AS2 CloudFormation Vorlagen an die folgenden bewährten Methoden:
Sicherheit
Verwenden Sie sichere Zertifikate und wechseln Sie diese regelmäßig ab.
Implementieren Sie IAM-Richtlinien mit den geringsten Rechten.
Beschränken Sie den Netzwerkzugriff mithilfe von Sicherheitsgruppen.
Zuverlässigkeit
Stellen Sie die Lösung in mehreren Availability Zones bereit.
Implementieren Sie Überwachung und Warnmeldungen für fehlgeschlagene Übertragungen.
Richten Sie automatische Wiederholungsversuche für fehlgeschlagene Übertragungen ein.
Leistung
Wählen Sie die geeigneten Instance-Typen für Ihr Übertragungsvolumen aus.
Implementieren Sie S3-Lebenszyklusrichtlinien für effizientes Dateimanagement.
Überwachen und optimieren Sie Netzwerkkonfigurationen.
Kostenoptimierung
Verwenden Sie die auto-scaling für variable Workloads.
Implementieren Sie S3-Speicherklassen für ältere Dateien.
Überwachen und passen Sie die Ressourcen an die tatsächliche Nutzung an.
# Konfiguration AS2
Um einen AS2 -fähigen Server zu erstellen, müssen Sie außerdem die folgenden Komponenten angeben:
+ **Abkommen** — Bilaterale *Handelspartnerabkommen* oder Partnerschaften definieren die Beziehung zwischen den beiden Parteien, die Nachrichten (Dateien) austauschen. Um eine Vereinbarung zu definieren, kombiniert Transfer Family Server-, lokale Profil-, Partnerprofil- und Zertifikatsinformationen. Transfer Family AS2 — Inbound-Prozesse verwenden Vereinbarungen.
+ **Zertifikate — Zertifikate** mit *öffentlichem Schlüssel (X.509)* werden in der AS2 Kommunikation zur Verschlüsselung und Überprüfung von Nachrichten verwendet. Zertifikate werden auch für Connector-Endpunkte verwendet.
+ **Lokale Profile und Partnerprofile** — Ein *lokales Profil* definiert die lokale (AS2-aktivierte Transfer Family Family-Server) Organisation oder „Partei“. In ähnlicher Weise definiert ein *Partnerprofil* die Remote-Partnerorganisation außerhalb von Transfer Family.
**Dies ist zwar nicht für alle Server mit AS2 aktivierter Option erforderlich, für ausgehende Übertragungen benötigen Sie jedoch einen Connector.** Ein Connector erfasst die Parameter für eine ausgehende Verbindung. Der Connector ist erforderlich, um Dateien an einen externen Server eines Kunden zu senden, der kein AWS Server ist.
Das folgende Diagramm zeigt die Beziehung zwischen den AS2 Objekten, die an den eingehenden und ausgehenden Prozessen beteiligt sind.
![\[Diagramm, das die Beziehung zwischen den AS2 Objekten zeigt, die an den eingehenden und ausgehenden Prozessen beteiligt sind.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/as2-architecture-in-out-agree-connect.png)
Eine end-to-end AS2 Beispielkonfiguration finden Sie unter. [Eine AS2 Konfiguration einrichten](as2-example-tutorial.md)
**Topics**
+ [AS2 Konfigurationen](#as2-supported-configurations)
+ [AS2 Kontingente und Einschränkungen](#as2-limitations)
+ [AS2 Funktionen und Fähigkeiten](#as2-capabilities)
## AS2 Konfigurationen
In diesem Thema werden die unterstützten Konfigurationen, Funktionen und Funktionen für Übertragungen beschrieben, die das Applicability Statement 2 (AS2) -Protokoll verwenden, einschließlich der akzeptierten Chiffren und Digests.
**Signierung, Verschlüsselung, Komprimierung, MDN**
Sowohl für eingehende als auch für ausgehende Übertragungen sind die folgenden Elemente entweder erforderlich oder optional:
+ **Verschlüsselung** — Erforderlich (für den HTTP-Transport, die einzige Transportmethode, die derzeit unterstützt wird). Unverschlüsselte Nachrichten werden nur akzeptiert, wenn sie von einem TLS-terminierenden Proxy wie einem Application Load Balancer (ALB) weitergeleitet werden und der Header vorhanden ist. `X-Forwarded-Proto: https`
+ **Signieren — optional**
+ **Komprimierung** — Optional (der einzige derzeit unterstützte Komprimierungsalgorithmus ist ZLIB)
+ **Hinweis zur Disposition von Nachrichten (MDN)** — Optional
**Chiffren**
Die folgenden Verschlüsselungen werden sowohl für eingehende als auch für ausgehende Übertragungen unterstützt:
+ AES128\$1CBC
+ AES192\$1CBC
+ AES256\$1CBC
+ 3DES (nur aus Gründen der Abwärtskompatibilität)
**Zusammenfassungen**
Die folgenden Digests werden unterstützt:
+ **Eingehendes Signieren und MDN** —,,, SHA1 SHA256 SHA384 SHA512
+ **Ausgehendes Signieren und MDN** —,,, SHA1 SHA256 SHA384 SHA512
**MDN**
Für MDN-Antworten werden bestimmte Typen wie folgt unterstützt:
+ **Eingehende Übertragungen** — Synchron und asynchron
+ **Ausgehende Übertragungen** — Nur synchron
+ **Simple Mail Transfer Protocol (SMTP) (E-Mail MDN)** — Wird nicht unterstützt
**Transporte**
+ **Eingehende Übertragungen** — HTTP ist der einzige derzeit unterstützte Transport, und Sie müssen ihn explizit angeben.
**Anmerkung**
Wenn Sie HTTPS für eingehende Übertragungen verwenden müssen, können Sie TLS auf einem Application Load Balancer oder einem Network Load Balancer beenden. Dieser Vorgang wird unter [Empfangen Sie AS2 Nachrichten über HTTPS](send-as2-messages.md#receive-https) beschrieben.
+ **Ausgehende Übertragungen** — Wenn Sie eine HTTP-URL angeben, müssen Sie auch einen Verschlüsselungsalgorithmus angeben. Wenn Sie eine HTTPS-URL angeben, haben Sie die Möglichkeit, **NONE** für Ihren Verschlüsselungsalgorithmus anzugeben.
## AS2 Kontingente und Einschränkungen
In diesem Abschnitt werden Kontingente und Einschränkungen für beschrieben AS2
**Topics**
+ [AS2 Kontingente](#as2-quotas)
+ [Kontingente für den Umgang mit Geheimnissen](#as2-quotas-secrets)
+ [Bekannte Beschränkungen](#as2-known-limitations)
### AS2 Kontingente
Die folgenden Kontingente gelten für AS2 Dateiübertragungen. Informationen zur Beantragung einer Erhöhung für ein anpassbares Kontingent finden Sie unter [AWS-Service Kontingente](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html) im *Allgemeine AWS-Referenz*.
**AS2 Kontingente**
| Name | Standard | Anpassbar |
| --- | --- | --- |
| Maximale Anzahl von Dateien pro ausgehender Anfrage | 10 | Nein |
| Maximale Anzahl ausgehender Anfragen pro Sekunde | 100 | Nein |
| Maximale Anzahl eingehender Anfragen pro Sekunde | 100 | Nein |
| Maximale ausgehende Bandbreite pro Konto (ausgehendes SFTP und AS2 Anfragen tragen beide zu diesem Wert bei) | 50 MB pro Sekunde | Nein |
### Kontingente für den Umgang mit Geheimnissen
AWS Transfer Family ruft im Namen von AS2 Kunden AWS Secrets Manager an, die die Standardauthentifizierung verwenden. Zusätzlich ruft Secrets Manager auf AWS KMS.
**Anmerkung**
Diese Kontingente sind nicht spezifisch für Ihre Verwendung von Geheimnissen für Transfer Family: Sie werden von allen Diensten in Ihrem gemeinsam genutzt AWS-Konto.
Für Secrets Manager `GetSecretValue` gilt das Kontingent **Kombinierte Rate von Anfragen DescribeSecret und GetSecretValue API-Anfragen**, wie unter [AWS Secrets Manager Kontingente](https://docs.aws.amazon.com/secretsmanager/latest/userguide/reference_limits.html#quotas) beschrieben.
**Secrets Manager `GetSecretValue`**
| Name | Wert | Description |
| --- | --- | --- |
| Kombinierte Rate von DescribeSecret und GetSecretValue API-Anfragen | Jede unterstützte Region: 10 000 pro Sekunde | Die maximale Anzahl an Transaktionen pro Sekunde für DescribeSecret GetSecretValue API-Operationen zusammen. |
Für gelten AWS KMS die folgenden Kontingente für`Decrypt`. Einzelheiten finden Sie unter [Kontingente für jeden AWS KMS API-Vorgang anfordern](https://docs.aws.amazon.com/kms/latest/developerguide/requests-per-second.html#rps-table)
**AWS KMS `Decrypt`**
| Kontingentname | Standardwert (Anforderungen pro Sekunde) |
| --- | --- |
| Anforderungsrate für kryptografische Operationen (symmetrisch) | Diese gemeinsamen Kontingente variieren je nach dem AWS-Region und der Art des in der Anfrage verwendeten AWS KMS Schlüssels. Jedes Kontingent wird separat berechnet. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/create-b2b-server.html) |
| Anforderungskontingente für benutzerdefinierte Schlüsselspeicher Dieses Kontingent gilt nur, wenn Sie einen externen Schlüsselspeicher verwenden. | Kontingente für benutzerdefinierte Schlüsselspeicher-Anfragen werden für jeden benutzerdefinierten Schlüsselspeicher separat berechnet. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/create-b2b-server.html) |
### Bekannte Beschränkungen
+ Serverseitiges TCP-Keep-Alive wird nicht unterstützt. Die Verbindung wird nach 350 Sekunden Inaktivität unterbrochen, es sei denn, der Client sendet Keep-Alive-Pakete.
+ Damit eine aktive Vereinbarung vom Service akzeptiert wird und in den CloudWatch Amazon-Protokollen erscheint, müssen Nachrichten gültige AS2 Kopfzeilen enthalten.
+ [Der Server, der Nachrichten von AWS Transfer Family für empfängt, AS2 muss das Schutzattribut des Algorithmus Cryptographic Message Syntax (CMS) zur Überprüfung von Nachrichtensignaturen unterstützen, wie in RFC 6211 definiert.](https://datatracker.ietf.org/doc/html/rfc6211) Dieses Attribut wird in einigen älteren IBM Sterling-Produkten nicht unterstützt.
+ Doppelte Nachrichten IDs führen zu einer verarbeiteten Nachricht (Warnung: Doppeltes Dokument).
+ Die Schlüssellänge für AS2 Zertifikate muss mindestens 2048 Bit und höchstens 4096 Bit betragen.
+ Beim Senden von AS2 Nachrichten oder asynchron MDNs an den HTTPS-Endpunkt eines Handelspartners MDNs müssen die Nachrichten ein gültiges SSL-Zertifikat verwenden, das von einer öffentlich vertrauenswürdigen Zertifizierungsstelle (CA) signiert wurde. Selbstsignierte Zertifikate werden derzeit nur für ausgehende Übertragungen unterstützt.
+ Der Endpunkt muss das TLS-Protokoll der Version 1.2 und einen kryptografischen Algorithmus unterstützen, der gemäß der Sicherheitsrichtlinie zulässig ist (wie unter beschrieben). [Sicherheitsrichtlinien für Server AWS Transfer Family](security-policies.md)
+ Mehrere Anlagen und Certificate Exchange Messaging (CEM) aus AS2 Version 1.2 werden derzeit nicht unterstützt.
+ Die Standardauthentifizierung wird derzeit nur für ausgehende Nachrichten unterstützt.
+ Sie können einen Dateiverarbeitungs-Workflow an einen Transfer Family Family-Server anhängen, der das AS2 Protokoll verwendet. AS2 Nachrichten führen jedoch keine Workflows aus, die an den Server angehängt sind.
## AS2 Funktionen und Fähigkeiten
In den folgenden Tabellen sind die Funktionen und Fähigkeiten aufgeführt, die für Transfer Family Family-Ressourcen verfügbar sind, die verwenden AS2.
### AS2 features
Transfer Family bietet die folgenden Funktionen für AS2.
| Feature | Unterstützt von AWS Transfer Family |
| --- |--- |
| [Drummond-Zertifizierung](https://aws.amazon.com/about-aws/whats-new/2023/06/aws-transfer-family-drummond-group-as2-certification/) | Ja |
| [AWS CloudFormation Unterstützung](https://docs.aws.amazon.com/transfer/latest/userguide/as2-cfn-demo-template.html) | Ja |
| [ CloudWatchAmazon-Metriken](https://docs.aws.amazon.com/transfer/latest/userguide/as2-monitoring.html) | Ja |
| [Kryptografische SHA-2-Algorithmen](https://docs.aws.amazon.com/transfer/latest/userguide/security-policies.html#cryptographic-algorithms) | Ja |
| Support für Amazon S3 | Ja |
| Support für Amazon EFS | Nein |
| Geplante Nachrichten | Ja 1 |
| AWS Transfer Family Verwaltete Workflows | Nein |
| Zertifikatsaustausch-Messaging (CEM) | Nein |
| Gegenseitiges TLS (mTLS) | Nein |
| Support für selbstsignierte Zertifikate | Ja |
1. Ausgehende geplante Nachrichten sind [über AWS Lambda Planungsfunktionen](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-run-lambda-schedule.html) von Amazon verfügbar EventBridge
### AS2 Funktionen zum Senden und Empfangen
Die folgende Tabelle enthält eine Liste der AWS Transfer Family AS2 Sende- und Empfangsfunktionen.
| Funktion | Eingehend: Empfangen mit dem Server | Ausgehend: Senden mit Connector |
| --- |--- |--- |
| [TLS-verschlüsselter Transport (HTTPS)](send-as2-messages.md#as2-https-process) | Ja 1 | Ja |
| Nicht-TLS-Transport (HTTP) | Ja | Ja 2 |
| Synchrones MDN | Ja | Ja |
| Komprimierung von Nachrichten | Ja | Ja |
| Asynchrones MDN | Ja | Nein |
| Statische IP-Adresse | Ja | Ja |
| Bringen Sie Ihre eigene IP-Adresse mit | Ja | Nein |
| Mehrere Dateianhänge | Nein | Nein |
| Ggrundlegende Authentifizierung | Nein | Ja |
| AS2 Starten Sie neu | Nicht zutreffend | Nein |
| AS2 Zuverlässigkeit | Nein | Nein |
| Benutzerdefinierter Betreff pro Nachricht | Nicht zutreffend | Nein |
1. Eingehender TLS-verschlüsselter Transport mit Network Load Balancer (NLB) oder Application Load Balancer (ALB) verfügbar
2. Ausgehender Transport ohne TLS ist nur verfügbar, wenn die Verschlüsselung aktiviert ist
# AS2 Zertifikate verwalten
In diesem Thema wird beschrieben, wie AS2 Zertifikate importiert und verwaltet werden. Das Importieren von Zertifikaten ist der erste Schritt im AS2 Prozess für Transfer Family.
1. Importieren des Zertifikats
1. [Profile erstellen AS2](configure-as2-profile.md)
1. [Einen AS2 Server erstellen](create-as2-transfer-server.md)
1. [Erstellen Sie eine AS2 Vereinbarung](create-as2-transfer-server.md#as2-agreements)
1. [AS2 Konnektoren konfigurieren](configure-as2-connector.md)
## AS2 Zertifikate importieren
Der Transfer Family AS2 Family-Prozess verwendet Zertifikatsschlüssel sowohl für die Verschlüsselung als auch für die Signierung der übertragenen Informationen. Partner können für beide Zwecke denselben Schlüssel oder für jeden einen separaten Schlüssel verwenden. Wenn Sie über gemeinsame Verschlüsselungsschlüssel verfügen, die von einem vertrauenswürdigen Drittanbieter treuhänderisch aufbewahrt werden, sodass Daten im Notfall oder bei einer Sicherheitsverletzung entschlüsselt werden können, empfehlen wir, separate Signaturschlüssel zu verwenden. Durch die Verwendung separater Signaturschlüssel (die Sie nicht hinterlegen) gefährden Sie nicht die Funktionen Ihrer digitalen Signaturen, die nicht zurückgewiesen werden können.
**Anmerkung**
Die Schlüssellänge für AS2 Zertifikate muss mindestens 2048 Bit und höchstens 4096 Bit betragen.
In den folgenden Punkten wird detailliert beschrieben, wie AS2 Zertifikate während des Prozesses verwendet werden.
+ Eingehend AS2
+ Der Handelspartner sendet seinen öffentlichen Schlüssel für das Signaturzertifikat, und dieser Schlüssel wird in das Partnerprofil importiert.
+ Die lokale Partei sendet den öffentlichen Schlüssel für ihre Verschlüsselungs- und Signaturzertifikate. Der Partner importiert dann den oder die privaten Schlüssel. Die lokale Partei kann separate Zertifikatsschlüssel zum Signieren und Verschlüsseln senden oder denselben Schlüssel für beide Zwecke verwenden.
+ Ausgehend AS2
+ Der Partner sendet den öffentlichen Schlüssel für sein Verschlüsselungszertifikat, und dieser Schlüssel wird in das Partnerprofil importiert.
+ Die lokale Partei sendet den öffentlichen Schlüssel für das Zertifikat zum Signieren und importiert den privaten Schlüssel des Zertifikats zum Signieren.
+ Wenn Sie HTTPS verwenden, können Sie ein selbstsigniertes Transport Layer Security (TLS) -Zertifikat importieren.
Einzelheiten zum Erstellen von Zertifikaten finden Sie unter[Schritt 1: Erstellen Sie Zertifikate für AS2](as2-example-tutorial.md#as2-create-certs).
In diesem Verfahren wird erklärt, wie Zertifikate mithilfe der Transfer Family Family-Konsole importiert werden. Wenn Sie AWS CLI stattdessen das verwenden möchten, finden Sie weitere Informationen unter[Schritt 2: Zertifikate als Transfer Family Family-Zertifikatsressourcen importieren](as2-example-tutorial.md#as2-import-certs-example).
**So geben Sie ein Zertifikat mit AS2 aktivierter Option an**
1. Öffnen Sie die AWS Transfer Family Konsole unter. [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/)
1. Wählen Sie im linken Navigationsbereich unter **AS2 Handelspartner** die Option **Zertifikate** aus.
1. Wählen Sie **Import certificate (Zertifikat importieren)**.
1. Geben Sie im Abschnitt **Zertifikatkonfiguration** für die **Beschreibung des Zertifikats** einen leicht identifizierbaren Namen für das Zertifikat ein. Stellen Sie sicher, dass Sie den Zweck des Zertifikats anhand seiner Beschreibung identifizieren können. Wählen Sie außerdem die Rolle für das Zertifikat aus.
1. Wählen Sie im Abschnitt **Verwendung des Zertifikats** den Zweck für dieses Zertifikat aus. Es kann zur Verschlüsselung, Signierung oder für beides verwendet werden.
**Tipp:** Wenn Sie **Verschlüsselung und Signierung** für die Verwendung wählen, erstellt Transfer Family zwei identische Zertifikate (jedes hat seine eigene ID): eines mit einem Nutzungswert von `ENCRYPTION` und eines mit einem Nutzungswert von`SIGNING`.
1. Geben Sie im Abschnitt **Inhalt des Zertifikats** ein öffentliches Zertifikat eines Handelspartners oder die öffentlichen und privaten Schlüssel für ein lokales Zertifikat an.
Füllen Sie den Abschnitt **Inhalt des Zertifikats** mit den entsprechenden Details aus.
+ Wenn Sie **Selbstsigniertes Zertifikat** wählen, geben Sie die Zertifikatskette nicht an.
+ Fügen Sie den Zertifikatstext und die Kette in das Feld **Zertifikat und Zertifikatskette** ein.
+ Wenn es sich bei diesem Zertifikat um ein lokales Zertifikat handelt, fügen Sie seinen privaten Schlüssel ein.
1. Wählen Sie **Zertifikat importieren**, um den Vorgang abzuschließen und die Details für das importierte Zertifikat zu speichern.
**Anmerkung**
TLS-Zertifikate können nur als öffentliches Zertifikat eines Partners importiert werden. Wenn Sie **Öffentliches Zertifikat von einem Partner** und dann **Transport Layer Security (TLS)** für die Verwendung auswählen, erhalten Sie eine Warnung. Außerdem müssen TLS-Zertifikate selbstsigniert sein (d. h. Sie müssen **Self Signed Certificate auswählen, um ein TLS-Zertifikat** zu importieren).
## AS2 Rotation der Zertifikate
Oft sind Zertifikate für einen Zeitraum von sechs Monaten bis zu einem Jahr gültig. Möglicherweise haben Sie Profile eingerichtet, die Sie für einen längeren Zeitraum beibehalten möchten. Um dies zu erleichtern, bietet Transfer Family eine Zertifikatsrotation. Sie können mehrere Zertifikate für ein Profil angeben, sodass Sie das Profil mehrere Jahre lang verwenden können. Transfer Family verwendet Zertifikate zum Signieren (optional) und Verschlüsseln (verpflichtend). Sie können ein einzelnes Zertifikat für beide Zwecke angeben, wenn Sie möchten.
Bei der Zertifikatsrotation wird ein altes, ablaufendes Zertifikat durch ein neueres Zertifikat ersetzt. Die Umstellung erfolgt schrittweise, um zu vermeiden, dass Übertragungen unterbrochen werden, wenn ein Vertragspartner noch kein neues Zertifikat für ausgehende Übertragungen konfiguriert hat oder während eines Zeitraums, in dem möglicherweise auch ein neueres Zertifikat verwendet wird, Payloads sendet, die mit einem alten Zertifikat signiert oder verschlüsselt sind. *Die Zwischenzeit, in der sowohl alte als auch neue Zertifikate gültig sind, wird als Karenzzeit bezeichnet.*
X.509-Zertifikate haben ein `Not Before` `Not After` Datum. Diese Parameter bieten Administratoren jedoch möglicherweise nicht genügend Kontrolle. Transfer Family bietet `Active Date` `Inactive Date` Einstellungen, mit denen gesteuert werden kann, welches Zertifikat für ausgehende Payloads verwendet und welches für eingehende Payloads akzeptiert wird.
### Überwachung des Ablaufs von Zertifikaten
Transfer Family veröffentlicht `DaysUntilExpiry` nach dem Import eines Zertifikats eine CloudWatch Amazon-Metrik. Die Metrik gibt die Anzahl der Tage zwischen dem aktuellen Datum und dem `InactiveDate` auf dem Zertifikat angegebenen Datum aus. Die Metrik befindet sich unter dem `Transfer` AWS Namespace im CloudWatch Metrik-Dashboard.
Diese Metrik hat immer eine Metrikdimension für **CertificateId**und enthält optional eine **Beschreibungsdimension**, sofern sie vom Kunden auf dem Zertifikat angegeben wird. Weitere Informationen zu CloudWatch metrischen Dimensionen finden Sie unter [Dimension](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_Dimension.html) in der *CloudWatch API-Referenz*.
**Anmerkung**
Nach dem Import eines Zertifikats für Transfer Family kann es bis zu einem ganzen Tag dauern, bis diese Metrik an das Kundenkonto gesendet wird.
Sie können diese Metrik verwenden, um CloudWatch Alarme zu erstellen, die Sie benachrichtigen, wenn Zertifikate bald ablaufen.
Bei der Auswahl ausgehender Zertifikate wird der Höchstwert verwendet, der vor dem Datum der Übertragung liegt. `Inactive Date` Eingehende Prozesse akzeptieren Zertifikate im Bereich von `Not Before` `Not After` und und. `Active Date` `Inactive Date`
### Beispiel für die Zertifikatsrotation
In der folgenden Tabelle wird eine Möglichkeit beschrieben, zwei Zertifikate für ein einzelnes Profil zu konfigurieren.
**Zwei Zertifikate im Wechsel**
| Name | NOT BEFORE(wird von der Zertifizierungsstelle kontrolliert) | ACTIVE DATE(gesetzt von Transfer Family) | INACTIVE DATE(gesetzt von Transfer Family) | NOT AFTER(von der Zertifizierungsstelle festgelegt) |
| --- | --- | --- | --- | --- |
| Cert1 (älteres Zertifikat) | 2019-11-01 | 01.01.2020 | 31.12.2020 | 2024-01-01 |
| Cert2 (neueres Zertifikat) | 01.11.2020 | 2020-06-01 | 01.06.2021 | 01.01.2025 |
Beachten Sie Folgendes:
+ Wenn Sie ein `Active Date` und `Inactive Date` für ein Zertifikat angeben, muss der Bereich innerhalb des Bereichs zwischen und liegen. `Not Before` `Not After`
+ Es wird empfohlen, mehrere Zertifikate für jedes Profil zu konfigurieren und dabei sicherzustellen, dass der aktive Datumsbereich für alle Zertifikate zusammen den Zeitraum abdeckt, für den Sie das Profil verwenden möchten.
+ Wir empfehlen Ihnen, eine Übergangszeit zwischen dem Zeitpunkt, zu dem Ihr älteres Zertifikat inaktiv wird, und dem Zeitpunkt, zu dem Ihr neueres Zertifikat aktiv wird, festzulegen. Im vorherigen Beispiel wird das erste Zertifikat erst am 31.12.2020 inaktiv, während das zweite Zertifikat am 01.06.2020 aktiv wird, was eine Kulanzzeit von 6 Monaten bietet. Im Zeitraum vom 01.06.2020 bis 31.12.2020 sind beide Zertifikate aktiv.
# Profile erstellen AS2
In diesem Thema wird beschrieben, wie Profile zur Verwendung in diesem AS2 Prozess erstellt werden. Ein *lokales Profil* definiert die lokale (AS2-aktivierte Transfer Family Family-Server) Organisation oder „Partei“. In ähnlicher Weise definiert ein *Partnerprofil* die Remote-Partnerorganisation außerhalb von Transfer Family.
1. [AS2 Zertifikate importieren](managing-as2-partners.md#configure-as2-certificate)
1. AS2 Profile erstellen
1. [Einen AS2 Server erstellen](create-as2-transfer-server.md)
1. [Erstellen Sie eine AS2 Vereinbarung](create-as2-transfer-server.md#as2-agreements)
1. [AS2 Konnektoren konfigurieren](configure-as2-connector.md)
Gehen Sie wie folgt vor, um sowohl lokale Profile als auch Partnerprofile zu erstellen. In diesem Verfahren wird erklärt, wie AS2 Profile mithilfe der Transfer Family Family-Konsole erstellt werden. Wenn Sie AWS CLI stattdessen das verwenden möchten, finden Sie weitere Informationen unter[Schritt 3: Erstellen Sie Profile für Sie und Ihren Handelspartner](as2-example-tutorial.md#as2-create-profiles-example).
**Um ein AS2 Profil zu erstellen**
1. Öffnen Sie die AWS Transfer Family Konsole unter [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).
1. Wählen Sie im linken Navigationsbereich unter **AS2 Handelspartner** die Option **Profile** und anschließend **Profil erstellen** aus.
1. Geben Sie im Abschnitt **Profilkonfiguration** die AS2 ID für das Profil ein. Dieser Wert wird für die AS2 protokollspezifischen HTTP-Header `as2-from` und `as2-to` zur Identifizierung der Handelspartnerschaft verwendet, die bestimmt, welche Zertifikate verwendet werden sollen, usw.
1. **Wählen Sie im Abschnitt **Profiltyp** die Option **Lokales Profil oder Partnerprofil** aus.**
1. Wählen Sie im Abschnitt **Zertifikate** ein oder mehrere Zertifikate aus dem Dropdownmenü aus.
**Tipp:** Wenn Sie ein Zertifikat importieren möchten, das nicht im Dropdownmenü aufgeführt ist, wählen Sie **Neues Zertifikat importieren** aus. Dadurch wird ein neues Browserfenster auf dem Bildschirm **Zertifikat importieren** geöffnet. Informationen zum Importieren von Zertifikaten finden Sie unter[AS2 Zertifikate importieren](managing-as2-partners.md#configure-as2-certificate).
1. (Optional) Geben Sie im Abschnitt **Tags** ein oder mehrere Schlüssel-Wert-Paare an, um dieses Profil leichter identifizieren zu können.
1. Wählen Sie **Profil erstellen**, um den Vorgang abzuschließen und das neue Profil zu speichern.
# Einen AS2 Server erstellen
Dieses Thema enthält Anweisungen zum Erstellen eines Transfer Family Family-Servers mit AS2 aktivierter Option entweder mit der Konsole oder einer CloudFormation Vorlage. Eine end-to-end AS2 Beispielkonfiguration finden Sie unter[Eine AS2 Konfiguration einrichten](as2-example-tutorial.md). Nachdem Sie einen AS2 Server erstellt haben, können Sie dem Server eine Vereinbarung hinzufügen.
1. [AS2 Zertifikate importieren](managing-as2-partners.md#configure-as2-certificate)
1. [Profile erstellen AS2](configure-as2-profile.md)
1. Erstellen Sie einen AS2 Server
1. [Erstellen Sie eine AS2 Vereinbarung](#as2-agreements)
1. [AS2 Konnektoren konfigurieren](configure-as2-connector.md)
**Topics**
+ [Einen AS2 Server mit der Transfer Family Family-Konsole erstellen](#create-server-as2-console)
+ [Verwenden Sie eine Vorlage, um einen AS2 Demo-Transfer-Family-Stack zu erstellen](#as2-cfn-demo-template)
+ [Erstellen Sie eine AS2 Vereinbarung](#as2-agreements)
## Einen AS2 Server mit der Transfer Family Family-Konsole erstellen
In diesem Verfahren wird erklärt, wie Sie mithilfe der Transfer Family Family-Konsole einen AS2 -fähigen Server erstellen. Wenn Sie AWS CLI stattdessen den verwenden möchten, finden Sie weitere Informationen unter[Schritt 4: Erstellen Sie einen Transfer Family Family-Server, der das AS2 Protokoll verwendet](as2-example-tutorial.md#as2-example-server).
**Anmerkung**
Sie können einen Dateiverarbeitungs-Workflow an einen Transfer Family Family-Server anhängen, der das AS2 Protokoll verwendet. AS2 Nachrichten führen jedoch keine Workflows aus, die an den Server angehängt sind.
**Um einen -fähigen Server zu erstellen AS2**
1. Öffnen Sie die AWS Transfer Family Konsole unter. [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/)
1. Wählen Sie im linken Navigationsbereich **Server** und dann **Server erstellen** aus.
1. **Wählen Sie auf der Seite „Protokolle** auswählen“ die Option **AS2(Applicability Statement 2)** und dann **Weiter** aus.
1. **Wählen Sie auf der Seite „Identitätsanbieter** auswählen“ die Option **Weiter** aus.
**Anmerkung**
Für können Sie keinen Identitätsanbieter auswählen AS2, da die Standardauthentifizierung für das AS2 Protokoll nicht unterstützt wird. Stattdessen kontrollieren Sie den Zugriff über Virtual Private Cloud (VPC) -Sicherheitsgruppen.
1. Gehen Sie auf der Seite „**Endpunkt auswählen**“ wie folgt vor:
![\[Screenshot der Konsole, auf der die Seite „Endpoint auswählen“ mit ausgewählter VPC Hosted angezeigt wird.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/create-server-choose-endpoint-vpc-internal.png)
1. Wählen Sie als **Endpunkttyp** die Option **VPC Hosted** aus, um den Endpunkt Ihres Servers zu hosten. Informationen zur Einrichtung Ihres VPC-gehosteten Endpunkts finden Sie unter. [Erstellen Sie einen Server in einer virtuellen privaten Cloud](create-server-in-vpc.md)
**Anmerkung**
Öffentlich zugängliche Endpunkte werden für das Protokoll nicht unterstützt. AS2 Um Ihren VPC-Endpunkt über das Internet zugänglich zu machen, wählen Sie **Internet Facing** unter **Access** und geben Sie dann Ihre Elastic IP-Adressen ein.
1. Wählen Sie für **Access** eine der folgenden Optionen:
+ **Intern** — Wählen Sie diese Option, um den Zugriff innerhalb Ihrer VPC und VPC-verbundenen Umgebungen bereitzustellen, z. B. über ein lokales Rechenzentrum oder VPN. Direct Connect
+ **Internet Facing** — Wählen Sie diese Option, um den Zugriff über das Internet und innerhalb Ihrer VPC- und VPC-verbundenen Umgebungen bereitzustellen, z. B. ein lokales Rechenzentrum über oder VPN. Direct Connect
Wenn Sie sich für **Internet Facing** entscheiden, geben Sie Ihre Elastic IP-Adressen ein, wenn Sie dazu aufgefordert werden.
1. Wählen Sie für **VPC** entweder eine vorhandene VPC aus oder wählen Sie **Create VPC, um eine neue VPC** zu erstellen.
1. Lassen Sie für **FIPS Enabled** das Kontrollkästchen **FIPS** Enabled Endpoint deaktiviert.
**Anmerkung**
FIPS-fähige Endpunkte werden für das Protokoll nicht unterstützt. AS2
1. Wählen Sie **Weiter** aus.
1. **Wählen Sie auf der Seite „Domain** auswählen“ **Amazon S3** aus, um Ihre Dateien mithilfe des ausgewählten Protokolls als Objekte zu speichern und darauf zuzugreifen.
Wählen Sie **Weiter** aus.
1. Wählen Sie auf der Seite **Zusätzliche Details konfigurieren** die Einstellungen aus, die Sie benötigen.
**Anmerkung**
Wenn Sie zusammen mit anderen Protokollen konfigurieren AS2, gelten alle zusätzlichen Detaileinstellungen. Für das AS2 Protokoll gelten jedoch nur die Einstellungen in den Abschnitten **CloudWatch Protokollierung** und **Tags**.
Auch wenn die Einrichtung einer CloudWatch Protokollierungsrolle optional ist, empfehlen wir dringend, sie so einzurichten, dass Sie den Status Ihrer Nachrichten einsehen und Konfigurationsprobleme beheben können.
1. **Überprüfen Sie auf der Seite Überprüfen und erstellen** Ihre Einstellungen, um sicherzustellen, dass sie korrekt sind.
+ Wenn Sie eine Ihrer Einstellungen bearbeiten möchten, wählen Sie neben dem Schritt, den Sie ändern möchten, die Option **Bearbeiten** aus.
**Anmerkung**
Wenn Sie einen Schritt bearbeiten, empfehlen wir Ihnen, jeden Schritt nach dem Schritt, den Sie bearbeiten möchten, zu überprüfen.
+ Wenn Sie keine Änderungen vorgenommen haben, wählen Sie **Server erstellen**, um Ihren Server zu erstellen. Sie gelangen zur Seite **Servers (Server)** (siehe unten), auf der der neue Server aufgelistet ist.
Es kann mehrere Minuten dauern, bis sich der Status Ihres neuen Servers auf **Online** ändert. Ab diesem Zeitpunkt kann der Server Dateioperationen für die Benutzer ausführen.
## Verwenden Sie eine Vorlage, um einen AS2 Demo-Transfer-Family-Stack zu erstellen
Wir stellen eine eigenständige CloudFormation Vorlage zur Verfügung, mit der Sie schnell einen Transfer Family Family-Server mit AS2 aktivierter Funktionalität erstellen können. Die Vorlage konfiguriert den Server mit einem öffentlichen Amazon VPC-Endpunkt, Zertifikaten, lokalen Profilen und Partnerprofilen, einer Vereinbarung und einem Connector.
Die grundlegende AS2 Servervorlage erstellt die folgenden Ressourcen:
+ Ein AS2 -fähiger Transfer Family Family-Server mit einem VPC-Endpunkt
+ Lokale Profile und AS2 Partnerprofile mit Zertifikaten
+ Eine Vereinbarung zwischen den Profilen
+ Ein Amazon S3 S3-Bucket für die Dateispeicherung
+ Erforderliche IAM-Rollen und -Richtlinien
+ CloudWatch Konfiguration der Protokollierung
Bevor Sie diese Vorlage verwenden, sollten Sie Folgendes beachten:
+ Wenn Sie anhand dieser Vorlage einen Stack erstellen, werden Ihnen die verwendeten AWS Ressourcen in Rechnung gestellt.
+ Die Vorlage erstellt mehrere Zertifikate und platziert sie AWS Secrets Manager , um sie sicher zu speichern. Sie können diese Zertifikate bei Bedarf aus Secrets Manager löschen, da Ihnen die Nutzung dieses Dienstes in Rechnung gestellt wird. Durch das Löschen dieser Zertifikate in Secrets Manager werden sie nicht vom Transfer Family Family-Server gelöscht. Daher wird die Funktionalität des Demo-Stacks nicht beeinträchtigt. Für Zertifikate, die Sie mit einem AS2 Produktionsserver verwenden möchten, möchten Sie jedoch möglicherweise Secrets Manager verwenden, um Ihre gespeicherten Zertifikate zu verwalten und regelmäßig zu rotieren.
+ Wir empfehlen, die Vorlage nur als Grundlage und hauptsächlich zu Demonstrationszwecken zu verwenden. Wenn Sie diesen Demo-Stack in der Produktion verwenden möchten, empfehlen wir Ihnen, den YAML-Code der Vorlage zu ändern, um einen robusteren Stack zu erstellen. Erstellen Sie beispielsweise Zertifikate auf Produktionsebene und erstellen Sie eine AWS Lambda Funktion, die Sie in der Produktion verwenden können.
**So erstellen Sie einen Transfer Family Family-Server mit AS2 aktivierter Aktivierung aus einer Vorlage CloudFormation**
1. Öffnen Sie die CloudFormation Konsole unter [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/).
1. Wählen Sie im linken Navigationsbereich **Stack** aus.
1. Wählen Sie **Create stack (Stack erstellen)** und dann **With new resources (standard) (Mit neuen Ressourcen (Standard)).**
1. Wählen Sie im Abschnitt **Voraussetzung — Vorlage vorbereiten** die Option **Vorhandene Vorlage auswählen aus**.
1. Kopieren Sie diesen Link, die [AS2 Demo-Vorlage](https://s3.amazonaws.com/aws-transfer-resources/as2-templates/aws-transfer-as2-basic.template.yml), und fügen Sie ihn in das **Amazon S3 S3-URL-Feld** ein.
1. Wählen Sie **Weiter** aus.
1. Geben Sie auf der Seite „**Stack-Details angeben**“ Ihrem Stack einen Namen und geben Sie dann die folgenden Parameter an:
+ Geben Sie unter **AS2**Werte für **Lokale AS2 ID** und ** AS2 Partner-ID** ein, oder akzeptieren Sie die Standardwerte `local` und`partner`.
+ Geben Sie unter **Netzwerk** einen Wert für die **CIDR-IP des Sicherheitsgruppeneingangs** ein, oder akzeptieren Sie die Standardeinstellung. `0.0.0.0/0`
**Anmerkung**
Dieser Wert im CIDR-Format gibt an, welche IP-Adressen für eingehenden Datenverkehr zum Server zulässig sind. AS2 Der Standardwert,`0.0.0.0/0`, erlaubt alle IP-Adressen.
+ Geben Sie unter **Allgemein** einen Wert für **Präfix** ein, oder akzeptieren Sie den Standardwert`transfer-as2`. Dieses Präfix steht vor allen Ressourcennamen, die vom Stack erstellt werden. Wenn Sie beispielsweise das Standardpräfix verwenden, wird Ihr Amazon S3 S3-Bucket benannt`transfer-as2-amzn-s3-demo-bucket`.
1. Wählen Sie **Weiter** aus. Wählen Sie auf der Seite **„Stack-Optionen konfigurieren**“ erneut **Weiter** aus.
1. Überprüfen Sie die Details für den Stack, den Sie gerade erstellen, und wählen Sie dann **Stapel erstellen** aus.
**Anmerkung**
Unten auf der Seite müssen Sie unter **Funktionen angeben**, dass dadurch CloudFormation möglicherweise Ressourcen AWS Identity and Access Management (IAM) erstellt werden.
Nachdem der Stack erstellt wurde, können Sie mithilfe von AWS Command Line Interface (AWS CLI) eine AS2 Testnachricht vom Partnerserver an Ihren lokalen Transfer Family Family-Server senden. Ein AWS CLI Beispielbefehl zum Senden einer Testnachricht wird zusammen mit allen anderen Ressourcen im Stack erstellt.
Um diesen Beispielbefehl zu verwenden, gehen Sie zur Registerkarte **Outputs** Ihres Stacks und kopieren Sie den **TransferExampleAs2Command**. Sie können den Befehl dann mit dem AWS CLI ausführen. Falls Sie das noch nicht installiert haben AWS CLI, finden Sie weitere Informationen unter [Installieren oder Aktualisieren der neuesten Version von AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) im *AWS Command Line Interface Benutzerhandbuch*.
Der Beispielbefehl hat das folgende Format:
```
aws s3api put-object --bucket amzn-s3-demo-bucket --key test.txt && aws transfer start-file-transfer --region aws-region --connector-id TransferConnectorId --send-file-paths /amzn-s3-demo-bucket/test.txt
```
**Anmerkung**
Ihre Version dieses Befehls enthält die tatsächlichen Werte für die `TransferConnectorId` Ressourcen `amzn-s3-demo-bucket` und in Ihrem Stack.
Dieser Beispielbefehl besteht aus zwei separaten Befehlen, die mithilfe der `&&` Zeichenfolge miteinander verkettet sind.
Der erste Befehl erstellt eine neue, leere Textdatei in Ihrem Bucket:
```
aws s3api put-object --bucket amzn-s3-demo-bucket --key test.txt
```
Dann verwendet der zweite Befehl den Connector, um die Datei vom Partnerprofil an das lokale Profil zu senden. Auf dem Transfer Family Family-Server wurde eine Vereinbarung eingerichtet, die es dem lokalen Profil ermöglicht, Nachrichten vom Partnerprofil anzunehmen.
```
aws transfer start-file-transfer --region aws-region --connector-id TransferConnectorId --send-file-paths /amzn-s3-demo-bucket/test.txt
```
Nachdem Sie den Befehl ausgeführt haben, können Sie zu Ihrem Amazon S3 S3-Bucket (`amzn-s3-demo-bucket`) wechseln und den Inhalt anzeigen. Wenn der Befehl erfolgreich ist, sollten Sie die folgenden Objekte in Ihrem Bucket sehen:
+ `processed/`— Dieser Ordner enthält eine JSON-Datei, die die übertragene Datei und die MDN-Antwort beschreibt.
+ `processing/`— Dieser Ordner enthält vorübergehend Dateien, während sie verarbeitet werden. Nach Abschluss einer Übertragung sollte dieser Ordner jedoch leer sein.
+ `server-id/`— Dieser Ordner ist nach Ihrer Transfer Family Family-Server-ID benannt. Er enthält `from-partner` (dieser Ordner wird dynamisch benannt, basierend auf der AS2 ID des Partners), was wiederum `failed/``processed/`, und `processing/` Ordner enthält. Der `/server-id/from-partner/processed/` Ordner enthält eine Kopie der übertragenen Textdatei und der entsprechenden JSON- und MDN-Dateien.
+ `test.txt`— Dieses Objekt ist die (leere) Datei, die übertragen wurde.
## Erstellen Sie eine AS2 Vereinbarung
Vereinbarungen sind mit Transfer Family Family-Servern verknüpft. Sie spezifizieren die Details für Geschäftspartner, die das AS2 Protokoll verwenden, um Nachrichten oder Dateien mithilfe von Transfer Family auszutauschen, für *eingehende* Übertragungen, d. h. für das Senden von AS2 Dateien von einer externen, partnereigenen Quelle an einen Transfer Family Family-Server.
In diesem Verfahren wird erklärt, wie Sie mit der Transfer Family Family-Konsole AS2 Vereinbarungen erstellen. Wenn Sie AWS CLI stattdessen das verwenden möchten, finden Sie weitere Informationen unter[Schritt 5: Erstellen Sie eine Vereinbarung zwischen Ihnen und Ihrem Partner](as2-example-tutorial.md#as2-create-agreement-example).
**So erstellen Sie eine Vereinbarung für einen Transfer Family Family-Server**
1. Öffnen Sie die AWS Transfer Family Konsole unter [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).
1. Wählen Sie im linken Navigationsbereich **Server** und dann einen Server aus, der das AS2 Protokoll verwendet.
Wenn Sie mindestens einen Transfer Family Family-Server haben, der das AS2 Protokoll verwendet, können Sie alternativ im Menü **AS2 Handelspartner** die Option **Vereinbarungen zum Empfangen von Nachrichten** auswählen. Wählen Sie dann im Bildschirm „**Vereinbarung erstellen**“ den AS2 Server aus, dem Sie diese Vereinbarung zuordnen möchten.
1. Scrollen Sie auf der Seite mit den Serverdetails nach unten zum Abschnitt **Vereinbarungen**.
1. Wählen Sie **Vereinbarung hinzufügen** aus.
1. Geben Sie die Vereinbarungsparameter wie folgt ein:
1. Geben Sie im Abschnitt **Vereinbarungskonfiguration** einen aussagekräftigen Namen ein. Stellen Sie sicher, dass Sie den Zweck der Vereinbarung anhand des Namens identifizieren können. Legen Sie außerdem den **Status** für die Vereinbarung fest: entweder **Aktiv** (standardmäßig ausgewählt) oder **Inaktiv**.
1. Wählen Sie im Abschnitt **Kommunikationskonfiguration** ein lokales Profil und ein Partnerprofil aus. Wählen Sie außerdem aus, ob das Signieren von Nachrichten erzwungen werden soll oder nicht.
+ Standardmäßig ist **Nachrichtensignierung erzwingen** aktiviert, was bedeutet, dass Transfer Family unsignierte Nachrichten von Ihrem Handelspartner für diese Vereinbarung ablehnt.
+ Deaktivieren Sie diese Einstellung, damit Transfer Family unsignierte Nachrichten von Ihrem Handelspartner für diese Vereinbarung annehmen kann.
1. Geben Sie im Abschnitt **Konfiguration des Posteingangsverzeichnisses** die folgenden Informationen ein.
+ Stellen Sie fest, ob Sie **Separate Verzeichnisse angeben zum Speichern Ihrer AS2 Nachrichten, MDN-Dateien und JSON-Statusdateien** auswählen möchten.
+ Wenn Sie diese Option auswählen, geben Sie separate Speicherorte für Payload-Dateien, fehlgeschlagene Dateien, MDN-Dateien, Statusdateien und temporäre Dateien an.
+ Wenn Sie diese Option deaktivieren, werden alle AS2 Dateien an den Speicherort verschoben, den Sie für Ihr Basisverzeichnis angegeben haben.
+ Wählen Sie für **S3 Bucket** einen Amazon S3 S3-Bucket aus.
+ Als **Präfix** können Sie ein Präfix (Ordner) eingeben, das zum Speichern von Dateien im Bucket verwendet werden soll.
Wenn Sie beispielsweise für Ihren Bucket und **amzn-s3-demo-bucket** **incoming** für Ihr Präfix eingeben, werden Ihre AS2 Dateien in dem `/amzn-s3-demo-bucket/incoming` Ordner gespeichert.
+ Wählen Sie für **AWS IAM-Rolle** eine Rolle aus, die auf den von Ihnen angegebenen Bucket zugreifen kann.
+ Wählen Sie **unter Dateiname beibehalten** aus, ob die ursprünglichen Dateinamen für eingehende AS2 Nachrichten-Payloads beibehalten werden sollen.
+ Wenn Sie diese Einstellung wählen, wird der von Ihrem Handelspartner angegebene Dateiname beibehalten, wenn die Datei in Amazon S3 gespeichert wird.
+ Wenn Sie diese Einstellung deaktivieren, wird beim Speichern der Datei durch Transfer Family der Dateiname angepasst, wie unter beschrieben[Dateinamen und Speicherorte](send-as2-messages.md#file-names-as2).
1. (Optional) Fügen Sie im Abschnitt „**Tags“ Stichwörter** hinzu.
1. Nachdem Sie alle Informationen für die Vereinbarung eingegeben haben, wählen Sie **Vereinbarung erstellen** aus.
Die neue Vereinbarung wird im Abschnitt **Vereinbarungen** der Serverdetailseite angezeigt.
# AS2 Konnektoren konfigurieren
Der Zweck eines Connectors besteht darin, eine Beziehung zwischen Handelspartnern für *ausgehende* Übertragungen herzustellen, indem AS2 Dateien von einem Transfer Family Family-Server an ein externes, partnereigenes Ziel gesendet werden. Für den Connector geben Sie die lokale Partei, den Remote-Partner und deren Zertifikate an (indem Sie lokale Profile und Partnerprofile erstellen).
Sobald Sie einen Konnektor eingerichtet haben, können Sie Informationen an Ihre Handelspartner übertragen. AS2 Jedem Server werden drei statische IP-Adressen zugewiesen. AS2 Konnektoren verwenden diese IP-Adressen für den asynchronen Versand MDNs an Ihre Handelspartner. AS2
**Anmerkung**
Die von einem Handelspartner empfangene Nachrichtengröße entspricht nicht der Objektgröße in Amazon S3. Diese Diskrepanz ist darauf zurückzuführen, dass die AS2 Nachricht die Datei vor dem Senden in einen Umschlag verpackt. Daher kann sich die Dateigröße erhöhen, auch wenn die Datei komprimiert gesendet wird. Stellen Sie daher sicher, dass die maximale Dateigröße des Handelspartners größer ist als die Größe der Datei, die Sie senden.
1. [AS2 Zertifikate importieren](managing-as2-partners.md#configure-as2-certificate)
1. [Profile erstellen AS2](configure-as2-profile.md)
1. [Einen AS2 Server erstellen](create-as2-transfer-server.md)
1. [Erstellen Sie eine AS2 Vereinbarung](create-as2-transfer-server.md#as2-agreements)
1. Erstellen Sie einen AS2 Konnektor
## Erstellen Sie einen AS2 Konnektor
In diesem Verfahren wird erklärt, wie Sie mithilfe der AWS Transfer Family Konsole AS2 Konnektoren erstellen. Wenn Sie AWS CLI stattdessen den verwenden möchten, finden Sie weitere Informationen unter[Schritt 6: Stellen Sie eine Verbindung zwischen Ihnen und Ihrem Partner her](as2-example-tutorial.md#as2-create-connector-example).
**Um einen AS2 Konnektor zu erstellen**
1. Öffnen Sie die AWS Transfer Family Konsole unter [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).
1. Wählen Sie im linken Navigationsbereich im Menü **AS2 Handelspartner** die Option **Connectors zum Senden von Nachrichten** aus und klicken Sie dann auf ** AS2 Connector erstellen**.
1. Geben Sie im Abschnitt **Connector-Konfiguration** die folgenden Informationen an:
+ **URL** — Geben Sie die URL für ausgehende Verbindungen ein.
+ **Zugriffsrolle** — Wählen Sie den Amazon-Ressourcennamen (ARN) der zu AWS Identity and Access Management verwendenden (IAM) -Rolle aus. Stellen Sie sicher, dass diese Rolle Lese- und Schreibzugriff auf das übergeordnete Verzeichnis des Dateispeicherorts bietet, der in der `StartFileTransfer` Anfrage verwendet wird. Stellen Sie außerdem sicher, dass die Rolle Lese- und Schreibzugriff auf das übergeordnete Verzeichnis der Dateien bietet, die Sie mit versenden möchten`StartFileTransfer`.
**Anmerkung**
Wenn Sie die Standardauthentifizierung für Ihren Connector verwenden, benötigt die Zugriffsrolle die `secretsmanager:GetSecretValue` Erlaubnis für den geheimen Schlüssel. Wenn das Geheimnis mithilfe eines vom Kunden verwalteten Schlüssels anstelle von Von AWS verwalteter Schlüssel PIN verschlüsselt wird AWS Secrets Manager, benötigt die Rolle auch die `kms:Decrypt` Erlaubnis für diesen Schlüssel. Wenn Sie Ihr Geheimnis mit dem Präfix benennen`aws/transfer/`, können Sie die erforderliche Berechtigung mit einem Platzhalterzeichen (`*`) hinzufügen, wie im [Beispiel für eine Berechtigung zum Erstellen von Geheimnissen](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_examples.html#auth-and-access_examples_wildcard) gezeigt.
+ **Rolle für die Protokollierung** (optional) — Wählen Sie die IAM-Rolle aus, die der Connector verwenden soll, um Ereignisse in Ihre CloudWatch Logs zu übertragen.
1. Wählen Sie im **AS2 Konfigurationsbereich** die lokalen Profile und Partnerprofile, die Verschlüsselungs- und Signierungsalgorithmen aus und legen Sie fest, ob die übertragenen Informationen komprimiert werden sollen. Beachten Sie Folgendes:
+ Der Parameter **Preserve S3 Content-Type** ist standardmäßig aktiviert.
Wenn diese Option aktiviert ist, verwendet Transfer Family Amazon S3`Content-Type`, das Objekten in S3 zugeordnet ist, anstatt den Inhaltstyp anhand der Dateierweiterung zuzuordnen. Deaktivieren Sie diese Einstellung, wenn Sie möchten, dass der Service den Inhaltstyp für Ihre AS2 Nachrichten anhand der Dateierweiterung zuordnet, anstatt den Inhaltstyp aus dem S3-Objekt zu verwenden.
+ Wählen Sie für den Verschlüsselungsalgorithmus nur, `DES_EDE3_CBC` wenn Sie einen älteren Client unterstützen müssen, der dies erfordert, da es sich um einen schwachen Verschlüsselungsalgorithmus handelt.
+ Der **Betreff** wird als `subject` HTTP-Header-Attribut in AS2 Nachrichten verwendet, die mit dem Connector gesendet werden.
+ Wenn Sie einen Connector ohne Verschlüsselungsalgorithmus erstellen möchten, müssen Sie dies `HTTPS` als Protokoll angeben.
1. Geben Sie im Abschnitt **Standardauthentifizierung** die folgenden Informationen an.
+ Um Anmeldeinformationen zusammen mit ausgehenden Nachrichten zu senden, wählen Sie **Standardauthentifizierung aktivieren** aus. Wenn Sie keine Anmeldeinformationen zusammen mit ausgehenden Nachrichten senden möchten, lassen Sie die Option **Standardauthentifizierung aktivieren deaktiviert**.
+ Wenn Sie die Authentifizierung verwenden, wählen oder erstellen Sie ein Geheimnis.
+ Um ein neues Geheimnis zu erstellen, wählen Sie **Neues Geheimnis erstellen** und geben Sie dann einen Benutzernamen und ein Passwort ein. Diese Anmeldeinformationen müssen mit dem Benutzer übereinstimmen, der eine Verbindung zum Endpunkt des Partners herstellt.
![\[Die Seite „Connector erstellen“ in der AWS Transfer Family Konsole, auf der der Abschnitt Standardauthentifizierung angezeigt wird, wobei die Option Neues Geheimnis erstellen ausgewählt ist.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/as2-basic-auth-create-secret.png)
+ Um ein vorhandenes Geheimnis zu verwenden, **wählen Sie „Bestehendes Geheimnis** auswählen“ und wählen Sie dann ein Geheimnis aus dem Dropdownmenü aus. Einzelheiten zur Erstellung eines korrekt formatierten Secrets in Secrets Manager finden Sie unter[Aktivieren Sie die Standardauthentifizierung für AS2 Konnektoren](#as2-secret-create).
![\[Die Seite „Connector erstellen“ in der AWS Transfer Family Konsole, auf der der Abschnitt Standardauthentifizierung mit der Auswahl „Vorhandenes Geheimnis auswählen“ angezeigt wird.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/as2-basic-auth-select-secret.png)
1. Geben Sie im Abschnitt **MDN-Konfiguration** die folgenden Informationen an:
+ **MDN anfordern** — Sie haben die Möglichkeit, von Ihrem Handelspartner zu verlangen, dass er Ihnen ein MDN sendet, nachdem er Ihre Nachricht erfolgreich erhalten hat. AS2
+ **Signiertes MDN** — Sie haben die Möglichkeit, zu verlangen, dass dieses MDNs signiert wird. Diese Option ist nur verfügbar, wenn Sie **MDN anfordern** ausgewählt haben.
1. Nachdem Sie alle Ihre Einstellungen bestätigt haben, wählen Sie ** AS2 Connector erstellen, um den Connector** zu erstellen.
Die Seite **Connectors** wird angezeigt, auf der die ID Ihres neuen Connectors zur Liste hinzugefügt wurde. Einzelheiten zu Ihren Konnektoren finden Sie unter[AS2 Konnektordetails anzeigen](#connectors-view-info).
## AS2 Konnektoralgorithmen
Wenn Sie einen AS2 Connector erstellen, werden die folgenden Sicherheitsalgorhythmen an den Connector angehängt.
| Typ | Algorithmus |
| --- | --- |
| TLS-Chiffre | TLS\$1ECDHE\$1ECDSA\$1WITH\$1AES\$1128\$1GCM\$1 SHA256 TLS\$1ECDHE\$1RSA\$1WITH\$1AES\$1128\$1GCM\$1 SHA256 TLS\$1ECDHE\$1ECDSA\$1MIT\$1AES\$1128\$1CBC\$1 SHA256 TLS\$1ECDHE\$1RSA\$1MIT\$1AES\$1128\$1CBC\$1 SHA256 TLS\$1ECDHE\$1ECDSA\$1MIT\$1AES\$1256\$1GCM\$1 SHA384 TLS\$1ECDHE\$1RSA\$1WITH\$1AES\$1256\$1GCM\$1 SHA384 TLS\$1ECDHE\$1ECDSA\$1MIT\$1AES\$1256\$1CBC\$1 SHA384 TLS\$1ECDHE\$1RSA\$1WITH\$1AES\$1256\$1CBC\$1 SHA384 |
## Standardauthentifizierung für Konnektoren AS2
Wenn Sie einen Transfer Family Family-Server erstellen oder aktualisieren, der das AS2 Protokoll verwendet, können Sie die Standardauthentifizierung für ausgehende Nachrichten hinzufügen. Dazu fügen Sie einem Connector Authentifizierungsinformationen hinzu.
**Anmerkung**
Die Standardauthentifizierung ist nur verfügbar, wenn Sie HTTPS verwenden.
Um die Authentifizierung für Ihren Connector zu verwenden, wählen Sie im Abschnitt **Standardauthentifizierung die Option **Standardauthentifizierung** aktivieren** aus. Nachdem Sie die Standardauthentifizierung aktiviert haben, können Sie wählen, ob Sie ein neues Geheimnis erstellen oder ein vorhandenes verwenden möchten. In beiden Fällen werden die Anmeldeinformationen im Secret zusammen mit ausgehenden Nachrichten gesendet, die diesen Connector verwenden. Die Anmeldeinformationen müssen mit dem Benutzer übereinstimmen, der versucht, eine Verbindung zum Remote-Endpunkt des Handelspartners herzustellen.
Der folgende Screenshot zeigt, wie „**Standardauthentifizierung aktivieren**“ und „**Neuen geheimen Schlüssel erstellen**“ ausgewählt sind. Nachdem Sie diese Optionen getroffen haben, können Sie einen Benutzernamen und ein Passwort für das Geheimnis eingeben.
![\[Die Connector-Seite der Transfer-Family-Konsole, auf der die Informationen zur Nachrichtenauthentifizierung für Ihren Connector angezeigt werden. In diesem Fall ist Standardauthentifizierung aktivieren und Neues Geheimnis erstellen ausgewählt.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/as2-basic-auth-create-secret.png)
Der folgende Screenshot zeigt, wie „**Standardauthentifizierung aktivieren**“ und **„Vorhandenes Geheimnis auswählen**“ ausgewählt sind. Ihr Geheimnis muss das richtige Format haben, wie unter beschrieben[Aktivieren Sie die Standardauthentifizierung für AS2 Konnektoren](#as2-secret-create).
![\[Die Connector-Seite der Transfer-Family-Konsole, auf der die Informationen zur Nachrichtenauthentifizierung für Ihren Connector angezeigt werden. In diesem Fall ist „Standardauthentifizierung aktivieren“ und „Bestehenden geheimen Schlüssel auswählen“ ausgewählt.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/as2-basic-auth-select-secret.png)
## Aktivieren Sie die Standardauthentifizierung für AS2 Konnektoren
Wenn Sie die Standardauthentifizierung für AS2 Connectors aktivieren, können Sie entweder ein neues Geheimnis in der Transfer Family Family-Konsole erstellen oder ein Geheimnis verwenden, das Sie in erstellen AWS Secrets Manager. In beiden Fällen wird Ihr Geheimnis im Secrets Manager gespeichert.
**Topics**
+ [Erstellen Sie ein neues Geheimnis in der Konsole](#as2-secret-details-console)
+ [Verwenden eines vorhandenen -Secrets](#use-existing-secret)
+ [Erstellen Sie ein Geheimnis in AWS Secrets Manager](#as2-secret-details-asm)
### Erstellen Sie ein neues Geheimnis in der Konsole
Wenn Sie einen Connector in der Konsole erstellen, können Sie ein neues Geheimnis erstellen.
Um ein neues Geheimnis zu erstellen, wählen Sie **Neues Geheimnis erstellen** und geben Sie dann einen Benutzernamen und ein Passwort ein. Diese Anmeldeinformationen müssen mit dem Benutzer übereinstimmen, der eine Verbindung zum Endpunkt des Partners herstellt.
![\[Auf der AWS Transfer Family Konsolenseite „Connector erstellen“ wird der Abschnitt „Standardauthentifizierung“ angezeigt, in dem die Option „Neues Geheimnis erstellen“ ausgewählt ist.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/as2-basic-auth-create-secret.png)
**Anmerkung**
Wenn Sie in der Konsole ein neues Geheimnis erstellen, folgt der Name des Geheimnisses dieser Benennungskonvention:**/aws/transfer/*connector-id***, wobei die ID des Connectors *connector-id* steht, den Sie erstellen. Beachten Sie dies, wenn Sie versuchen, das Geheimnis in zu finden AWS Secrets Manager.
### Verwenden eines vorhandenen -Secrets
Wenn Sie einen Connector in der Konsole erstellen, können Sie ein vorhandenes Geheimnis angeben.
Um ein vorhandenes Geheimnis zu verwenden, **wählen Sie Choose an existing secret** und wählen Sie dann ein Secret aus dem Dropdownmenü aus. Einzelheiten zur Erstellung eines korrekt formatierten Secrets in Secrets Manager finden Sie unter[Erstellen Sie ein Geheimnis in AWS Secrets Manager](#as2-secret-details-asm).
![\[Auf der AWS Transfer Family Konsolenseite „Connector erstellen“ wird der Abschnitt „Standardauthentifizierung“ mit der Auswahl „Vorhandenes Geheimnis auswählen“ angezeigt.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/as2-basic-auth-select-secret.png)
### Erstellen Sie ein Geheimnis in AWS Secrets Manager
Das folgende Verfahren beschreibt, wie Sie ein geeignetes Geheimnis für die Verwendung mit Ihrem AS2 Connector erstellen.
**Anmerkung**
Die Standardauthentifizierung ist nur verfügbar, wenn Sie HTTPS verwenden.
**Um Benutzeranmeldeinformationen in Secrets Manager für die AS2 Standardauthentifizierung zu speichern**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS Secrets Manager Konsole unter [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).
1. Wählen Sie im linken Navigationsbereich **Secrets** aus.
1. Wählen Sie auf der Seite **Secrets** die Option **Neues Geheimnis speichern** aus.
1. **Wählen Sie auf der Seite Geheimtyp** auswählen für **Geheimtyp** die Option **Anderer Geheimtyp aus**.
1. Wählen Sie im Abschnitt **Schlüssel/Wert-Paare** die Registerkarte **Schlüssel/Wert** aus.
+ **Schlüssel — Geben Sie ein.** **Username**
+ **Wert** — Geben Sie den Namen des Benutzers ein, der berechtigt ist, eine Verbindung zum Server des Partners herzustellen.
1. **Wenn Sie ein Passwort angeben möchten, wählen Sie **Zeile hinzufügen und wählen Sie** im Abschnitt **Schlüssel/Wert-Paare die Registerkarte Schlüssel/Wert**.**
**Wählen Sie **Zeile hinzufügen** und wählen Sie im Abschnitt Schlüssel/Wert-Paare die **Registerkarte Schlüssel/Wert-Paare** aus.**
+ **Schlüssel — Geben Sie ein.** **Password**
+ **Wert** — Geben Sie das Passwort für den Benutzer ein.
1. Wenn Sie einen privaten Schlüssel angeben möchten, wählen Sie **Zeile hinzufügen** und wählen Sie im Abschnitt **Schlüssel/Wert-Paare** die Registerkarte **Schlüssel/Wert**.
+ **Schlüssel — Geben Sie ein.** **PrivateKey**
+ **Wert** — Geben Sie einen privaten Schlüssel für den Benutzer ein. Dieser Wert muss im OpenSSH-Format gespeichert werden und dem öffentlichen Schlüssel entsprechen, der für diesen Benutzer auf dem Remoteserver gespeichert ist.
1. Wählen Sie **Weiter** aus.
1. Geben Sie auf der Seite **Geheim konfigurieren** einen Namen und eine Beschreibung für Ihr Geheimnis ein. Wir empfehlen, dass Sie **aws/transfer/** für den Namen das Präfix von verwenden. Sie könnten beispielsweise Ihr Geheimnis benennen**aws/transfer/connector-1**.
1. Wählen Sie **Weiter** und akzeptieren Sie dann die Standardeinstellungen auf der Seite „**Rotation konfigurieren**“. Klicken Sie anschließend auf **Weiter**.
1. Wählen Sie auf der Seite **„Überprüfen**“ die Option **Speichern** aus, um das Geheimnis zu erstellen und zu speichern.
Nachdem Sie das Geheimnis erstellt haben, können Sie es beim Erstellen eines Connectors auswählen (siehe[AS2 Konnektoren konfigurieren](#configure-as2-connector)). Wählen Sie in dem Schritt, in dem Sie die Standardauthentifizierung aktivieren, das Geheimnis aus der Dropdownliste der verfügbaren Geheimnisse aus.
## AS2 Konnektordetails anzeigen
In der AWS Transfer Family Konsole finden Sie eine Liste mit Details und Eigenschaften für einen AS2 AWS Transfer Family Connector. Zu den Eigenschaften eines AS2 Connectors gehören seine URL, Rollen, Profile MDNs, Tags und Überwachungsmetriken.
Dies ist das Verfahren zum Anzeigen von Konnektordetails.
**Um die Konnektordetails anzuzeigen**
1. Öffnen Sie die AWS Transfer Family Konsole unter [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).
1. Wählen Sie im linken Navigationsbereich die Option **Connectors** aus.
1. Wählen Sie den Bezeichner in der Spalte **Connector-ID** aus, um die Detailseite für den ausgewählten Connector aufzurufen.
Sie können die Eigenschaften für den AS2 Connector auf der Detailseite des Connectors ändern, indem Sie **Bearbeiten** wählen.
![\[Die Connector-Detailseite der Transfer Family Family-Konsole, auf der die URL, die Zugriffsrolle und die Protokollierungsrolle für den ausgewählten Connector angezeigt werden.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/as2-connector-details_01-top.png)
![\[Die Seite mit den Connector-Details für die Transfer Family Family-Konsole, auf der die AS2 Konfigurationsdetails für den ausgewählten Connector angezeigt werden.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/as2-connector-details_02-middle.png)
![\[Die Seite mit den Connector-Details der Transfer Family Family-Konsole, auf der Details, Tags, statische IP und AS2 Überwachungsinformationen für den ausgewählten Connector zum Abschnitt AS2 Standardauthentifizierung angezeigt werden.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/as2-basic-auth-details-pane.png)
**Anmerkung**
Sie können viele dieser Informationen, wenn auch in einem anderen Format, abrufen, indem Sie den folgenden AWS CLI Befehl ausführen AWS Command Line Interface ():
```
aws transfer describe-connector --connector-id your-connector-id
```
Weitere Informationen finden Sie [https://docs.aws.amazon.com/transfer/latest/APIReference/API_DescribeConnector.html](https://docs.aws.amazon.com/transfer/latest/APIReference/API_DescribeConnector.html)in der API-Referenz.
# Senden und Empfangen von AS2 Nachrichten
In diesem Abschnitt werden die Prozesse zum Senden und Empfangen von AS2 Nachrichten beschrieben. Es enthält auch Einzelheiten zu Dateinamen und Speicherorten, die mit AS2 Nachrichten verknüpft sind.
In der folgenden Tabelle sind die verfügbaren Verschlüsselungsalgorithmen für AS2 Nachrichten aufgeführt und es wird angegeben, wann Sie sie verwenden können.
| Verschlüsselungsalgorithmus | HTTP | HTTPS | Hinweise |
| --- |--- |--- |--- |
| AES128\$1CBC | Ja | Ja | |
| AES192\$1CBC | Ja | Ja | |
| AES256\$1CBC | Ja | Ja | |
| DES\$1 \$1CBC EDE3 | Ja | Ja | Verwenden Sie diesen Algorithmus nur, wenn Sie einen Legacy-Client unterstützen müssen, der ihn benötigt, da es sich um einen schwachen Verschlüsselungsalgorithmus handelt. |
| NONE | Nein | Ja | Wenn Sie Nachrichten an einen Transfer Family Family-Server senden, können Sie nur auswählen, NONE ob Sie einen Application Load Balancer (ALB) verwenden. |
**Topics**
+ [Prozess zum Empfangen von Nachrichten AS2](#as2-inbound-process)
+ [Senden und Empfangen von AS2 Nachrichten über HTTPS](#as2-https-process)
+ [Übertragung von Dateien mithilfe eines AS2 Connectors](#transfer-as2-connectors)
+ [Dateinamen und Speicherorte](#file-names-as2)
+ [Statuscodes](#status-codes)
+ [JSON-Beispieldateien](#file-as2-json)
## Prozess zum Empfangen von Nachrichten AS2
Der eingehende Prozess ist definiert als eine Nachricht oder Datei, die auf Ihren AWS Transfer Family Server übertragen wird. Die Reihenfolge für eingehende Nachrichten ist wie folgt:
1. Ein Administrator- oder automatisierter Prozess startet eine AS2 Dateiübertragung auf dem AS2 Remoteserver des Partners.
1. Der AS2 Remoteserver des Partners signiert und verschlüsselt den Dateiinhalt und sendet dann eine HTTP-POST-Anforderung an einen AS2 eingehenden Endpunkt, der auf Transfer Family gehostet wird.
1. Mithilfe der konfigurierten Werte für den Server, die Partner, Zertifikate und die Vereinbarung entschlüsselt und verifiziert Transfer Family die AS2 Payload. Der Dateiinhalt wird im konfigurierten Amazon S3 S3-Dateispeicher gespeichert.
1. Die signierte MDN-Antwort wird entweder direkt mit der HTTP-Antwort oder asynchron über eine separate HTTP-POST-Anfrage an den ursprünglichen Server zurückgegeben.
1. Ein Prüfprotokoll CloudWatch mit Einzelheiten zum Austausch wird an Amazon geschrieben.
1. Die entschlüsselte Datei ist in einem Ordner mit dem Namen `inbox/processed` verfügbar.
![\[Diagramm, das die Reihenfolge der Verarbeitung eingehender Nachrichten zeigt.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/as2-architecture-inbound.png)
## Senden und Empfangen von AS2 Nachrichten über HTTPS
In diesem Abschnitt wird beschrieben, wie Sie einen Transfer Family Family-Server konfigurieren, der das AS2 Protokoll zum Senden und Empfangen von Nachrichten über HTTPS verwendet.
**Topics**
+ [Senden Sie AS2 Nachrichten über HTTPS](#send-https)
+ [Empfangen Sie AS2 Nachrichten über HTTPS](#receive-https)
### Senden Sie AS2 Nachrichten über HTTPS
Um AS2 Nachrichten über HTTPS zu senden, erstellen Sie einen Connector mit den folgenden Informationen:
+ Geben Sie für die URL eine HTTPS-URL an
+ Wählen Sie für den Verschlüsselungsalgorithmus einen der verfügbaren Algorithmen aus.
**Anmerkung**
Um Nachrichten an einen Transfer Family Family-Server zu senden, ohne Verschlüsselung zu verwenden (d. h. Sie wählen `NONE` den Verschlüsselungsalgorithmus), müssen Sie einen Application Load Balancer (ALB) verwenden.
+ Geben Sie die verbleibenden Werte für den Connector ein, wie unter beschrieben. [AS2 Konnektoren konfigurieren](configure-as2-connector.md)
### Empfangen Sie AS2 Nachrichten über HTTPS
AWS Transfer Family AS2 Server bieten derzeit nur HTTP-Transport über Port 5080 an. Sie können TLS jedoch auf einem Netzwerk oder einem Application Load Balancer vor Ihrem Transfer Family Family-Server-VPC-Endpunkt beenden, indem Sie einen Port und ein Zertifikat Ihrer Wahl verwenden. Mit diesem Ansatz können Sie festlegen, dass eingehende AS2 Nachrichten HTTPS verwenden.
**Voraussetzungen**
+ Die VPC muss sich auf demselben Server AWS-Region wie Ihr Transfer Family Family-Server befinden.
+ Die Subnetze Ihrer VPC müssen sich innerhalb der Availability Zones befinden, in denen Sie Ihren Server verwenden möchten.
**Anmerkung**
Jeder Transfer Family Family-Server kann bis zu drei Availability Zones unterstützen.
+ Weisen Sie bis zu drei Elastic IP-Adressen in derselben Region wie Ihr Server zu. Sie können sich auch dafür entscheiden, Ihren eigenen IP-Adressbereich (BYOIP) mitzubringen.
**Anmerkung**
Die Anzahl der Elastic IP-Adressen muss der Anzahl der Availability Zones entsprechen, die Sie mit Ihren Serverendpunkten verwenden.
Sie können entweder einen Network Load Balance (NLB) oder einen Application Load Balancer (ALB) konfigurieren. In der folgenden Tabelle sind die Vor- und Nachteile der einzelnen Ansätze aufgeführt.
In der folgenden Tabelle sind die Unterschiede in den Funktionen aufgeführt, wenn Sie einen NLB und einen ALB zum Beenden von TLS verwenden.
| Feature | Network Load Balancer (NLB) | Application Load Balancer (ALB) |
| --- | --- | --- |
| Latenz | Geringere Latenz, da er auf Netzwerkebene arbeitet. | Höhere Latenz, da es auf der Anwendungsebene arbeitet. |
| Unterstützung für statische IPs | Kann elastische IP-Adressen anhängen, die statisch sein können. | Elastic IP-Adressen können nicht angehängt werden: Stellt eine Domain bereit, deren zugrunde liegende IP-Adressen sich ändern können. |
| Erweitertes Routing | Unterstützt kein erweitertes Routing. | Unterstützt erweitertes Routing. Kann den erforderlichen `X-Forwarded-Proto` Header AS2 ohne Verschlüsselung einfügen. [Dieser Header wird in [X-Forwarded-Proto](https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Forwarded-Proto) auf der Website developer.mozilla.org beschrieben.](https://developer.mozilla.org/) |
| TLS/SSL-Kündigung | Unterstützt die Kündigung TLS/SSL | Unterstützt die TLS/SSL Kündigung |
| Gegenseitiges TLS (mTLS) | Transfer Family unterstützt derzeit nicht die Verwendung eines NLB für mTLS | Support für mTLS |
------
#### [ Configure NLB ]
Dieses Verfahren beschreibt, wie Sie einen mit dem Internet verbundenen Network Load Balancer (NLB) in Ihrer VPC einrichten.
**Um einen Network Load Balancer zu erstellen und den VPC-Endpunkt des Servers als Ziel des Load Balancers zu definieren**
1. Öffnen Sie die Amazon Elastic Compute Cloud-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Wählen Sie im Navigationsbereich **Load Balancers** und dann **Create Load Balancer** aus.
1. Wählen Sie im Bereich **Network Load Balancer** die Option **Erstellen**.
1. Geben Sie im Abschnitt **Grundkonfiguration** die folgenden Informationen ein:
+ Geben Sie **unter Name** einen aussagekräftigen Namen für den Load Balancer ein.
+ Für **Scheme**, wählen Sie ** Internet-facing**.
+ Wählen Sie für **IP address type** (Typ der IP-Adresse) die Option **IPv4** aus.
1. Geben Sie im Abschnitt **Netzwerkzuordnung** die folgenden Informationen ein:
+ Wählen Sie für **VPC** die Virtual Private Cloud (VPC) aus, die Sie erstellt haben.
+ Wählen Sie unter **Zuordnungen** die Availability Zones aus, die den öffentlichen Subnetzen zugeordnet sind, die in derselben VPC verfügbar sind, die Sie mit Ihren Serverendpunkten verwenden.
+ Wählen Sie für die **IPv4 Adresse** jedes Subnetzes eine der Elastic IP-Adressen aus, die Sie zugewiesen haben.
1. Geben Sie im Abschnitt **Listener und Routing** die folgenden Informationen ein:
+ Wählen Sie als **Protokoll** die Option **TLS** aus.
+ Geben Sie im Feld **Port** **5080** ein.
+ Wählen Sie für **Standardaktion** die Option **Zielgruppe erstellen** aus. Einzelheiten zum Erstellen einer neuen Zielgruppe finden Sie unter[Erstellen einer Zielgruppe](#create-target-group).
Nachdem Sie eine Zielgruppe erstellt haben, geben Sie ihren Namen in das Feld **Standardaktion** ein.
1. Wählen Sie im Bereich **Einstellungen für sicheren Listener** Ihr Zertifikat im Bereich ** SSL/TLS Standardzertifikat** aus.
1. Wählen Sie **Create Load Balancer** aus, um Ihren NLB zu erstellen.
1. (Optional, aber empfohlen) Aktivieren Sie die Zugriffsprotokolle für den Network Load Balancer, um einen vollständigen Audit-Trail zu führen, wie unter [Zugriffsprotokolle für Ihren Network Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/load-balancer-access-logs.html) beschrieben.
Wir empfehlen diesen Schritt, da die TLS-Verbindung im NLB beendet wird. Daher ist die Quell-IP-Adresse, die in Ihren Transfer Family AS2 CloudWatch Family-Protokollgruppen wiedergegeben wird, die private IP-Adresse der NLB und nicht die externe IP-Adresse Ihres Handelspartners.
------
#### [ Configure ALB ]
Dieses Verfahren beschreibt, wie Sie einen Application Load Balancer (ALB) in Ihrer VPC einrichten.
**Um einen Application Load Balancer zu erstellen und den VPC-Endpunkt des Servers als Ziel des Load Balancers zu definieren**
1. Öffnen Sie die Amazon Elastic Compute Cloud-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Wählen Sie im Navigationsbereich **Load Balancers** und dann **Create Load Balancer** aus.
1. Wählen Sie unter **Application Load Balancer** **Create** (Erstellen) aus.
1. Erstellen Sie in der ALB-Konsole einen neuen HTTP-Listener auf Port 443 (HTTPS).
1. (Optional). Wenn Sie die gegenseitige Authentifizierung (mTLS) einrichten möchten, konfigurieren Sie Sicherheitseinstellungen und einen Trust Store.
1. Hängen Sie Ihr SSL/TLS Zertifikat an den Listener an.
1. Wählen Sie unter **Behandlung von Client-Zertifikaten** die Option **Mutual Authentication (mTLS)** aus.
1. Wählen Sie **Mit Trust Store verifizieren** aus.
1. Wählen Sie unter **Erweiterte mTLS-Einstellungen** einen Vertrauensspeicher aus oder erstellen Sie ihn, indem Sie Ihre CA-Zertifikate hochladen.
1. Erstellen Sie eine neue Zielgruppe und fügen Sie die privaten IP-Adressen Ihrer Transfer Family AS2 Family-Serverendpunkte als Ziele auf Port 5080 hinzu. Einzelheiten zur Erstellung einer neuen Zielgruppe finden Sie unter. [Erstellen einer Zielgruppe](#create-target-group)
1. Konfigurieren Sie Integritätsprüfungen für die Zielgruppe, um das HTTP-Protokoll auf Port 5080 zu verwenden.
1. Erstellen Sie eine neue Regel, um HTTPS-Verkehr vom Listener an die Zielgruppe weiterzuleiten.
1. Konfigurieren Sie den Listener so, dass er Ihr SSL/TLS-Zertifikat verwendet.
------
Nachdem Sie den Load Balancer eingerichtet haben, kommunizieren die Clients mit dem Load Balancer über den benutzerdefinierten Port-Listener. Anschließend kommuniziert der Load Balancer über Port 5080 mit dem Server.
**Erstellen einer Zielgruppe**
1. Nachdem Sie im vorherigen Verfahren „**Zielgruppe erstellen**“ ausgewählt haben, werden Sie zur Seite „**Gruppendetails angeben**“ für eine neue Zielgruppe weitergeleitet.
1. Geben Sie im Abschnitt **Grundkonfiguration** die folgenden Informationen ein.
+ **Wählen Sie für Wählen Sie einen Zieltyp** die Option **IP-Adressen** aus.
+ Geben Sie unter **Zielgruppenname** einen Namen für die Zielgruppe ein.
+ Ihre Auswahl für **Protokoll** hängt davon ab, ob Sie eine ALB oder eine NLB verwenden.
+ **Wählen Sie für einen Network Load Balancer (NLB) TCP**
+ **Wählen Sie für einen Application Load Balancer (ALB) HTTP**
+ Geben Sie im Feld **Port** **5080** ein.
+ Wählen Sie für **IP address type** (Typ der IP-Adresse) die Option **IPv4** aus.
+ Wählen Sie für **VPC** die VPC aus, die Sie für Ihren Transfer Family AS2 Family-Server erstellt haben.
1. Wählen Sie im Abschnitt **Health Checks** das **Health Check-Protokoll** aus.
+ **Wählen Sie für ein ALB HTTP**
+ **Wählen Sie für einen NLB TCP**
1. Wählen Sie **Weiter** aus.
1. Geben Sie auf der Seite **Ziele registrieren** die folgenden Informationen ein:
+ Vergewissern Sie sich, dass für **Network** die VPC angegeben ist, die Sie für Ihren Transfer Family AS2 Family-Server erstellt haben.
+ Geben Sie als **IPv4 Adresse** die private IPv4 Adresse der Endpunkte Ihres Transfer Family AS2 Family-Servers ein.
Wenn Sie mehr als einen Endpunkt für Ihren Server haben, wählen Sie ** IPv4 Adresse hinzufügen**, um eine weitere Zeile für die Eingabe einer anderen IPv4 Adresse hinzuzufügen. Wiederholen Sie diesen Vorgang, bis Sie die privaten IP-Adressen für alle Endpunkte Ihres Servers eingegeben haben.
+ Stellen Sie sicher, dass **Ports** auf **5080** eingestellt ist.
+ Wählen Sie unten „**Als ausstehend einbeziehen**“ aus, um Ihre Einträge zum Abschnitt „**Ziele überprüfen**“ hinzuzufügen.
1. **Überprüfen Sie im Abschnitt Ziele** überprüfen Ihre IP-Ziele.
1. Wählen Sie **Zielgruppe erstellen** aus, kehren Sie dann zum vorherigen Verfahren zur Erstellung Ihrer NLB zurück und geben Sie die neue Zielgruppe an der angegebenen Stelle ein.
**Testen Sie den Zugriff auf den Server von einer Elastic IP-Adresse aus**
Stellen Sie über den benutzerdefinierten Port eine Connect zum Server her, indem Sie eine Elastic IP-Adresse oder den DNS-Namen des Network Load Balancer verwenden.
**Wichtig**
Verwalten Sie den Zugriff auf Ihren Server von Client-IP-Adressen aus, indem Sie die [Netzwerk-Zugriffskontrolllisten (Netzwerk ACLs)](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html) für die auf dem Load Balancer konfigurierten Subnetze verwenden. Netzwerk-ACL-Berechtigungen werden auf Subnetzebene festgelegt, sodass die Regeln für alle Ressourcen gelten, die das Subnetz verwenden. **Sie können den Zugriff von Client-IP-Adressen aus nicht mithilfe von Sicherheitsgruppen steuern, da der Zieltyp des Load Balancers auf **IP-Adressen** statt auf Instances festgelegt ist.** Daher speichert der Load Balancer keine Quell-IP-Adressen. Wenn die [Integritätsprüfungen des Network Load Balancers](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/target-group-health-checks.html) fehlschlagen, bedeutet dies, dass der Load Balancer keine Verbindung zum Serverendpunkt herstellen kann. Überprüfen Sie Folgendes, um dieses Problem zu beheben:
Vergewissern Sie sich, dass die dem [Serverendpunkt zugeordnete Sicherheitsgruppe](https://aws.amazon.com/premiumsupport/knowledge-center/sftp-enable-elastic-ip-custom-port/) eingehende Verbindungen aus den Subnetzen zulässt, die auf dem Load Balancer konfiguriert sind. Der Load Balancer muss in der Lage sein, über Port 5080 eine Verbindung zum Serverendpunkt herzustellen.
**Vergewissern Sie sich, dass der **Serverstatus Online** ist.**
## Übertragung von Dateien mithilfe eines AS2 Connectors
AS2 Konnektoren stellen eine Beziehung zwischen Handelspartnern für die Übertragung von AS2 Nachrichten von einem Transfer Family Family-Server an ein externes, partnereigenes Ziel her.
Sie können Transfer Family verwenden, um AS2 Nachrichten zu senden, indem Sie auf die Connector-ID und die Pfade zu den Dateien verweisen, wie im folgenden Befehl `start-file-transfer` AWS Command Line Interface (AWS CLI) dargestellt:
```
aws transfer start-file-transfer --connector-id c-1234567890abcdef0 \
--send-file-paths "/amzn-s3-demo-source-bucket/myfile1.txt" "/amzn-s3-demo-source-bucket/myfile2.txt"
```
Führen Sie den folgenden Befehl aus, um die Details für Ihre Konnektoren abzurufen:
```
aws transfer list-connectors
```
Der `list-connectors` Befehl gibt den Connector IDs URLs, und Amazon Resource Names (ARNs) für Ihre Konnektoren zurück.
Um die Eigenschaften eines bestimmten Connectors zurückzugeben, führen Sie den folgenden Befehl mit der ID aus, die Sie verwenden möchten:
```
aws transfer describe-connector --connector-id your-connector-id
```
Der `describe-connector` Befehl gibt alle Eigenschaften für den Konnektor zurück, einschließlich seiner URL, Rollen, Profile, Hinweise zur Nachrichtendisposition (MDNs), Tags und Überwachungsmetriken.
Sie können überprüfen, ob der Partner die Dateien erfolgreich erhalten hat, indem Sie sich die JSON- und MDN-Dateien ansehen. Diese Dateien werden gemäß den unter beschriebenen Konventionen benannt. [Dateinamen und Speicherorte](#file-names-as2) Wenn Sie bei der Erstellung des Connectors eine Logging-Rolle konfiguriert haben, können Sie Ihre CloudWatch Logs auch auf den Status von AS2 Nachrichten überprüfen.
Informationen zum AS2 Connector finden Sie unter[AS2 Konnektordetails anzeigen](configure-as2-connector.md#connectors-view-info). Weitere Informationen zum Erstellen von AS2 Konnektoren finden Sie unter[AS2 Konnektoren konfigurieren](configure-as2-connector.md).
**Um eine AS2 ausgehende Nachricht zu senden**
Der ausgehende Prozess ist definiert als eine Nachricht oder Datei, die von AWS einem externen Client oder Service gesendet wird. Die Reihenfolge für ausgehende Nachrichten ist wie folgt:
1. Ein Administrator ruft den Befehl `start-file-transfer` AWS Command Line Interface (AWS CLI) oder die `StartFileTransfer` API-Operation auf. Diese Operation verweist auf eine `connector` Konfiguration.
1. Transfer Family erkennt eine neue Dateianfrage und lokalisiert die Datei. Die Datei ist komprimiert, signiert und verschlüsselt.
1. Ein Transfer-HTTP-Client führt eine HTTP-POST-Anfrage durch, um die Nutzdaten an den AS2 Server des Partners zu übertragen.
1. Der Prozess gibt die signierte MDN-Antwort entsprechend der HTTP-Antwort zurück (synchrones MDN).
1. Während sich die Datei zwischen den verschiedenen Übertragungsphasen bewegt, übermittelt der Prozess dem Kunden die MDN-Antwort, den Empfang und die Verarbeitungsdetails.
1. Der AS2 Remoteserver stellt die entschlüsselte und verifizierte Datei dem Partneradministrator zur Verfügung.
![\[Diagramm, das die Verarbeitungsreihenfolge für ausgehende Nachrichten zeigt.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/as2-architecture-outbound.png)
AS2 Die Verarbeitung unterstützt viele der RFC 4130-Protokolle, wobei der Schwerpunkt auf allgemeinen Anwendungsfällen und der Integration mit bestehenden Serverimplementierungen mit AS2 aktivierter Funktionalität liegt. Einzelheiten zu den unterstützten Konfigurationen finden Sie unter. [AS2 Konfigurationen](create-b2b-server.md#as2-supported-configurations)
## Dateinamen und Speicherorte
In diesem Abschnitt werden die Konventionen zur Benennung von Dateien für AS2 Übertragungen erörtert.
Beachten Sie bei eingehenden Dateiübertragungen Folgendes:
+ Sie geben das Basisverzeichnis in einer Vereinbarung an. Das Basisverzeichnis ist der Amazon S3 S3-Bucket-Name in Kombination mit einem Präfix, falls vorhanden. Beispiel, `/amzn-s3-demo-bucket/AS2-folder`.
+ Wenn eine eingehende Datei erfolgreich verarbeitet wurde, wird die Datei (und die entsprechende JSON-Datei) in dem `/processed` Ordner gespeichert. Beispiel, `/amzn-s3-demo-bucket/AS2-folder/processed`.
Die JSON-Datei enthält die folgenden Felder:
+ `agreement-id`
+ `as2-from`
+ `as2-to`
+ `as2-message-id`
+ `transfer-id`
+ `client-ip`
+ `connector-id`
+ `failure-message`
+ `file-path`
+ `message-subject`
+ `mdn-message-id`
+ `mdn-subject`
+ `requester-file-name`
+ `requester-content-type`
+ `server-id`
+ `status-code`
+ `failure-code`
+ `transfer-size`
+ Wenn eine eingehende Datei nicht erfolgreich verarbeitet werden kann, wird die Datei (und die entsprechende JSON-Datei) in dem `/failed` Ordner gespeichert. Beispiel, `/amzn-s3-demo-bucket/AS2-folder/failed`.
+ Die übertragene Datei wird im `processed` Ordner als gespeichert`original_filename.messageId.original_extension`. Das heißt, die Nachrichten-ID für die Übertragung wird vor der ursprünglichen Erweiterung an den Namen der Datei angehängt.
+ Eine JSON-Datei wird erstellt und gespeichert als`original_filename.messageId.original_extension.json`. Zusätzlich zur hinzugefügten Nachrichten-ID wird die Zeichenfolge `.json` an den Namen der übertragenen Datei angehängt.
+ Eine MDN-Datei (Message Disposition Notice) wird erstellt und gespeichert als. `original_filename.messageId.original_extension.mdn` Zusätzlich zur hinzugefügten Nachrichten-ID wird die Zeichenfolge `.mdn` an den Namen der übertragenen Datei angehängt.
+ Wenn es eine eingehende Datei mit dem Namen gibt`ExampleFileInS3Payload.dat`, werden die folgenden Dateien erstellt:
+ **Datei** — `ExampleFileInS3Payload.c4d6b6c7-23ea-4b8c-9ada-0cb811dc8b35@44313c54b0a46a36.dat`
+ **JSON** — `ExampleFileInS3Payload.c4d6b6c7-23ea-4b8c-9ada-0cb811dc8b35@44313c54b0a46a36.dat.json`
+ **MDN** — `ExampleFileInS3Payload.c4d6b6c7-23ea-4b8c-9ada-0cb811dc8b35@44313c54b0a46a36.dat.mdn`
Bei ausgehenden Übertragungen ist die Benennung ähnlich, mit dem Unterschied, dass es keine Datei für eingehende Nachrichten gibt und außerdem die Übertragungs-ID für die übertragene Nachricht zum Dateinamen hinzugefügt wird. Die Übertragungs-ID wird durch den `StartFileTransfer` API-Vorgang zurückgegeben (oder wenn ein anderer Prozess oder ein anderes Skript diesen Vorgang aufruft).
+ Das `transfer-id` ist eine Kennung, die mit einer Dateiübertragung verknüpft ist. Alle Anfragen, die Teil eines `StartFileTransfer` Anrufs sind, teilen sich eine`transfer-id`.
+ Das Basisverzeichnis entspricht dem Pfad, den Sie für die Quelldatei verwenden. Das heißt, das Basisverzeichnis ist der Pfad, den Sie in der `StartFileTransfer` API-Operation oder im `start-file-transfer` AWS CLI API-Befehl angeben. Beispiel:
```
aws transfer start-file-transfer --send-file-paths /amzn-s3-demo-bucket/AS2-folder/file-to-send.txt
```
Wenn Sie diesen Befehl ausführen, werden MDN- und JSON-Dateien in `/amzn-s3-demo-bucket/AS2-folder/processed` (für erfolgreiche Übertragungen) oder `/amzn-s3-demo-bucket/AS2-folder/failed` (für erfolglose Übertragungen) gespeichert.
+ Eine JSON-Datei wird erstellt und gespeichert als`original_filename.transferId.messageId.original_extension.json`.
+ Eine MDN-Datei wird erstellt und gespeichert als`original_filename.transferId.messageId.original_extension.mdn`.
+ Wenn es eine ausgehende Datei mit dem Namen gibt`ExampleFileOutTestOutboundSyncMdn.dat`, werden die folgenden Dateien erstellt:
+ **JSON** — `ExampleFileOutTestOutboundSyncMdn.dedf4601-4e90-4043-b16b-579af35e0d83.fbe18db8-7361-42ff-8ab6-49ec1e435f34@c9c705f0baaaabaa.dat.json`
+ **MDN** — `ExampleFileOutTestOutboundSyncMdn.dedf4601-4e90-4043-b16b-579af35e0d83.fbe18db8-7361-42ff-8ab6-49ec1e435f34@c9c705f0baaaabaa.dat.mdn`
Sie können auch die CloudWatch Protokolle überprüfen, um die Details Ihrer Übertragungen einzusehen, einschließlich fehlgeschlagener Übertragungen.
## Statuscodes
In der folgenden Tabelle sind alle Statuscodes aufgeführt, die in den CloudWatch Protokollen protokolliert werden können, wenn Sie oder Ihr Partner eine AS2 Nachricht senden. Verschiedene Schritte zur Nachrichtenverarbeitung gelten für verschiedene Nachrichtentypen und dienen nur der Überwachung. Die Status COMPLETED und FAILED stellen den letzten Verarbeitungsschritt dar und sind in JSON-Dateien sichtbar.
****
| Code | Description | Verarbeitung abgeschlossen? |
| --- | --- | --- |
| VERARBEITUNG | Die Nachricht wird gerade in ihr endgültiges Format konvertiert. Beispielsweise haben sowohl die Dekomprimierungs- als auch die Entschlüsselungsschritte diesen Status. | Nein |
| MDN\$1TRANSMIT | Die Nachrichtenverarbeitung sendet eine MDN-Antwort. | Nein |
| MDN\$1RECEIVE | Die Nachrichtenverarbeitung empfängt eine MDN-Antwort. | Nein |
| COMPLETED | Die Nachrichtenverarbeitung wurde erfolgreich abgeschlossen. Dieser Status gilt auch, wenn ein MDN für eine eingehende Nachricht oder für die MDN-Überprüfung ausgehender Nachrichten gesendet wird. | Ja |
| FEHLGESCHLAGEN | Die Nachrichtenverarbeitung ist fehlgeschlagen. Eine Liste der Fehlercodes finden Sie unter[AS2 Fehlercodes](as2-monitoring.md#as2-error-codes). | Ja |
## JSON-Beispieldateien
In diesem Abschnitt werden JSON-Beispieldateien für eingehende und ausgehende Übertragungen aufgeführt, einschließlich Beispieldateien für erfolgreiche Übertragungen und fehlgeschlagene Übertragungen.
Beispiel für eine ausgehende Datei, die erfolgreich übertragen wurde:
```
{
"requester-content-type": "application/octet-stream",
"message-subject": "File xyzTest from MyCompany_OID to partner YourCompany",
"requester-file-name": "TestOutboundSyncMdn-9lmCr79hV.dat",
"as2-from": "MyCompany_OID",
"connector-id": "c-c21c63ceaaf34d99b",
"status-code": "COMPLETED",
"disposition": "automatic-action/MDN-sent-automatically; processed",
"transfer-size": 3198,
"mdn-message-id": "OPENAS2-11072022063009+0000-df865189-1450-435b-9b8d-d8bc0cee97fd@PartnerA_OID_MyCompany_OID",
"mdn-subject": "Message be18db8-7361-42ff-8ab6-49ec1e435f34@c9c705f0baaaabaa has been accepted",
"as2-to": "PartnerA_OID",
"transfer-id": "dedf4601-4e90-4043-b16b-579af35e0d83",
"file-path": "/amzn-s3-demo-bucket/as2testcell0000/openAs2/TestOutboundSyncMdn-9lmCr79hV.dat",
"as2-message-id": "fbe18db8-7361-42ff-8ab6-49ec1e435f34@c9c705f0baaaabaa",
"timestamp": "2022-07-11T06:30:10.791274Z"
}
```
Beispiel für eine ausgehende Datei, die nicht erfolgreich übertragen wurde:
```
{
"failure-code": "HTTP_ERROR_RESPONSE_FROM_PARTNER",
"status-code": "FAILED",
"requester-content-type": "application/octet-stream",
"subject": "Test run from Id da86e74d6e57464aae1a55b8596bad0a to partner 9f8474d7714e476e8a46ce8c93a48c6c",
"transfer-size": 3198,
"requester-file-name": "openAs2TestOutboundWrongAs2Ids-necco-3VYn5n8wE.dat",
"as2-message-id": "9a9cc9ab-7893-4cb6-992a-5ed8b90775ff@718de4cec1374598",
"failure-message": "http://Test123456789.us-east-1.elb.amazonaws.com:10080 returned status 500 for message with ID 9a9cc9ab-7893-4cb6-992a-5ed8b90775ff@718de4cec1374598",
"transfer-id": "07bd3e07-a652-4cc6-9412-73ffdb97ab92",
"connector-id": "c-056e15cc851f4b2e9",
"file-path": "/amzn-s3-demo-bucket-4c1tq6ohjt9y/as2IntegCell0002/openAs2/openAs2TestOutboundWrongAs2Ids-necco-3VYn5n8wE.dat",
"timestamp": "2022-07-11T21:17:24.802378Z"
}
```
Beispiel für eine eingehende Datei, die erfolgreich übertragen wurde:
```
{
"requester-content-type": "application/EDI-X12",
"subject": "File openAs2TestInboundAsyncMdn-necco-5Ab6bTfCO.dat sent from MyCompany to PartnerA",
"client-ip": "10.0.109.105",
"requester-file-name": "openAs2TestInboundAsyncMdn-necco-5Ab6bTfCO.dat",
"as2-from": "MyCompany_OID",
"status-code": "COMPLETED",
"disposition": "automatic-action/MDN-sent-automatically; processed",
"transfer-size": 1050,
"mdn-subject": "Message Disposition Notification",
"as2-message-id": "OPENAS2-11072022233606+0000-5dab0452-0ca1-4f9b-b622-fba84effff3c@MyCompany_OID_PartnerA_OID",
"as2-to": "PartnerA_OID",
"agreement-id": "a-f5c5cbea5f7741988",
"file-path": "processed/openAs2TestInboundAsyncMdn-necco-5Ab6bTfCO.OPENAS2-11072022233606+0000-5dab0452-0ca1-4f9b-b622-fba84effff3c@MyCompany_OID_PartnerA_OID.dat",
"server-id": "s-5f7422b04c2447ef9",
"timestamp": "2022-07-11T23:36:36.105030Z"
}
```
Beispiel für eine eingehende Datei, die nicht erfolgreich übertragen wurde:
```
{
"failure-code": "INVALID_REQUEST",
"status-code": "FAILED",
"subject": "Sending a request from InboundHttpClientTests",
"client-ip": "10.0.117.27",
"as2-message-id": "testFailedLogs-TestRunConfig-Default-inbound-direct-integ-0c97ee55-af56-4988-b7b4-a3e0576f8f9c@necco",
"as2-to": "0beff6af56c548f28b0e78841dce44f9",
"failure-message": "Unsupported date format: 2022/123/456T",
"agreement-id": "a-0ceec8ca0a3348d6a",
"as2-from": "ab91a398aed0422d9dd1362710213880",
"file-path": "failed/01187f15-523c-43ac-9fd6-51b5ad2b08f3.testFailedLogs-TestRunConfig-Default-inbound-direct-integ-0c97ee55-af56-4988-b7b4-a3e0576f8f9c@necco",
"server-id": "s-0582af12e44540b9b",
"timestamp": "2022-07-11T06:30:03.662939Z"
}
```
# HTTP-Header für AS2 Nachrichten anpassen
Wenn Sie AS2 Nachrichten an Handelspartner senden, müssen Sie möglicherweise die HTTP-Header anpassen, um bestimmte Anforderungen zu erfüllen oder die Kompatibilität mit der AS2 Serverkonfiguration Ihres Partners zu verbessern. Diese CloudFormation Vorlage erstellt eine Infrastruktur, um benutzerdefinierte HTTP-Header für AS2 Nachrichten zu ermöglichen, die über gesendet werden. AWS Transfer Family Es richtet ein Amazon API Gateway und eine Lambda-Funktion ein, die als Proxy fungiert und die dynamische Änderung von Headern ermöglicht, die von den Servern der Handelspartner AS2 benötigt werden.
Verwenden Sie diese Vorlage, um Folgendes zu tun:
+ Fügen Sie AS2 ausgehenden Nachrichten benutzerdefinierte HTTP-Header hinzu
+ Überschreiben Sie die Standard-Header-Werte mit benutzerdefinierten Werten
**Wichtig**
Seien Sie vorsichtig, wenn Sie Standard-Header-Werte überschreiben, da dies zu Sendefehlern führen kann: Einige AS2 Header sind erforderlich.
+ Stellen Sie die Kompatibilität mit Handelspartnern sicher, die spezielle Header-Anforderungen haben
## Vorlagen – Übersicht
Die Vorlage erstellt die folgenden Hauptkomponenten:
+ Eine Lambda-Funktion, die Nachrichten verarbeitet und weiterleitet AS2
+ Ein Amazon API Gateway zur Bereitstellung der Lambda-Funktion
+ IAM-Rollen und -Berechtigungen für die Lambda-Funktion
+ Bedingte Ressourcen für die HTTPS-Unterstützung
Die Vorlagendatei ist hier verfügbar: [Vorlage für dynamische HTTP-Header](https://s3.amazonaws.com/aws-transfer-resources/as2-templates/dynamic-http-headers.template.yml).
## So funktioniert’s
1. Das Amazon API Gateway empfängt eingehende AS2 Nachrichten von AWS Transfer Family.
1. Die Anfrage wird an die Lambda-Funktion weitergeleitet.
1. Die Lambda-Funktion verarbeitet die Anfrage und fügt nach Bedarf Header hinzu oder ändert sie.
1. Die geänderte Anfrage wird dann an den Server des Partners AS2 weitergeleitet.
1. Die Antwort vom Server des Partners wird über Lambda und Amazon API Gateway an AWS Transfer Family zurückgesendet.
## Wichtigste Funktionen
+ *Dynamische Änderung der Kopfzeile:* Ermöglicht die Anpassung des Betreff-Headers und das Hinzufügen weiterer erforderlicher Header.
+ *Protokollunterstützung:* Funktioniert sowohl mit HTTP- als auch mit HTTPS-Protokollen.
+ *Flexible Konfiguration:* Ermöglicht die Angabe von Partnerhost, Port und Pfad.
## Implementierungsinformationen
Die Vorlage implementiert die folgenden Schlüsselkomponenten:
### Lambda-Funktion
Der Kern der Lösung ist eine Lambda-Funktion von Node.js, die:
+ Empfängt Anfragen vom Amazon API Gateway
+ Ändert Header auf der Grundlage der Konfiguration und der eingehenden Anforderungsdaten
+ Leitet die geänderte Anfrage an den Server des Partners weiter AS2
+ Verarbeitet sowohl HTTP- als auch HTTPS-Protokolle
+ Beinhaltet Fehlerbehandlung und Protokollierung
### Amazon API Gateway
Eine HTTP-API ist eingerichtet, um:
+ Empfangen Sie eingehende AS2 Nachrichten
+ Anfragen an die Lambda-Funktion weiterleiten
+ Antworten zurück an AWS Transfer Family
### Vorlagenparameter
Geben Sie die Informationen für die Vorlagenparameter wie folgt ein. Beachten Sie, dass es sich bei all diesen Parametern um Zeichenketten handelt.
+ `Environment`: Dieser Parameter wird verwendet, um die Ressourcen zu benennen, die die Vorlage erstellt, und zwar unabhängig davon, ob sie für eine Entwicklungs- oder Produktionsumgebung bestimmt sind. Gültige Werte sind **dev** und **prod**.
+ `PartnerHost`: Die IP-Adresse oder der Hostname des AS2 Partnerservers.
+ `PartnerPort`: Die Portnummer für den AS2 Partnerserver. Wenn nicht angegeben, wird standardmäßig 80 für HTTP und 443 für HTTPS verwendet.
+ `PartnerPath`: der Pfad zum AS2 Endpunkt auf dem Partnerserver
+ `ProtocolType`: das für die AS2 Kommunikation zu verwendende Protokoll: Gültige Werte sind **HTTP** und **HTTPS**.
### Bedingte Ressourcen
Für die HTTPS-Unterstützung erstellt die Vorlage unter bestimmten Bedingungen:
+ Eine Lambda-Schicht für CA-Zertifikate
+ HTTPS-spezifische Konfiguration in der Lambda-Funktion
## Bereitstellung und Verwendung
**Um AS2 HTTP-Header mithilfe einer CloudFormation Vorlage anzupassen**
1. Öffnen Sie die CloudFormation Konsole unter [https://console.aws.amazon.com/cloudformation.](https://console.aws.amazon.com/cloudformation/)
1. Wählen Sie im linken Navigationsbereich **Stack** aus.
1. Wählen Sie **Create stack (Stack erstellen)** und dann **With new resources (standard) (Mit neuen Ressourcen (Standard)).**
1. Wählen Sie im Abschnitt **Voraussetzung — Vorlage vorbereiten** die Option **Vorhandene Vorlage auswählen aus**.
1. Kopieren Sie diesen Link, die [Vorlage für dynamische HTTP-Header](https://s3.amazonaws.com/aws-transfer-resources/as2-templates/dynamic-http-headers.template.yml), und fügen Sie ihn in das **Amazon S3 S3-URL-Feld** ein.
1. Wählen Sie **Weiter** aus.
1. Füllen Sie die Parameterdetails mit Ihren Informationen aus. Diese sind detailliert in[Vorlagenparameter](#as2-header-template-parameter-details).
1. Wählen Sie **Weiter** aus. Wählen Sie auf der Seite **„Stack-Optionen konfigurieren**“ erneut **Weiter** aus.
1. Überprüfen Sie die Details für den Stack, den Sie gerade erstellen, und wählen Sie dann **Stapel erstellen** aus.
**Anmerkung**
Unten auf der Seite müssen Sie unter **Funktionen angeben**, dass dadurch CloudFormation möglicherweise Ressourcen AWS Identity and Access Management (IAM) erstellt werden.
Nach der Bereitstellung dieses CloudFormation Stacks:
1. Notieren Sie sich die Amazon API Gateway Gateway-Endpunkt-URL, die in den Stack-Ausgaben angegeben ist.
1. Aktualisieren Sie Ihren vorhandenen AWS Transfer Family Connector, um diesen neuen Amazon API Gateway Gateway-Endpunkt zu verwenden.
1. Die Lösung verarbeitet nun AS2 Nachrichten und fügt Header wie konfiguriert hinzu oder ändert sie.
**Warnung**
Ändern Sie nur den Betreff-Header oder fügen Sie Header hinzu, die Ihr Partner ausdrücklich erwartet. Das Ändern anderer Header kann zu Übertragungsfehlern führen.
# Überwachung der AS2 Nutzung
Sie können die AS2 Aktivitäten mit Amazon CloudWatch und überwachen AWS CloudTrail. Weitere Servermetriken für Transfer Family finden Sie unter [CloudWatch Amazon-Protokollierung für AWS Transfer Family Server](structured-logging.md)
**AS2 Metriken**
| Metrik | Beschreibung |
| --- | --- |
| InboundMessage | Die Gesamtzahl der erfolgreich von einem Handelspartner empfangenen AS2 Nachrichten. Einheiten: Anzahl Dauer: 5 Minuten |
| InboundFailedMessage | Die Gesamtzahl der AS2 Nachrichten, die von einem Handelspartner erfolglos empfangen wurden. Das heißt, ein Handelspartner hat eine Nachricht gesendet, aber der Transfer Family Family-Server konnte sie nicht erfolgreich verarbeiten. Einheiten: Anzahl Dauer: 5 Minuten |
| OutboundMessage | Die Gesamtzahl der AS2 Nachrichten, die erfolgreich vom Transfer Family Family-Server an einen Handelspartner gesendet wurden. Einheiten: Anzahl Zeitraum: 5 Minuten |
| OutboundFailedMessage | Die Gesamtzahl der AS2 Nachrichten, die erfolglos an einen Handelspartner gesendet wurden. Das heißt, sie wurden vom Transfer Family Family-Server gesendet, aber vom Handelspartner nicht erfolgreich empfangen. Einheiten: Anzahl Dauer: 5 Minuten |
| DaysUntilExpiry | Die Anzahl der Tage, bis ein Zertifikat abläuft, wird durch den Wert bestimmt, der beim Import auf dem Zertifikat `InactiveDate` festgelegt wurde. Einheiten: Anzahl Abmessungen:`CertificateId`, `Description` (falls angegeben) Zeitraum: 1 Tag Weitere Informationen finden Sie unter [AS2 Rotation der Zertifikate](managing-as2-partners.md#as2-certificate-rotation). |
## AS2 Statuscodes
In der folgenden Tabelle sind alle Statuscodes aufgeführt, die in CloudWatch Protokollen protokolliert werden können, wenn Sie oder Ihr Partner eine AS2 Nachricht senden. Verschiedene Schritte zur Nachrichtenverarbeitung gelten für verschiedene Nachrichtentypen und dienen nur der Überwachung. Die Status COMPLETED und FAILED stellen den letzten Verarbeitungsschritt dar und sind in JSON-Dateien sichtbar.
****
| Code | Beschreibung | Verarbeitung abgeschlossen? |
| --- | --- | --- |
| VERARBEITUNG | Die Nachricht wird gerade in ihr endgültiges Format konvertiert. Beispielsweise haben sowohl die Dekomprimierungs- als auch die Entschlüsselungsschritte diesen Status. | Nein |
| MDN\$1TRANSMIT | Die Nachrichtenverarbeitung sendet eine MDN-Antwort. | Nein |
| MDN\$1RECEIVE | Die Nachrichtenverarbeitung empfängt eine MDN-Antwort. | Nein |
| COMPLETED | Die Nachrichtenverarbeitung wurde erfolgreich abgeschlossen. Dieser Status gilt auch, wenn ein MDN für eine eingehende Nachricht oder für die MDN-Überprüfung ausgehender Nachrichten gesendet wird. | Ja |
| FEHLGESCHLAGEN | Die Nachrichtenverarbeitung ist fehlgeschlagen. Eine Liste der Fehlercodes finden Sie unter[AS2 Fehlercodes](#as2-error-codes). | Ja |
## AS2 Fehlercodes
In der folgenden Tabelle werden Fehlercodes aufgeführt und beschrieben, die Sie möglicherweise bei AS2 Dateiübertragungen erhalten.
**AS2 Fehlercodes**
| Code | Fehler | Beschreibung und Lösung |
| --- | --- | --- |
| ACCESS\$1DENIED | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/as2-monitoring.html) | Tritt auf, wenn eine `StartFileTransfer` Anfrage bearbeitet wird, bei der eine der `SendFilePaths` Anfragen ungültig oder falsch formatiert ist. Das heißt, dem Pfad fehlt der Amazon S3 S3-Bucket-Name oder der Pfad enthält ungültige Zeichen. Tritt auch auf, wenn Transfer Family die Zugriffs- oder Protokollierungsrolle nicht übernimmt.Stellen Sie sicher, dass der Pfad einen gültigen Amazon S3 S3-Bucket-Namen und einen gültigen Schlüsselnamen enthält. |
| AGREEMENT\$1NOT\$1FOUND | Es wurde keine Vereinbarung gefunden. | Entweder wurde die Vereinbarung nicht gefunden, oder die Vereinbarung ist mit einem inaktiven Profil verknüpft.Aktualisieren Sie die Vereinbarung auf dem Transfer Family Family-Server, sodass sie aktive Profile enthält. |
| CONNECTOR\$1NOT\$1FOUND | Der Connector oder die zugehörige Konfiguration wurde nicht gefunden. | Entweder wurde der Connector nicht gefunden, oder der Connector ist einem inaktiven Profil zugeordnet. Aktualisieren Sie den Connector so, dass er aktive Profile enthält. |
| CREDENTIALS\$1RETRIEVAL\$1FAILED | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/as2-monitoring.html) | Für die AS2 Standardauthentifizierung muss das Geheimnis korrekt formatiert sein. Die folgenden Lösungen entsprechen den in der vorherigen Spalte aufgeführten Fehlern. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/as2-monitoring.html) |
| DECOMPRESSION\$1FAILED | Nachricht konnte nicht dekomprimiert werden. | Entweder ist die gesendete Datei beschädigt, oder der Komprimierungsalgorithmus ist ungültig. Senden Sie die Nachricht erneut und stellen Sie sicher, dass die ZLIB-Komprimierung verwendet wird, oder senden Sie die Nachricht erneut, ohne dass die Komprimierung aktiviert ist. |
| DECRYPT\$1FAILED | Nachricht konnte nicht entschlüsselt werden. message-ID Stellen Sie sicher, dass der Partner über den richtigen öffentlichen Verschlüsselungsschlüssel verfügt. | Die Entschlüsselung ist fehlgeschlagen. Vergewissern Sie sich, dass der Partner eine Payload mithilfe eines gültigen Zertifikats gesendet hat und dass die Verschlüsselung mit einem gültigen Verschlüsselungsalgorithmus durchgeführt wurde. |
| DECRYPT\$1FAILED\$1INVALID\$1SMIME\$1FORMAT | Das umhüllte MIMEPart konnte nicht analysiert werden. | Die MIME-Nutzlast ist entweder beschädigt oder hat ein nicht unterstütztes S/MIME-Format. Der Absender sollte sicherstellen, dass das von ihm verwendete Format unterstützt wird, und die Payload dann erneut senden. |
| DECRYPT\$1FAILED\$1NO\$1DECRYPTION\$1KEY\$1FOUND | Es wurde kein passender Entschlüsselungsschlüssel gefunden. | Dem Partnerprofil wurde kein Zertifikat zugewiesen, das der Nachricht entsprach, oder die Zertifikate, die der Nachricht entsprachen, sind jetzt abgelaufen oder nicht mehr gültig. Sie müssen das Partnerprofil aktualisieren und sicherstellen, dass es ein gültiges Zertifikat enthält. |
| DECRYPT\$1FAILED\$1UNSUPPORTED\$1ENCRYPTION\$1ALG | Die SMIME-Nutzlastentschlüsselung wurde mithilfe eines nicht unterstützten Algorithmus mit der ID angefordert:. encryption-ID | Der entfernte Absender hat eine AS2 Nutzlast mit einem nicht unterstützten Verschlüsselungsalgorithmus gesendet. Der Absender muss einen Verschlüsselungsalgorithmus wählen, der von unterstützt wird. AWS Transfer Family |
| DUPLICATE\$1MESSAGE | Doppelter oder doppelt verarbeiteter Schritt. | Die Payload hat einen doppelten Verarbeitungsschritt. Beispielsweise gibt es zwei Verschlüsselungsschritte. Senden Sie die Nachricht erneut mit einem einzigen Schritt zum Signieren, Komprimieren und Verschlüsseln. |
| ENCRYPT\$1FAILED\$1NO\$1ENCRYPTION\$1KEY\$1FOUND | Im Profil wurden keine gültigen öffentlichen Verschlüsselungszertifikate gefunden: *local-profile-ID* | Transfer Family versucht, eine ausgehende Nachricht zu verschlüsseln, es wurden jedoch keine Verschlüsselungszertifikate für das lokale Profil gefunden.Lösungsoptionen:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/as2-monitoring.html) |
| ENCRYPTION\$1FAILED | Die Datei file-name konnte nicht verschlüsselt werden. | Die zu sendende Datei ist nicht für die Verschlüsselung verfügbar. Vergewissern Sie sich, dass sich die Datei am erwarteten AS2 Speicherort befindet und dass Sie AWS Transfer Family über Leserechte für die Datei verfügen. |
| FILE\$1SIZE\$1TOO\$1LARGE | Die Dateigröße ist zu groß. | Dies tritt auf, wenn eine Datei gesendet oder empfangen wird, die die Dateigrößenbeschränkung überschreitet. |
| HTTP\$1ERROR\$1RESPONSE\$1FROM\$1PARTNER | *partner-URL*hat den Status 400 für eine Nachricht mit ID= *message-ID* zurückgegeben. | Bei der Kommunikation mit dem AS2 Server des Partners wurde ein unerwarteter HTTP-Antwortcode zurückgegeben. Der Partner kann möglicherweise weitere Diagnosen anhand seiner AS2 Serverprotokolle bereitstellen. |
| INSUFFICENT\$1MESSAGE\$1SECURITY\$1UNENCRYPTED | Verschlüsselung ist erforderlich. | Der Partner hat eine unverschlüsselte Nachricht an Transfer Family gesendet, die nicht unterstützt wird. Der Absender muss eine verschlüsselte Nutzlast verwenden. |
| INVALID\$1ENDPOINT\$1PROTOCOL | Nur HTTP und HTTPS werden unterstützt. | Sie müssen HTTP oder HTTPS als Protokoll in Ihrer AS2 Connectorkonfiguration angeben. |
| INVALID\$1REQUEST | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/as2-monitoring.html) | Dieser Fehler hat mehrere Ursachen. Die folgenden Lösungen entsprechen den in der vorherigen Spalte aufgeführten Fehlern. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/as2-monitoring.html) |
| INVALID\$1URL\$1FORMAT | Ungültiges URL-Format: URL | Dies tritt auf, wenn Sie eine ausgehende Nachricht mithilfe eines Connectors senden, der mit einer falsch formatierten URL konfiguriert ist. Stellen Sie sicher, dass der Connector mit einer gültigen HTTP- oder HTTPS-URL konfiguriert ist. |
| MDN\$1RESPONSE\$1INDICATES\$1AUTHENTICATION\$1FAILED | Nicht zutreffend | Der Empfänger kann den Absender nicht authentifizieren. Der Geschäftspartner gibt ein MDN mit dem [Dispositionsmodifikator](https://datatracker.ietf.org/doc/html/rfc4130#section-7.5.4) Error: authentication-failed an Transfer Family zurück. |
| MDN\$1RESPONSE\$1INDICATES\$1DECOMPRESSION\$1FAILED | Nicht zutreffend | Dies tritt auf, wenn der Empfänger den Nachrichteninhalt nicht dekomprimieren kann. Der Geschäftspartner gibt ein MDN mit dem [Dispositionsmodifikator](https://datatracker.ietf.org/doc/html/rfc4130#section-7.5.4) Error: decompression-failed an Transfer Family zurück. |
| MDN\$1RESPONSE\$1INDICATES\$1DECRYPTION\$1FAILED | Nicht zutreffend | Der Empfänger kann den Nachrichteninhalt nicht entschlüsseln. Der Geschäftspartner gibt ein MDN mit dem [Dispositionsmodifikator](https://datatracker.ietf.org/doc/html/rfc4130#section-7.5.4) Error: authentication-failed an Transfer Family zurück. |
| MDN\$1RESPONSE\$1INDICATES\$1INSUFFICIENT\$1MESSAGE\$1SECURITY | Nicht zutreffend | Der Empfänger erwartet, dass die Nachricht signiert oder verschlüsselt ist, ist es aber nicht. Der Geschäftspartner gibt ein MDN mit dem [Dispositionsmodifikator](https://datatracker.ietf.org/doc/html/rfc4130#section-7.5.4) Error: an Transfer Family zurück. insufficient-message-securityAktivieren Sie die and/or Signierungsverschlüsselung auf dem Connector, um den Erwartungen des Handelspartners zu entsprechen. |
| MDN\$1RESPONSE\$1INDICATES\$1INTEGRITY\$1CHECK\$1FAILED | Nicht zutreffend | Der Empfänger kann die Integrität des Inhalts nicht überprüfen. Der Geschäftspartner gibt ein MDN mit dem [Dispositionsmodifikator](https://datatracker.ietf.org/doc/html/rfc4130#section-7.5.4) Error: an Transfer Family zurück. integrity-check-failed |
| PATH\$1NOT\$1FOUND | Das Verzeichnis konnte nicht erstellt werden. *file-path* Der übergeordnete Pfad konnte nicht gefunden werden. | Transfer Family versucht, ein Verzeichnis im Amazon S3 S3-Bucket des Kunden zu erstellen, aber der Bucket wurde nicht gefunden.Stellen Sie sicher, dass jeder im `StartFileTransfer` Befehl erwähnte Pfad den Namen eines vorhandenen Buckets enthält. |
| SEND\$1FILE\$1NOT\$1FOUND | Der Dateipfad wurde file-path nicht gefunden. | Transfer Family kann die Datei beim Senden der Datei nicht finden. Überprüfen Sie, ob das konfigurierte Home-Verzeichnis und der Pfad gültig sind und ob Transfer Family über Leseberechtigungen für die Datei verfügt. |
| SERVER\$1NOT\$1FOUND | Der mit der Nachricht verknüpfte Server konnte nicht gefunden werden. | Transfer Family konnte den Server beim Empfang einer Nachricht nicht finden. Dies kann passieren, wenn der Server während der Verarbeitung einer eingehenden Nachricht gelöscht wird. |
| SERVER\$1NOT\$1ONLINE | server-IDDer Server ist nicht online. | Der Transfer Family Family-Server ist offline.Starten Sie den Server, damit er Nachrichten empfangen und verarbeiten kann. |
| SIGNING\$1FAILED | Die Datei konnte nicht signiert werden. | Die zu sendende Datei ist nicht zum Signieren verfügbar, oder das Signieren konnte nicht durchgeführt werden. Stellen Sie sicher, dass sich die Datei am erwarteten AS2 Speicherort befindet und ob Sie AWS Transfer Family über die erforderlichen Rechte zum Lesen der Datei verfügen. |
| SIGNING\$1FAILED\$1NO\$1SIGNING\$1KEY\$1FOUND | Für das Profil wurde kein Zertifikat gefunden:local-profile-ID. | Es wird versucht, eine ausgehende Nachricht zu signieren, aber es wurden keine Signaturzertifikate für das lokale Profil gefunden.Lösungsoptionen:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/as2-monitoring.html) |
| UNABLE\$1RESOLVE\$1HOST\$1TO\$1IP\$1ADDRESS | Der Hostname konnte nicht in IP-Adressen aufgelöst werden. | Transfer Family kann auf dem öffentlichen DNS-Server, der im AS2 Connector konfiguriert ist, keine DNS-zu-IP-Adressauflösung durchführen. Aktualisieren Sie den Connector so, dass er auf eine gültige Partner-URL verweist. |
| UNABLE\$1TO\$1CONNECT\$1TO\$1REMOTE\$1HOST\$1OR\$1IP | Das Zeitlimit für die Verbindung zum Endpunkt wurde überschritten. | Transfer Family kann keine Socket-Verbindung zum AS2 Server des konfigurierten Partners herstellen. Stellen Sie sicher, dass der AS2 Server des Partners unter der konfigurierten IP-Adresse verfügbar ist. |
| UNABLE\$1TO\$1RESOLVE\$1HOSTNAME | Der Hostname hostname konnte nicht aufgelöst werden. | Der Transfer Family Family-Server konnte den Hostnamen des Partners mithilfe eines öffentlichen DNS-Servers nicht auflösen. Vergewissern Sie sich, dass der konfigurierte Host registriert ist und ob der DNS-Eintrag bereits veröffentlicht wurde. |
| VERIFICATION\$1FAILED | Die Signaturüberprüfung für die AS2 Nachricht ist fehlgeschlagen message-ID oder ein MIC-Code stimmte nicht überein. | Überprüfen Sie, ob das Signaturzertifikat des Absenders mit den Signaturzertifikaten für das Remote-Profil übereinstimmt. Überprüfen Sie auch, ob die MIC-Algorithmen kompatibel sind mit AWS Transfer Family. |
| VERIFICATION\$1FAILED\$1NO\$1MATCHING\$1KEY\$1FOUND | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/as2-monitoring.html) | AWS Transfer Family versucht, die Signatur für eine empfangene Nachricht zu überprüfen, aber es wurde kein passendes Signaturzertifikat für das Partnerprofil gefunden. Lösungsoptionen:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/as2-monitoring.html) |
# Überwachung des Ablaufs von Zertifikaten
AWS Transfer Family überwacht automatisch die Ablaufdaten von AS2 Zertifikaten und veröffentlicht eine CloudWatch Amazon-Metrik, mit der Sie nachverfolgen können, wann Zertifikate bald ablaufen. Auf diese Weise können Sie Zertifikatserneuerungen proaktiv verwalten und Serviceunterbrechungen vermeiden.
## DaysUntilExpiry Metrik
Wenn Sie ein Zertifikat zur AS2 Verwendung importieren, erstellt Transfer Family automatisch eine CloudWatch Metrik namens`DaysUntilExpiry`. Diese Metrik verfolgt die Anzahl der Tage, die bis zum Ablauf des Zertifikats verbleiben, basierend auf den Werten, die `InactiveDate` Sie beim Import des Zertifikats angegeben haben.
**Angaben zur Metrik:**
+ **Name der Metrik:** `DaysUntilExpiry`
+ **Namespace:** `AWS/Transfer`
+ **Abmessungen:** `CertificateId` (immer vorhanden), `Description` (falls beim Import des Zertifikats angegeben)
+ **Einheiten:** Anzahl (Tage)
+ **Häufigkeit: Wird** täglich veröffentlicht
**Wichtig**
Nach dem Import eines Zertifikats kann es bis zu einem ganzen Tag dauern, bis Transfer Family diese Metrik an Ihr Konto sendet.
Der Metrikwert sinkt jeden Tag um eins, wenn sich das Zertifikat seinem Inaktivitätsdatum nähert. Wenn ein Zertifikat beispielsweise noch 30 Tage bis zum Ablauf hat, zeigt die Metrik 30, am nächsten Tag dann 29 usw.
## Bewährte Methoden für die Zertifikatsüberwachung
Folgen Sie diesen bewährten Methoden, wenn Sie die Überwachung des Ablaufs von Zertifikaten einrichten:
+ **Legen Sie mehrere Schwellenwerte für Warnmeldungen fest:** Erstellen Sie Alarme für verschiedene Zeiträume (z. B. 30 Tage, 14 Tage und 7 Tage vor Ablauf), um ausreichend Zeit für die Verlängerung des Zertifikats zu haben.
+ **Verwenden Sie geeignete Statistiken:** Verwenden Sie die `Maximum` Statistik bei der Erstellung von Alarmen, um sicherzustellen, dass Sie den neuesten Metrikwert erfassen.
+ **Konfigurieren Sie die richtigen Alarmaktionen:** Richten Sie Benachrichtigungen ein, um die entsprechenden Teammitglieder darüber zu informieren, welche Zertifikate verlängern können.
+ **Testen Sie Ihre Benachrichtigungen:** Testen Sie Ihr Benachrichtigungssystem regelmäßig, um sicherzustellen, dass Benachrichtigungen ordnungsgemäß zugestellt werden.
+ **Dokumentieren Sie Ihren Prozess: Bewahren** Sie Unterlagen über Ihren Prozess zur Zertifikatserneuerung auf und legen Sie fest, wer für die verschiedenen Zertifikate verantwortlich ist.
## Beispiele für Alarmkonfigurationen
Hier sind einige Beispiele für Alarmkonfigurationen für verschiedene Benachrichtigungsszenarien:
### 30-tägige Ablaufwarnung
Erstellen Sie einen Alarm, der ausgelöst wird, wenn ein Zertifikat innerhalb von 30 Tagen oder weniger abläuft:
+ **Metrik:** DaysUntilExpiry
+ **Statistik:** Maximum
+ **Zeitraum:** 1 Tag
+ **Schwellenwert:** 30
+ **Vergleich:** Weniger als oder gleich dem Schwellenwert
+ Behandlung **fehlender Daten: Behandeln** Sie fehlende Daten als gut (nicht als Verletzung)
### Kritische 7-Tage-Ablaufwarnung
Erstellen Sie einen kritischen Alarm, der ausgelöst wird, wenn ein Zertifikat innerhalb von 7 Tagen oder weniger abläuft:
+ **Metrik:** DaysUntilExpiry
+ **Statistik:** Maximum
+ **Zeitraum:** 1 Tag
+ **Schwellenwert:** 7
+ **Vergleich:** Weniger als oder gleich dem Schwellenwert
+ Behandlung **fehlender Daten: Behandeln** Sie fehlende Daten als gut (nicht als Verletzung)