Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# AWS Transfer Family pour AS2
<a name="as2-for-transfer-family"></a>

La déclaration d'applicabilité 2 (AS2) est une spécification de transmission de fichiers définie par RFC qui inclut de solides mécanismes de protection et de vérification des messages. La protection d'une AS2 charge utile en transit utilise la syntaxe des messages cryptographiques (CMS) associée au chiffrement et aux signatures numériques pour assurer la protection des données et l'authentification des pairs. Une charge utile de réponse MDN (Message Disposition Notice) signée permet de vérifier (non répudiation) qu'un message a été reçu et correctement déchiffré.

Le AS2 protocole est essentiel pour les flux de travail soumis à des exigences de conformité qui reposent sur l'intégration de fonctionnalités de protection et de sécurité des données dans le protocole. AWS Transfer Family AS2 les terminaux sont [certifiés Drummond](https://aws.amazon.com/about-aws/whats-new/2023/06/aws-transfer-family-drummond-group-as2-certification/), ce qui permet aux clients de secteurs tels que le commerce de détail, les sciences de la vie, la fabrication, les services financiers et les services publics d'effectuer des transactions en toute sécurité avec leurs partenaires commerciaux.

Lorsque vous utilisez AS2 Transfer Family, les données traitées sont accessibles de manière native dans AWS les formats suivants :
+ Traitement, analyse et apprentissage automatique
+ Intégration aux systèmes de planification des ressources d'entreprise (ERP)
+ Intégration aux systèmes de gestion de la relation client (CRM)

Pour échanger des fichiers avec un partenaire doté d'un AS2 serveur compatible, vous devez :
+ Génération d'une paire de clés publique-privée pour le chiffrement
+ Générez une paire de clés publique-privée pour la signature
+ Échangez les clés publiques avec votre partenaire

**Important**  
Les points AS2 de terminaison du serveur HTTPS ne sont actuellement pas pris en charge. Vous êtes responsable de la résiliation du protocole TLS.

Transfer Family propose un atelier auquel vous pouvez participer, au cours duquel vous pouvez configurer un point de terminaison Transfer Family AS2 activé et un AS2 connecteur Transfer Family. Vous pouvez consulter les détails de cet atelier [ici](https://catalog.workshops.aws/transfer-family-as2/en-US).

Pour step-by-step obtenir des instructions de configuration AS2 dans Transfer Family, consultez les rubriques suivantes :

1. [AS2 Certificats d'importation](managing-as2-partners.md#configure-as2-certificate)

1. [Création de AS2 profils](configure-as2-profile.md)

1. [Création d'un AS2 serveur](create-as2-transfer-server.md)

1. [Création d'un AS2 accord](create-as2-transfer-server.md#as2-agreements)

1. [Configuration des AS2 connecteurs](configure-as2-connector.md)

Pour un exemple complet, voir[Configuration d'une AS2 configuration](as2-example-tutorial.md).

**Note**  
Pour montrer la prise en charge des modèles AS2 Terraform, ajoutez une réaction positive (👍) à la demande de fonctionnalité des modèles [Transfer Family Terraform](https://github.com/aws-ia/terraform-aws-transfer-family/issues/62#issue-3364703944). Vous pouvez également ajouter un commentaire décrivant votre cas d'utilisation.

## AS2 cas d'utilisation
<a name="as2-use-cases"></a>

Si vous êtes un AWS Transfer Family client qui souhaite échanger des fichiers avec un partenaire disposant d'un serveur AS2 compatible, la partie la plus complexe de la configuration consiste à générer une paire de clés publique-privée pour le chiffrement et une autre pour signer et échanger les clés publiques avec le partenaire.

![\[Schéma illustrant l'utilisation de paires de clés publiques-privées pour le chiffrement et la signature.\]](http://docs.aws.amazon.com/fr_fr/transfer/latest/userguide/images/as2-architecture-high-level.png)


Tenez compte des variantes suivantes à utiliser AWS Transfer Family avec AS2.

**Note**  
Le *partenaire commercial* est le partenaire associé à ce profil de partenaire.  
Toutes les mentions de *MDN* dans le tableau suivant sont *supposées signées* MDNs.


**AS2 cas d'utilisation**  

|  | 
| --- |
|  Cas d'utilisation entrants uniquement [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/transfer/latest/userguide/as2-for-transfer-family.html)  | 
|  Cas d'utilisation uniquement en sortie [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/transfer/latest/userguide/as2-for-transfer-family.html)  | 
|  Cas d'utilisation entrants et sortants [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/transfer/latest/userguide/as2-for-transfer-family.html)  | 

## AS2 CloudFormation modèles
<a name="as2-templates-section"></a>

Cette rubrique fournit des informations sur les AWS CloudFormation modèles que vous pouvez utiliser pour déployer rapidement des AS2 serveurs et des configurations pour lesquels AWS Transfer Family. Ces modèles automatisent le processus de configuration et vous aident à mettre en œuvre les meilleures pratiques pour les transferts de AS2 fichiers.
+ Le AS2 modèle de base est décrit dans [Utilisez un modèle pour créer une démo Transfer Family AS2 stack](create-as2-transfer-server.md#as2-cfn-demo-template)
+ Le AS2 modèle de personnalisation des en-têtes HTTP est décrit dans. [Personnalisation des en-têtes HTTP pour les messages AS2](as2-custom-http-headers.md)

### Personnalisation des modèles AS2
<a name="as2-template-customization"></a>

Vous pouvez personnaliser les modèles fournis pour répondre à vos besoins spécifiques :

1. Téléchargez le modèle depuis l'URL S3.

1. Modifiez le code YAML pour ajuster des configurations telles que :
   + Paramètres de sécurité et configurations de certificats
   + Architecture réseau et paramètres VPC
   + Options de stockage et gestion des fichiers
   + Préférences de surveillance et de notification

1. Téléchargez votre modèle modifié dans votre propre compartiment S3.

1. Déployez le modèle personnalisé à l'aide de CloudFormation la console ou AWS CLI.

**Important**  
Lorsque vous personnalisez des modèles, veillez à maintenir les dépendances entre les ressources et à suivre les meilleures pratiques en matière de sécurité.

### Tester votre AS2 déploiement
<a name="as2-template-testing"></a>

Après avoir déployé un AS2 serveur à l'aide d'un modèle, vous pouvez tester la configuration :

1. Vérifiez les sorties de la CloudFormation pile pour obtenir des exemples de commandes et des informations sur les points de terminaison.

1. Utilisez le AWS CLI pour envoyer un fichier de test :

   ```
   aws s3api put-object --bucket your-bucket-name --key test.txt --body test.txt
   aws transfer start-file-transfer --connector-id your-connector-id --send-file-paths /your-bucket-name/test.txt
   ```

1. Vérifiez la livraison des fichiers dans le compartiment S3 de destination.

1. Vérifiez les CloudWatch journaux pour vérifier la réussite du traitement et les réponses MDN.

Pour des tests plus complets, pensez à utiliser des AS2 clients tiers pour envoyer des fichiers à votre AS2 serveur Transfer Family.

### Bonnes pratiques pour le déploiement AS2 de modèles
<a name="as2-template-best-practices"></a>

Suivez ces bonnes pratiques lorsque vous utilisez AS2 CloudFormation des modèles :

Sécurité  
Utilisez des certificats fiables et alternez-les régulièrement.  
Mettez en œuvre des politiques IAM fondées sur le principe du moindre privilège.  
Limitez l'accès au réseau à l'aide de groupes de sécurité.

Fiabilité  
Déployez sur plusieurs zones de disponibilité.  
Mettez en place une surveillance et des alertes en cas d'échec des transferts.  
Configurez des tentatives automatisées en cas d'échec des transferts.

Performance  
Choisissez les types d'instances appropriés pour votre volume de transfert.  
Mettez en œuvre des politiques de cycle de vie S3 pour une gestion efficace des fichiers.  
Surveillez et optimisez les configurations réseau.

Optimisation des coûts  
Utilisez l'auto-scaling pour les charges de travail variables.  
Implémentez les classes de stockage S3 pour les anciens fichiers.  
Surveillez et ajustez les ressources en fonction de l'utilisation réelle.

# Configuration AS2
<a name="create-b2b-server"></a>

Pour créer un AS2 serveur activé, vous devez également spécifier les composants suivants :
+ **Accords** — Les *accords* bilatéraux entre partenaires commerciaux, ou partenariats, définissent la relation entre les deux parties qui échangent des messages (fichiers). Pour définir un accord, Transfer Family combine les informations relatives au serveur, au profil local, au profil du partenaire et au certificat. Transfer Family AS2 - les processus entrants utilisent des accords.
+ **Certificats — Les certificats** à *clé publique (X.509)* sont utilisés dans les AS2 communications pour le chiffrement et la vérification des messages. Les certificats sont également utilisés pour les points de terminaison des connecteurs.
+ **Profils locaux et profils de partenaires** — Un *profil local* définit l'organisation ou le « groupe » local (AS2compatible avec le serveur Transfer Family). De même, un *profil de partenaire* définit l'organisation partenaire distante, externe à Transfer Family.

**Bien que cela ne soit pas obligatoire pour tous les serveurs AS2 compatibles, vous avez besoin d'un connecteur pour les transferts sortants.** Un connecteur capture les paramètres d'une connexion sortante. Le connecteur est nécessaire pour envoyer des fichiers à un serveur externe, autre que le AWS serveur d'un client.

Le schéma suivant montre la relation entre les AS2 objets impliqués dans les processus entrants et sortants.

![\[Schéma illustrant la relation entre les AS2 objets impliqués dans les processus entrants et sortants.\]](http://docs.aws.amazon.com/fr_fr/transfer/latest/userguide/images/as2-architecture-in-out-agree-connect.png)


Pour un end-to-end exemple AS2 de configuration, voir[Configuration d'une AS2 configuration](as2-example-tutorial.md).

**Topics**
+ [AS2 configurations](#as2-supported-configurations)
+ [AS2 quotas et limites](#as2-limitations)
+ [AS2 fonctionnalités et capacités](#as2-capabilities)

## AS2 configurations
<a name="as2-supported-configurations"></a>

Cette rubrique décrit les configurations, fonctionnalités et capacités prises en charge pour les transferts utilisant le protocole Applicability Statement 2 (AS2), y compris les chiffrements et les résumés acceptés.

**Signature, chiffrement, compression, MDN**

Pour les transferts entrants et sortants, les éléments suivants sont obligatoires ou facultatifs :
+ **Chiffrement** — Obligatoire (pour le transport HTTP, qui est la seule méthode de transport actuellement prise en charge). Les messages non chiffrés ne sont acceptés que s'ils sont transférés par un proxy de terminaison TLS tel qu'un Application Load Balancer (ALB) et que l'en-tête est présent. `X-Forwarded-Proto: https`
+ **Signature** — Facultatif
+ **Compression** — Facultative (le seul algorithme de compression actuellement pris en charge est ZLIB)
+ **Avis de disposition des messages (MDN) — Facultatif**

**Chiffrements**

Les chiffrements suivants sont pris en charge pour les transferts entrants et sortants :
+ AES128\$1CBC
+ AES192\$1CBC
+ AES256\$1CBC
+ 3DES (pour la rétrocompatibilité uniquement)

**Résumés**

Les résumés suivants sont pris en charge :
+ **Signature entrante et MDN** — SHA1,,, SHA256 SHA384 SHA512
+ **Signature sortante et MDN** — SHA1,,, SHA256 SHA384 SHA512

**MDN**

Pour les réponses MDN, certains types sont pris en charge, comme suit : 
+ **Transferts entrants** : synchrones et asynchrones
+ **Transferts sortants** : synchrones uniquement
+ **Protocole de transfert de courrier simple (SMTP) (e-mail MDN)** — Non pris en charge

**Les transports**
+ **Transferts entrants** : le protocole HTTP est le seul transport actuellement pris en charge, et vous devez le spécifier explicitement.
**Note**  
Si vous devez utiliser le protocole HTTPS pour les transferts entrants, vous pouvez mettre fin au protocole TLS sur un Application Load Balancer ou un Network Load Balancer. Ceci est décrit sous [Recevoir AS2 des messages via HTTPS](send-as2-messages.md#receive-https).
+ **Transferts sortants** : si vous fournissez une URL HTTP, vous devez également spécifier un algorithme de chiffrement. Si vous fournissez une URL HTTPS, vous avez la possibilité de spécifier **NONE** pour votre algorithme de chiffrement.

## AS2 quotas et limites
<a name="as2-limitations"></a>

Cette section traite des quotas et des limites pour AS2

**Topics**
+ [AS2 quotas](#as2-quotas)
+ [Quotas pour le traitement des secrets](#as2-quotas-secrets)
+ [Limitations connues](#as2-known-limitations)

### AS2 quotas
<a name="as2-quotas"></a>

Les quotas suivants sont en place pour les transferts de AS2 fichiers. Pour demander l'augmentation d'un quota ajustable, consultez les [Service AWS quotas](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html) dans le *Références générales AWS*.


**AS2 quotas**  

| Name | Par défaut | Ajustable | 
| --- | --- | --- | 
| Nombre maximum de fichiers par demande sortante | 10 | Non | 
| Nombre maximum de demandes sortantes par seconde | 100 | Non | 
| Nombre maximum de demandes entrantes par seconde | 100 | Non | 
| Bande passante sortante maximale par compte (le SFTP sortant et les AS2 requêtes contribuent tous deux à cette valeur) | 50 Mo par seconde | Non | 

### Quotas pour le traitement des secrets
<a name="as2-quotas-secrets"></a>

AWS Transfer Family passe des appels AWS Secrets Manager au nom des AS2 clients qui utilisent l'authentification de base. Secrets Manager passe également des appels à AWS KMS.

**Note**  
Ces quotas ne sont pas spécifiques à votre utilisation des secrets pour Transfer Family : ils sont partagés entre tous les services de votre compte Compte AWS.

Pour Secrets Manager`GetSecretValue`, le quota applicable est le **taux combiné de demandes d' GetSecretValue API DescribeSecret et le taux de demande d'API**, comme décrit dans la section [AWS Secrets Manager Quotas](https://docs.aws.amazon.com/secretsmanager/latest/userguide/reference_limits.html#quotas).


**Secrets Manager `GetSecretValue`**  

| Name | Value | Description | 
| --- | --- | --- | 
| Taux combiné de demandes d' GetSecretValue API DescribeSecret et de demandes d'API | Chaque Région prise en charge : 10 000 par seconde | Le nombre maximum de transactions par seconde pour DescribeSecret les opérations GetSecretValue d'API combinées. | 

Pour AWS KMS, les quotas suivants s'appliquent à`Decrypt`. Pour plus de détails, voir [Quotas de demande pour chaque opération AWS KMS d'API](https://docs.aws.amazon.com/kms/latest/developerguide/requests-per-second.html#rps-table)


**AWS KMS `Decrypt`**  

| Nom du quota | Valeur par défaut (requêtes par seconde) | 
| --- | --- | 
|  Taux de demandes d'opérations cryptographiques (symétriques)  |  Ces quotas partagés varient en fonction de la AWS KMS clé utilisée dans la demande Région AWS et du type de clé. Chaque quota est calculé séparément. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/transfer/latest/userguide/create-b2b-server.html)  | 
|  Quotas de demandes de magasin de clés personnalisé  Ce quota ne s'applique que si vous utilisez un magasin de clés externe.   |  Les quotas de demandes de stockage de clés personnalisés sont calculés séparément pour chaque magasin de clés personnalisé. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/transfer/latest/userguide/create-b2b-server.html)  | 

### Limitations connues
<a name="as2-known-limitations"></a>
+ Le mode TCP keep-alive côté serveur n'est pas pris en charge. La connexion expire après 350 secondes d'inactivité, sauf si le client envoie des paquets de maintien en vie.
+ Pour qu'un accord actif soit accepté par le service et apparaisse dans les CloudWatch journaux Amazon, les messages doivent contenir des AS2 en-têtes valides.
+ Le serveur qui reçoit des messages de AWS Transfer Family for AS2 doit prendre en charge l'attribut de protection de l'algorithme CMS (Cryptographic Message Syntax) pour valider les signatures des messages, tel que défini dans la [RFC](https://datatracker.ietf.org/doc/html/rfc6211) 6211. Cet attribut n'est pas pris en charge dans certains anciens produits IBM Sterling.
+ Un message dupliqué IDs entraîne un message traité/Avertissement : document dupliqué.
+ La longueur de la clé pour les AS2 certificats doit être d'au moins 2 048 bits et d'au plus 4 096 bits.
+ Lorsque vous envoyez AS2 des messages ou que vous envoyez des messages de manière asynchrone MDNs au point de terminaison HTTPS d'un partenaire commercial, les messages MDNs doivent ou doivent utiliser un certificat SSL valide signé par une autorité de certification (CA) reconnue publiquement. Les certificats auto-signés ne sont actuellement pris en charge que pour les transferts sortants. 
+ Le point de terminaison doit prendre en charge le protocole TLS version 1.2 et un algorithme cryptographique autorisé par la politique de sécurité (comme décrit dans[Politiques de sécurité pour les AWS Transfer Family serveurs](security-policies.md)).
+ Les pièces jointes multiples et les messages d'échange de certificats (CEM) de AS2 la version 1.2 ne sont actuellement pas pris en charge.
+ L'authentification de base n'est actuellement prise en charge que pour les messages sortants.
+ Vous pouvez associer un flux de traitement de fichiers à un serveur Transfer Family qui utilise le AS2 protocole : toutefois, les AS2 messages n'exécutent pas les flux de travail attachés au serveur. 

## AS2 fonctionnalités et capacités
<a name="as2-capabilities"></a>

Les tableaux suivants répertorient les fonctionnalités et capacités disponibles pour les ressources Transfer Family qui les utilisent AS2.

### AS2 features
<a name="as2-features"></a>

Transfer Family propose les fonctionnalités suivantes pour AS2.


| Fonctionnalité | Soutenu par AWS Transfer Family | 
| --- |--- |
|  [Certification Drummond](https://aws.amazon.com/about-aws/whats-new/2023/06/aws-transfer-family-drummond-group-as2-certification/) | Oui | 
| [AWS CloudFormation soutien](https://docs.aws.amazon.com/transfer/latest/userguide/as2-cfn-demo-template.html)  | Oui | 
| [ CloudWatchMétriques Amazon](https://docs.aws.amazon.com/transfer/latest/userguide/as2-monitoring.html) | Oui | 
| [Algorithmes cryptographiques SHA-2](https://docs.aws.amazon.com/transfer/latest/userguide/security-policies.html#cryptographic-algorithms) | Oui | 
| Support pour Amazon S3 | Oui | 
| Prise en charge d'Amazon EFS | Non | 
| Messages planifiés | Oui 1 | 
| AWS Transfer Family Flux de travail gérés | Non | 
| Messagerie d'échange de certificats (CEM) | Non | 
| TLS mutuel (mTLS) | Non | 
| Support pour les certificats auto-signés | Oui | 

1. Messages planifiés sortants disponibles via les [AWS Lambda fonctions de planification à l'aide d'Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-run-lambda-schedule.html)

### AS2 capacités d'envoi et de réception
<a name="as2-capabilities"></a>

Le tableau suivant fournit une liste des fonctionnalités d' AWS Transfer Family AS2 envoi et de réception.


| Capacité | Entrant : réception avec le serveur | Sortant : envoi avec connecteur | 
| --- |--- |--- |
| [Transport crypté TLS (HTTPS)](send-as2-messages.md#as2-https-process) | Oui 1 | Oui | 
| Transport non TLS (HTTP) | Oui |  Oui 2  | 
| MDN synchrone | Oui | Oui | 
| Compression des messages | Oui | Oui | 
| MDN asynchrone | Oui | Non | 
| Adresse IP statique | Oui | Oui | 
| Apportez votre propre adresse IP | Oui | Non | 
| Pièces jointes multiples | Non | Non | 
| Authentification de base | Non | Oui | 
| AS2 Redémarrer | Non applicable | Non | 
| AS2 Fiabilité | Non | Non | 
| Objet personnalisé par message | Non applicable | Non | 

1. Transport crypté TLS entrant disponible avec Network Load Balancer (NLB) ou Application Load Balancer (ALB)

2. Transport sortant non TLS disponible uniquement lorsque le chiffrement est activé

# Gérer les AS2 certificats
<a name="managing-as2-partners"></a>

Cette rubrique explique comment importer et gérer AS2 des certificats. L'importation de certificats est la première étape du AS2 processus de Transfer Family.

1. Importer des certificats

1. [Création de AS2 profils](configure-as2-profile.md)

1. [Création d'un AS2 serveur](create-as2-transfer-server.md) 

1. [Création d'un AS2 accord](create-as2-transfer-server.md#as2-agreements)

1. [Configuration des AS2 connecteurs](configure-as2-connector.md)

## AS2 Certificats d'importation
<a name="configure-as2-certificate"></a>

Le AS2 processus Transfer Family utilise des clés de certificat pour le chiffrement et la signature des informations transférées. Les partenaires peuvent utiliser la même clé dans les deux cas, ou une clé distincte pour chacune d'entre elles. Si vous disposez de clés de chiffrement communes conservées sous séquestre par un tiers de confiance afin que les données puissent être déchiffrées en cas de sinistre ou de faille de sécurité, nous vous recommandons de disposer de clés de signature distinctes. En utilisant des clés de signature distinctes (que vous ne transférez pas), vous ne compromettez pas les fonctionnalités de non-répudiation de vos signatures numériques.

**Note**  
La longueur de la clé pour les AS2 certificats doit être d'au moins 2 048 bits et d'au plus 4 096 bits.

Les points suivants détaillent la manière dont les AS2 certificats sont utilisés au cours du processus.
+ Entrant AS2
  + Le partenaire commercial envoie sa clé publique pour le certificat de signature, et cette clé est importée dans le profil du partenaire.
  + La partie locale envoie la clé publique pour ses certificats de chiffrement et de signature. Le partenaire importe ensuite la ou les clés privées. La partie locale peut envoyer des clés de certificat distinctes pour la signature et le chiffrement, ou choisir d'utiliser la même clé dans les deux cas.
+ Sortant AS2
  + Le partenaire envoie la clé publique pour son certificat de chiffrement, et cette clé est importée dans le profil du partenaire.
  + La partie locale envoie la clé publique du certificat à signer et importe la clé privée du certificat à signer.
  + Si vous utilisez le protocole HTTPS, vous pouvez importer un certificat TLS (Transport Layer Security) auto-signé.

Pour plus de détails sur la création de certificats, consultez[Étape 1 : créer des certificats pour AS2](as2-example-tutorial.md#as2-create-certs).

Cette procédure explique comment importer des certificats à l'aide de la console Transfer Family. Si vous souhaitez utiliser le à la AWS CLI place, consultez[Étape 2 : Importer des certificats en tant que ressources de certificats Transfer Family](as2-example-tutorial.md#as2-import-certs-example).

**Pour spécifier un AS2 certificat activé**

1. Ouvrez la AWS Transfer Family console à l'adresse [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/). 

1. Dans le volet de navigation de gauche, sous **Partenaires AS2 commerciaux**, sélectionnez **Certificats**.

1. Sélectionnez **Importer un certificat**.

1. Dans la section **Configuration du certificat**, pour **Description du certificat**, entrez un nom facilement identifiable pour le certificat. Assurez-vous de pouvoir identifier l'objectif du certificat grâce à sa description. Choisissez également le rôle du certificat. 

1. Dans la section **Utilisation du certificat**, choisissez l'objectif de ce certificat. Il peut être utilisé pour le chiffrement, la signature ou les deux.

   **Conseil :** Si vous choisissez le **chiffrement et la signature** pour l'utilisation, Transfer Family crée deux certificats identiques (chacun ayant son propre identifiant) : l'un avec une valeur d'utilisation de `ENCRYPTION` et l'autre avec une valeur d'utilisation de`SIGNING`.

1. Dans la section **Contenu du certificat**, fournissez un certificat public d'un partenaire commercial ou les clés publiques et privées d'un certificat local.

   Renseignez la section **Contenu du certificat** avec les informations appropriées.
   + Si vous choisissez **Certificat auto-signé**, vous ne fournissez pas la chaîne de certificats.
   + Collez le texte du certificat et sa chaîne dans le champ **Certificat et chaîne** de certificats.
   + S'il s'agit d'un certificat local, collez sa clé privée.

1. Choisissez **Importer le certificat** pour terminer le processus et enregistrer les détails du certificat importé.

**Note**  
Les certificats TLS ne peuvent être importés qu'en tant que certificats publics d'un partenaire. Si vous sélectionnez le **certificat public d'un partenaire**, puis que vous sélectionnez **Transport Layer Security (TLS)** pour l'utilisation, vous recevez un avertissement. En outre, les certificats TLS doivent être auto-signés (c'est-à-dire que vous devez sélectionner Certificat **autosigné pour importer un certificat** TLS).

## AS2 rotation des certificats
<a name="as2-certificate-rotation"></a>

Souvent, les certificats sont valides pour une période de six mois à un an. Vous avez peut-être configuré des profils que vous souhaitez conserver plus longtemps. Pour faciliter cela, Transfer Family propose une rotation des certificats. Vous pouvez spécifier plusieurs certificats pour un profil, ce qui vous permet de continuer à utiliser le profil pendant plusieurs années. Transfer Family utilise des certificats pour la signature (facultatif) et le chiffrement (obligatoire). Vous pouvez spécifier un seul certificat pour les deux objectifs, si vous le souhaitez.

La rotation des certificats consiste à remplacer un ancien certificat expirant par un certificat plus récent. La transition est progressive afin d'éviter de perturber les transferts lorsqu'un partenaire de l'accord n'a pas encore configuré de nouveau certificat pour les transferts sortants ou pourrait envoyer des charges utiles signées ou chiffrées avec un ancien certificat alors qu'un certificat plus récent pourrait également être utilisé. La période intermédiaire pendant laquelle les anciens et les nouveaux certificats sont valides est appelée *période de grâce*.

Les certificats X.509 ont `Not Before` et `Not After` datent. Toutefois, il est possible que ces paramètres ne fournissent pas un contrôle suffisant aux administrateurs. Transfer Family fournit `Active Date` des `Inactive Date` paramètres permettant de contrôler quel certificat est utilisé pour les charges utiles sortantes et lequel est accepté pour les charges utiles entrantes.

### Surveillance de l'expiration des certificats
<a name="as2-certificate-expiry-monitoring"></a>

Transfer Family publie une CloudWatch métrique Amazon `DaysUntilExpiry` après avoir importé un certificat. La métrique émet le nombre de jours entre la date actuelle et la date spécifiée `InactiveDate` sur le certificat. La métrique se trouve sous l'espace de `Transfer` AWS noms dans le tableau de bord des CloudWatch métriques.

Cette métrique comportera toujours une dimension métrique pour **CertificateId**et inclura éventuellement une dimension de **description** si le client l'indique sur le certificat. Pour plus d'informations sur les dimensions CloudWatch métriques, consultez [Dimension](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_Dimension.html) dans la *référence de l'CloudWatch API*.

**Note**  
L'importation d'un certificat peut prendre jusqu'à une journée complète pour que Transfer Family émette cette métrique sur le compte client.

Vous pouvez utiliser cette métrique pour créer des CloudWatch alarmes qui vous avertissent lorsque les certificats approchent de l'expiration.

La sélection des certificats sortants utilise la valeur maximale antérieure à la date du transfert en tant `Inactive Date` que. Les processus entrants acceptent les certificats compris entre `Active Date` et`Inactive Date`. `Not Before` `Not After`

### Exemple de rotation de certificats
<a name="as2-cert-rotate-example"></a>

Le tableau suivant décrit une méthode possible pour configurer deux certificats pour un même profil.


**Deux certificats en rotation**  

| Nom | NOT BEFORE(contrôlé par l'autorité de certification) | ACTIVE DATE(défini par Transfer Family) | INACTIVE DATE(défini par Transfer Family) | NOT AFTER(défini par l'autorité de certification) | 
| --- | --- | --- | --- | --- | 
| Cert1 (ancien certificat) | 2019-11-01 | 01/01/2020 | 31 décembre 2020 | 01/01/2021 | 
| Cert2 (certificat plus récent) | 2020-11-01 | 2020-06-01 | 01-06-2021 | 01/01/2025 | 

 Notez ce qui suit : 
+ Lorsque vous spécifiez un `Active Date` et `Inactive Date` pour un certificat, la plage doit être comprise entre `Not Before` et`Not After`.
+ Nous vous recommandons de configurer plusieurs certificats pour chaque profil, en vous assurant que la plage de dates d'activité de tous les certificats combinés couvre la durée pendant laquelle vous souhaitez utiliser le profil.
+ Nous vous recommandons de spécifier un délai de grâce entre le moment où votre ancien certificat devient inactif et le moment où votre nouveau certificat devient actif. Dans l'exemple précédent, le premier certificat ne devient inactif qu'au 31 décembre 2020, tandis que le second devient actif le 01/06/2020, offrant une période de grâce de 6 mois. Pendant la période allant du 01/06/2020 au 31/12/2020, les deux certificats sont actifs.

# Création de AS2 profils
<a name="configure-as2-profile"></a>

Cette rubrique explique comment créer des profils à utiliser dans le AS2 cadre du processus. Un *profil local* définit l'organisation ou le « groupe » local (avec un serveur Transfer Family AS2 activé). De même, un *profil de partenaire* définit l'organisation partenaire distante, externe à Transfer Family.

1. [AS2 Certificats d'importation](managing-as2-partners.md#configure-as2-certificate)

1. Création de AS2 profils

1. [Création d'un AS2 serveur](create-as2-transfer-server.md) 

1. [Création d'un AS2 accord](create-as2-transfer-server.md#as2-agreements)

1. [Configuration des AS2 connecteurs](configure-as2-connector.md)

Utilisez cette procédure pour créer des profils locaux et partenaires. Cette procédure explique comment créer des AS2 profils à l'aide de la console Transfer Family. Si vous souhaitez utiliser le à la AWS CLI place, consultez[Étape 3 : Créez des profils pour vous et votre partenaire commercial](as2-example-tutorial.md#as2-create-profiles-example).

**Pour créer un AS2 profil**

1. Ouvrez la AWS Transfer Family console à l'adresse [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).

1. Dans le volet de navigation de gauche, sous **Partenaires AS2 commerciaux**, sélectionnez **Profils**, puis **Créer un profil**.

1. Dans la section **Configuration du profil**, entrez l' AS2 ID du profil. Cette valeur est utilisée pour les en-têtes HTTP AS2 spécifiques au protocole `as2-from` et `as2-to` pour identifier le partenariat commercial, qui détermine les certificats à utiliser, etc.

1. Dans la section **Type de profil**, sélectionnez **Profil local** ou **Profil partenaire**.

1. Dans la section **Certificats**, choisissez un ou plusieurs certificats dans le menu déroulant.

   **Conseil :** Si vous souhaitez importer un certificat qui ne figure pas dans le menu déroulant, sélectionnez **Importer un nouveau certificat**. Cela ouvre une nouvelle fenêtre de navigateur sur l'écran **Importer le certificat**. Pour la procédure d'importation de certificats, voir[AS2 Certificats d'importation](managing-as2-partners.md#configure-as2-certificate).

1. (Facultatif) Dans la section **Tags**, spécifiez une ou plusieurs paires clé-valeur pour aider à identifier ce profil.

1. Choisissez **Créer un profil** pour terminer le processus et enregistrer le nouveau profil.

# Création d'un AS2 serveur
<a name="create-as2-transfer-server"></a>

Cette rubrique fournit des instructions pour créer un AS2 serveur Transfer Family compatible, à l'aide de la console ou d'un CloudFormation modèle. Pour un end-to-end exemple AS2 de configuration, voir[Configuration d'une AS2 configuration](as2-example-tutorial.md). Après avoir créé un AS2 serveur, vous pouvez y ajouter un accord. 

1. [AS2 Certificats d'importation](managing-as2-partners.md#configure-as2-certificate)

1. [Création de AS2 profils](configure-as2-profile.md)

1. Création d'un AS2 serveur

1. [Création d'un AS2 accord](#as2-agreements)

1. [Configuration des AS2 connecteurs](configure-as2-connector.md)

**Topics**
+ [Création d'un AS2 serveur à l'aide de la console Transfer Family](#create-server-as2-console)
+ [Utilisez un modèle pour créer une démo Transfer Family AS2 stack](#as2-cfn-demo-template)
+ [Création d'un AS2 accord](#as2-agreements)

## Création d'un AS2 serveur à l'aide de la console Transfer Family
<a name="create-server-as2-console"></a>

Cette procédure explique comment créer un serveur AS2 compatible à l'aide de la console Transfer Family. Si vous souhaitez utiliser le à la AWS CLI place, consultez[Étape 4 : Création d'un serveur Transfer Family utilisant le AS2 protocole](as2-example-tutorial.md#as2-example-server).

**Note**  
Vous pouvez associer un flux de traitement de fichiers à un serveur Transfer Family qui utilise le AS2 protocole : toutefois, les AS2 messages n'exécutent pas les flux de travail attachés au serveur. 

**Pour créer un AS2 serveur activé**

1. Ouvrez la AWS Transfer Family console à l'adresse [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).

1. Dans le volet de navigation de gauche, choisissez **Servers**, puis **Create server**.

1. Sur la page **Choisir des protocoles**, sélectionnez **AS2(Déclaration d'applicabilité 2)**, puis cliquez sur **Suivant**.

1. Sur la page **Choisir un fournisseur d'identité**, sélectionnez **Suivant**.
**Note**  
En effet AS2, vous ne pouvez pas choisir de fournisseur d'identité car l'authentification de base n'est pas prise en charge par le AS2 protocole. Au lieu de cela, vous contrôlez l'accès par le biais de groupes de sécurité du cloud privé virtuel (VPC).

1. Sur la page **Choisir un point de terminaison**, procédez comme suit :  
![\[Capture d'écran de la console montrant la page Choisir un point de terminaison avec hébergement VPC sélectionnée.\]](http://docs.aws.amazon.com/fr_fr/transfer/latest/userguide/images/create-server-choose-endpoint-vpc-internal.png)

   1. Pour le **type de point de terminaison**, choisissez **VPC hébergé** pour héberger le point de terminaison de votre serveur. Pour plus d'informations sur la configuration de votre point de terminaison hébergé par VPC, consultez. [Création d'un serveur dans un cloud privé virtuel](create-server-in-vpc.md)
**Note**  
Les points de terminaison accessibles au public ne sont pas pris en charge par le AS2 protocole. Pour rendre votre point de terminaison VPC accessible via Internet, choisissez **Internet Facing** sous **Accès**, puis indiquez vos adresses IP élastiques. 

   1. Pour **Access**, choisissez l'une des options suivantes :
      + **Interne** : choisissez cette option pour fournir un accès depuis votre VPC et vos environnements connectés au VPC, tels qu'un centre de données sur site ou un VPN. Direct Connect 
      + Accès **à Internet** : choisissez cette option pour fournir un accès via Internet et depuis votre VPC et vos environnements connectés au VPC, tels qu'un centre de données sur site ou un VPN. Direct Connect 

        Si vous choisissez **Internet Facing**, indiquez vos adresses IP élastiques lorsque vous y êtes invité.

   1. Pour le **VPC**, choisissez un VPC existant ou choisissez Create VPC pour créer un **nouveau VPC**.

   1. Pour **FIPS Enabled**, laissez la case **FIPS Enabled Endpoint** cochée.
**Note**  
Les points de terminaison compatibles FIPS ne sont pas pris en charge par le protocole. AS2

   1. Choisissez **Suivant**.

1. Sur la page **Choisissez un domaine**, choisissez **Amazon S3** pour stocker et accéder à vos fichiers sous forme d'objets en utilisant le protocole sélectionné.

   Choisissez **Suivant**.

1. Sur la page **Configurer les détails supplémentaires**, choisissez les paramètres dont vous avez besoin.
**Note**  
Si vous configurez d'autres protocoles en même temps AS2, tous les paramètres de détail supplémentaires s'appliquent. Toutefois, pour le AS2 protocole, les seuls paramètres applicables sont ceux des sections de **CloudWatch journalisation** et de **balises**.  
Même si la configuration d'un rôle de CloudWatch journalisation est facultative, nous vous recommandons vivement de le configurer afin que vous puissiez voir l'état de vos messages et résoudre les problèmes de configuration.

1. Sur la page **Réviser et créer**, passez en revue vos choix pour vous assurer qu'ils sont corrects.
   + Si vous souhaitez modifier l'un de vos paramètres, choisissez **Modifier** à côté de l'étape que vous souhaitez modifier.
**Note**  
Si vous modifiez une étape, nous vous recommandons de passer en revue chaque étape après celle que vous avez choisi de modifier.
   + Si aucune modification n'est apportée, choisissez **Create server** pour créer votre serveur. Vous êtes dirigé vers la page **Servers (Serveurs)**, représentée ci-dessous, dans laquelle figure votre nouveau serveur.

     Plusieurs minutes peuvent s'écouler avant que le statut de votre nouveau serveur passe à **En ligne**. À ce stade, votre serveur peut effectuer des opérations sur fichiers pour vos utilisateurs.

## Utilisez un modèle pour créer une démo Transfer Family AS2 stack
<a name="as2-cfn-demo-template"></a>

Nous fournissons un CloudFormation modèle autonome pour créer rapidement un AS2 serveur Transfer Family compatible. Le modèle configure le serveur avec un point de terminaison Amazon VPC public, des certificats, des profils locaux et partenaires, un accord et un connecteur.

Le modèle de AS2 serveur de base crée les ressources suivantes :
+ Un AS2 serveur Transfer Family compatible avec un point de terminaison VPC
+  AS2 Profils locaux et partenaires avec certificats
+ Un accord entre les profils
+ Un compartiment Amazon S3 pour le stockage de fichiers
+ Rôles et politiques IAM requis
+ CloudWatch configuration de journalisation

 Avant d'utiliser ce modèle, prenez note des points suivants :
+ Si vous créez une pile à partir de ce modèle, les AWS ressources utilisées vous seront facturées.
+ Le modèle crée plusieurs certificats et les place pour les AWS Secrets Manager stocker en toute sécurité. Vous pouvez supprimer ces certificats de Secrets Manager si vous le souhaitez, car l'utilisation de ce service vous est facturée. La suppression de ces certificats dans Secrets Manager ne les supprime pas du serveur Transfer Family. Par conséquent, la fonctionnalité de la pile de démonstration n'est pas affectée. Toutefois, pour les certificats que vous allez utiliser avec un AS2 serveur de production, vous pouvez utiliser Secrets Manager pour gérer et alterner régulièrement vos certificats stockés.
+ Nous vous recommandons d'utiliser le modèle uniquement comme base, et principalement à des fins de démonstration. Si vous souhaitez utiliser cette pile de démonstration en production, nous vous recommandons de modifier le code YAML du modèle pour créer une pile plus robuste. Par exemple, créez des certificats au niveau de la production et créez une AWS Lambda fonction que vous pouvez utiliser en production.

**Pour créer un AS2 serveur Transfer Family compatible à partir d'un modèle CloudFormation**

1. Ouvrez la CloudFormation console à l'adresse [https://console.aws.amazon.com/cloudformation.](https://console.aws.amazon.com/cloudformation/)

1. Dans le volet de navigation de gauche, choisissez **Stacks (Piles)**.

1. Choisissez **Créer une pile**, puis choisissez **Avec de nouvelles ressources (standard).** 

1. Dans la section **Prérequis - Préparer le modèle**, **choisissez Choisir un modèle existant**. 

1. Copiez ce lien, [modèle de AS2 démonstration](https://s3.amazonaws.com/aws-transfer-resources/as2-templates/aws-transfer-as2-basic.template.yml), et collez-le dans le champ **URL d'Amazon S3**. 

1. Choisissez **Suivant**. 

1. Sur la page **Spécifier les détails de la pile**, nommez votre pile, puis spécifiez les paramètres suivants : 
   + Sous **AS2**, entrez des valeurs pour l'** AS2identifiant local** et l'** AS2 identifiant du partenaire**, ou acceptez les valeurs par défaut, `local` et`partner`, respectivement. 
   + Sous **Réseau**, entrez une valeur pour l'adresse **IP CIDR d'entrée du groupe de sécurité**, ou acceptez la valeur par défaut. `0.0.0.0/0` 
**Note**  
Cette valeur, au format CIDR, indique quelles adresses IP sont autorisées pour le trafic entrant sur le AS2 serveur. La valeur par défaut autorise toutes les adresses IP. `0.0.0.0/0`
   + Sous **Général**, entrez une valeur pour le **préfixe** ou acceptez la valeur par défaut. `transfer-as2` Ce préfixe est placé avant tous les noms de ressources créés par la pile. Par exemple, si vous utilisez le préfixe par défaut, votre compartiment Amazon S3 est nommé`transfer-as2-amzn-s3-demo-bucket`. 

1. Choisissez **Suivant**. Sur la page **Configurer les options de pile**, sélectionnez à nouveau **Next**. 

1. Passez en revue les détails de la pile que vous créez, puis choisissez **Create stack**. 
**Note**  
Au bas de la page, sous **Fonctionnalités**, vous devez reconnaître que cela CloudFormation peut créer des ressources Gestion des identités et des accès AWS (IAM). 

Une fois la pile créée, vous pouvez envoyer un AS2 message de test du serveur partenaire à votre serveur Transfer Family local en utilisant le AWS Command Line Interface (AWS CLI). Un exemple de AWS CLI commande pour envoyer un message de test est créé avec toutes les autres ressources de la pile. 

Pour utiliser cet exemple de commande, allez dans l'onglet **Sorties** de votre pile et copiez la **TransferExampleAs2Command**. Vous pouvez ensuite exécuter la commande en utilisant le AWS CLI. Si vous ne l'avez pas encore installé AWS CLI, consultez la section [Installation ou mise à jour de la AWS CLI dernière version du](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) *Guide de l'AWS Command Line Interface utilisateur*. 

L'exemple de commande a le format suivant :

```
aws s3api put-object --bucket amzn-s3-demo-bucket --key test.txt && aws transfer start-file-transfer --region aws-region --connector-id TransferConnectorId --send-file-paths /amzn-s3-demo-bucket/test.txt
```

**Note**  
Votre version de cette commande contient les valeurs réelles des `TransferConnectorId` ressources `amzn-s3-demo-bucket` et de votre pile.

Cet exemple de commande se compose de deux commandes distinctes qui sont enchaînées à l'aide de la `&&` chaîne. 

La première commande crée un nouveau fichier texte vide dans votre compartiment :

```
aws s3api put-object --bucket amzn-s3-demo-bucket --key test.txt
```

Ensuite, la deuxième commande utilise le connecteur pour envoyer le fichier du profil partenaire vers le profil local. Le serveur Transfer Family dispose d'un accord qui permet au profil local d'accepter les messages du profil du partenaire.

```
aws transfer start-file-transfer --region aws-region --connector-id TransferConnectorId --send-file-paths /amzn-s3-demo-bucket/test.txt
```

Après avoir exécuté la commande, vous pouvez accéder à votre compartiment Amazon S3 (`amzn-s3-demo-bucket`) et en consulter le contenu. Si la commande aboutit, vous devriez voir apparaître les objets suivants dans votre compartiment :
+ `processed/`— Ce dossier contient un fichier JSON qui décrit le fichier transféré et la réponse MDN.
+ `processing/`— Ce dossier contient temporairement des fichiers en cours de traitement, mais une fois le transfert terminé, ce dossier devrait être vide.
+ `server-id/`— Ce dossier est nommé en fonction de votre identifiant de serveur Transfer Family. Il contient `from-partner` (ce dossier est nommé dynamiquement, en fonction de l' AS2 identifiant du partenaire), qui contient lui-même `failed/``processed/`, et `processing/` des dossiers. Le `/server-id/from-partner/processed/` dossier contient une copie du fichier texte transféré, ainsi que les fichiers JSON et MDN correspondants.
+ `test.txt`— Cet objet est le fichier (vide) qui a été transféré.

## Création d'un AS2 accord
<a name="as2-agreements"></a>

Les accords sont associés aux serveurs Transfer Family. Ils précisent les détails pour les partenaires commerciaux qui utilisent le AS2 protocole pour échanger des messages ou des fichiers à l'aide de Transfer Family, pour les transferts *entrants*, c'est-à-dire l'envoi de AS2 fichiers depuis une source externe appartenant au partenaire vers un serveur Transfer Family.

Cette procédure explique comment créer des AS2 accords à l'aide de la console Transfer Family. Si vous souhaitez utiliser le à la AWS CLI place, consultez[Étape 5 : Créez un accord entre vous et votre partenaire](as2-example-tutorial.md#as2-create-agreement-example).

**Pour créer un accord pour un serveur Transfer Family**

1. Ouvrez la AWS Transfer Family console à l'adresse [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).

1. Dans le volet de navigation de gauche, choisissez **Servers**, puis choisissez un serveur qui utilise le AS2 protocole.

   Sinon, tant que vous disposez d'au moins un serveur Transfer Family qui utilise le AS2 protocole, sélectionnez **Agreements pour recevoir des messages** dans le menu **AS2 Trading Partners**. Ensuite, dans l'écran **Créer un accord**, sélectionnez le AS2 serveur auquel vous souhaitez associer cet accord.

1. Sur la page des détails du serveur, faites défiler la page vers le bas jusqu'à la section **Accords**.

1. Choisissez **Ajouter un accord**.

1. Renseignez les paramètres de l'accord comme suit :

   1. Dans la section **Configuration de l'accord**, entrez un nom descriptif. Assurez-vous de pouvoir identifier le but de l'accord par son nom. Définissez également le **statut** de l'accord : **actif** (sélectionné par défaut) ou **inactif**.

   1. Dans la section **Configuration des communications**, choisissez un profil local et un profil partenaire. Choisissez également d'appliquer ou non la signature des messages.
      + Par défaut, **Enforce la signature des messages** est activée, ce qui signifie que Transfer Family rejette les messages non signés de votre partenaire commercial concernant cet accord.
      + Désactivez ce paramètre pour autoriser Transfer Family à accepter les messages non signés de votre partenaire commercial dans le cadre de cet accord.

   1. Dans la section **Configuration du répertoire de la boîte** de réception, fournissez les informations suivantes.
      + Déterminez s'il faut sélectionner **Spécifier des répertoires distincts pour stocker vos AS2 messages, vos fichiers MDN et vos fichiers d'état JSON**.
        + Si vous sélectionnez cette option, vous spécifiez des emplacements distincts pour les fichiers de charge utile, les fichiers ayant échoué, les fichiers MDN, les fichiers d'état et les fichiers temporaires.
        + Si vous désactivez cette option, tous les AS2 fichiers sont placés dans l'emplacement que vous avez indiqué pour votre répertoire de base.
      + Pour le **compartiment S3**, choisissez un compartiment Amazon S3.
      + Dans **Préfixe**, vous pouvez saisir un préfixe (dossier) à utiliser pour stocker les fichiers dans le compartiment.

        Par exemple, si vous entrez **amzn-s3-demo-bucket** votre bucket et **incoming** votre préfixe, vos AS2 fichiers sont enregistrés `/amzn-s3-demo-bucket/incoming` dans le dossier.
      + Pour le **rôle AWS IAM**, choisissez un rôle qui peut accéder au compartiment que vous avez spécifié.
      + Pour **Conserver le nom de fichier**, indiquez si vous souhaitez conserver les noms de fichiers d'origine pour les charges utiles des AS2 messages entrants.
        + Si vous sélectionnez ce paramètre, le nom de fichier fourni par votre partenaire commercial est conservé lors de son enregistrement dans Amazon S3.
        + Si vous désactivez ce paramètre, lorsque Transfer Family enregistre le fichier, le nom du fichier est ajusté, comme décrit dans[Noms et emplacements des fichiers](send-as2-messages.md#file-names-as2).

   1. (Facultatif) Ajoutez des balises dans la section **Tags**.

   1. Après avoir saisi toutes les informations relatives à l'accord, choisissez **Créer un accord**.

Le nouvel accord apparaît dans la section **Accords** de la page de détails du serveur.

# Configuration des AS2 connecteurs
<a name="configure-as2-connector"></a>

L'objectif d'un connecteur est d'établir une relation entre les partenaires commerciaux pour les transferts *sortants*, en envoyant des AS2 fichiers depuis un serveur Transfer Family vers une destination externe appartenant au partenaire. Pour le connecteur, vous spécifiez la partie locale, le partenaire distant et leurs certificats (en créant des profils locaux et partenaires).

Une fois le connecteur en place, vous pouvez transférer des informations à vos partenaires commerciaux. Trois adresses IP statiques sont attribuées à chaque AS2 serveur. AS2 les connecteurs utilisent ces adresses IP pour envoyer des messages asynchrones MDNs à vos partenaires commerciaux. AS2

**Note**  
La taille du message reçu par un partenaire commercial ne correspondra pas à la taille de l'objet dans Amazon S3. Cette différence est due au fait que le AS2 message enveloppe le fichier dans une enveloppe avant de l'envoyer. La taille du fichier peut donc augmenter, même si le fichier est envoyé avec compression. Par conséquent, assurez-vous que la taille maximale du fichier du partenaire commercial est supérieure à celle du fichier que vous envoyez.

1. [AS2 Certificats d'importation](managing-as2-partners.md#configure-as2-certificate)

1. [Création de AS2 profils](configure-as2-profile.md)

1. [Création d'un AS2 serveur](create-as2-transfer-server.md)

1. [Création d'un AS2 accord](create-as2-transfer-server.md#as2-agreements)

1. Création d'un AS2 connecteur

## Création d'un AS2 connecteur
<a name="create-as2-connector"></a>

Cette procédure explique comment créer des AS2 connecteurs à l'aide de la AWS Transfer Family console. Si vous souhaitez utiliser le à la AWS CLI place, consultez[Étape 6 : Créez un lien entre vous et votre partenaire](as2-example-tutorial.md#as2-create-connector-example).

**Pour créer un AS2 connecteur**

1. Ouvrez la AWS Transfer Family console à l'adresse [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).

1. Dans le volet de navigation de gauche, choisissez **Connecteurs pour envoyer des messages**, dans le menu **Partenaires AS2 commerciaux**, puis choisissez **Créer un AS2 connecteur**.

1. Dans la section **Configuration du connecteur**, spécifiez les informations suivantes :
   + **URL** — Entrez l'URL des connexions sortantes.
   + **Rôle d'accès** : choisissez le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) à utiliser. Assurez-vous que ce rôle fournit un accès en lecture et en écriture au répertoire parent de l'emplacement du fichier utilisé dans la `StartFileTransfer` demande. Assurez-vous également que le rôle fournit un accès en lecture et en écriture au répertoire parent des fichiers que vous souhaitez envoyer`StartFileTransfer`.
**Note**  
Si vous utilisez l'authentification de base pour votre connecteur, le rôle d'accès nécessite l'`secretsmanager:GetSecretValue`autorisation d'accès au secret. Si le secret est chiffré à l'aide d'une clé gérée par le client au lieu de la Clé gérée par AWS clé d'entrée AWS Secrets Manager, le rôle doit également disposer de l'`kms:Decrypt`autorisation pour cette clé. Si vous nommez votre secret avec le préfixe`aws/transfer/`, vous pouvez ajouter l'autorisation nécessaire avec un caractère générique (`*`), comme indiqué dans [Exemple d'autorisation pour créer des](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_examples.html#auth-and-access_examples_wildcard) secrets.
   + **Rôle de journalisation** (facultatif) — Choisissez le rôle IAM que le connecteur doit utiliser pour transférer des événements vers vos CloudWatch journaux.

1. Dans la section **AS2 de configuration**, choisissez les profils local et partenaire, les algorithmes de chiffrement et de signature, et indiquez si vous souhaitez compresser les informations transférées. Notez ce qui suit :
   + Le paramètre **Preserve S3 Content-Type** est activé par défaut.

     Lorsque `Content-Type` cette option est définie, Transfer Family utilise l'Amazon S3 associé aux objets dans S3 au lieu de faire mapper le type de contenu en fonction de l'extension de fichier. Désactivez ce paramètre si vous souhaitez que le service mappe le type de contenu de vos AS2 messages en fonction de l'extension de fichier, plutôt que d'utiliser le type de contenu de l'objet S3.
   + Pour l'algorithme de chiffrement, ne le choisissez `DES_EDE3_CBC` que si vous devez prendre en charge un ancien client qui en a besoin, car il s'agit d'un algorithme de chiffrement faible.
   + L'**objet** est utilisé comme attribut d'en-tête `subject` HTTP dans les AS2 messages envoyés avec le connecteur.
   + Si vous choisissez de créer un connecteur sans algorithme de chiffrement, vous devez `HTTPS` le spécifier comme protocole.

1. Dans la section **Authentification de base**, spécifiez les informations suivantes.
   + Pour envoyer des informations d'identification ainsi que des messages sortants, sélectionnez **Activer l'authentification de base**. Si vous ne souhaitez pas envoyer d'informations d'identification avec les messages sortants, laissez la case **Activer l'authentification de base** désactivée.
   + Si vous utilisez l'authentification, choisissez ou créez un secret.
     + Pour créer un nouveau secret, choisissez **Créer un nouveau secret**, puis entrez un nom d'utilisateur et un mot de passe. Ces informations d'identification doivent correspondre à l'utilisateur qui se connecte au point de terminaison du partenaire.  
![\[La page Créer un connecteur dans la AWS Transfer Family console, qui affiche la section Authentification de base avec l'option Créer un nouveau secret choisie.\]](http://docs.aws.amazon.com/fr_fr/transfer/latest/userguide/images/as2-basic-auth-create-secret.png)
     + Pour utiliser un secret existant, **choisissez Choisir un secret existant**, puis choisissez un secret dans le menu déroulant. Pour en savoir plus sur la création d'un secret correctement formaté dans Secrets Manager, consultez[Activer l'authentification de base pour les AS2 connecteurs](#as2-secret-create).  
![\[La page Créer un connecteur dans la AWS Transfer Family console, qui affiche la section Authentification de base avec l'option Choisir un secret existant.\]](http://docs.aws.amazon.com/fr_fr/transfer/latest/userguide/images/as2-basic-auth-select-secret.png)

1. Dans la section de **configuration MDN**, spécifiez les informations suivantes :
   + **Demander un MDN** — Vous avez la possibilité de demander à votre partenaire commercial de vous envoyer un MDN après avoir reçu votre message avec succès. AS2
   + **MDN signé** — Vous avez la possibilité d'exiger qu'il MDNs soit signé. Cette option n'est disponible que si vous avez sélectionné **Request MDN.**

1. Après avoir confirmé tous vos paramètres, choisissez **Create AS2 connector** pour créer le connecteur.

La page **Connecteurs** apparaît, avec l'ID de votre nouveau connecteur ajouté à la liste. Pour consulter les détails de vos connecteurs, consultez[Afficher les détails AS2 du connecteur](#connectors-view-info).

## AS2 algorithmes de connexion
<a name="as2-connectors-details"></a>

Lorsque vous créez un AS2 connecteur, les algorithmes de sécurité suivants sont attachés au connecteur.


| Type | Algorithm | 
| --- | --- | 
| Chiffre TLS | TLS\$1ECDHE\$1ECDSA\$1AVEC\$1AES\$1128\$1GCM\$1 SHA256 TLS\$1ECDHE\$1RSA\$1WITH\$1AES\$1128\$1GCM\$1 SHA256 TLS\$1ECDHE\$1ECDSA\$1WITH\$1AES\$1128\$1CBC\$1 SHA256 TLS\$1ECDHE\$1RSA\$1WITH\$1AES\$1128\$1CBC\$1 SHA256 TLS\$1ECDHE\$1ECDSA\$1WITH\$1AES\$1256\$1GCM\$1 SHA384 TLS\$1ECDHE\$1RSA\$1WITH\$1AES\$1256\$1GCM\$1 SHA384 TLS\$1ECDHE\$1ECDSA\$1WITH\$1AES\$1256\$1CBC\$1 SHA384 TLS\$1ECDHE\$1RSA\$1WITH\$1AES\$1256\$1CBC\$1 SHA384 | 

## Authentification de base pour les AS2 connecteurs
<a name="as2-basic-auth"></a>

Lorsque vous créez ou mettez à jour un serveur Transfer Family qui utilise le AS2 protocole, vous pouvez ajouter l'authentification de base pour les messages sortants. Pour ce faire, ajoutez des informations d'authentification à un connecteur.

**Note**  
L'authentification de base n'est disponible que si vous utilisez le protocole HTTPS.

Pour utiliser l'authentification pour votre connecteur, sélectionnez **Activer l'authentification de base** dans la section **Authentification de base**. Après avoir activé l'authentification de base, vous pouvez choisir de créer un nouveau secret ou d'utiliser un secret existant. Dans les deux cas, les informations d'identification contenues dans le secret sont envoyées avec les messages sortants qui utilisent ce connecteur. Les informations d'identification doivent correspondre à celles de l'utilisateur qui tente de se connecter au point de terminaison distant du partenaire commercial.

La capture d'écran suivante montre l'option **Activer l'authentification de base** sélectionnée et la sélection **Créer un nouveau secret**. Après avoir fait ces choix, vous pouvez saisir un nom d'utilisateur et un mot de passe pour le secret. 

![\[La page Connecteurs de la console Transfer Family, qui affiche les informations d'authentification des messages pour votre connecteur. Dans ce cas, l'option Activer l'authentification de base est sélectionnée et l'option Créer un nouveau secret est sélectionnée.\]](http://docs.aws.amazon.com/fr_fr/transfer/latest/userguide/images/as2-basic-auth-create-secret.png)


La capture d'écran suivante montre l'option **Activer l'authentification de base** sélectionnée **et la sélection d'un secret existant**. Votre secret doit être au bon format, comme décrit dans[Activer l'authentification de base pour les AS2 connecteurs](#as2-secret-create).

![\[La page Connecteurs de la console Transfer Family, qui affiche les informations d'authentification des messages pour votre connecteur. Dans ce cas, l'option Activer l'authentification de base est sélectionnée et l'option Choisir un secret existant est sélectionnée.\]](http://docs.aws.amazon.com/fr_fr/transfer/latest/userguide/images/as2-basic-auth-select-secret.png)


## Activer l'authentification de base pour les AS2 connecteurs
<a name="as2-secret-create"></a>

Lorsque vous activez l'authentification de base pour les AS2 connecteurs, vous pouvez soit créer un nouveau secret dans la console Transfer Family, soit utiliser un secret que vous avez créé dans AWS Secrets Manager. Dans les deux cas, votre secret est enregistré dans Secrets Manager.

**Topics**
+ [Créez un nouveau secret dans la console](#as2-secret-details-console)
+ [Utilisation d'un secret existant](#use-existing-secret)
+ [Créez un secret dans AWS Secrets Manager](#as2-secret-details-asm)

### Créez un nouveau secret dans la console
<a name="as2-secret-details-console"></a>

Lorsque vous créez un connecteur dans la console, vous pouvez créer un nouveau secret.

Pour créer un nouveau secret, choisissez **Créer un nouveau secret**, puis entrez un nom d'utilisateur et un mot de passe. Ces informations d'identification doivent correspondre à l'utilisateur qui se connecte au point de terminaison du partenaire.

![\[La page Créer un connecteur de la AWS Transfer Family console, qui affiche la section Authentification de base avec l'option Créer un nouveau secret choisie.\]](http://docs.aws.amazon.com/fr_fr/transfer/latest/userguide/images/as2-basic-auth-create-secret.png)


**Note**  
Lorsque vous créez un nouveau secret dans la console, le nom du secret suit cette convention de dénomination :**/aws/transfer/*connector-id***, où *connector-id* est l'ID du connecteur que vous créez. Pensez-y lorsque vous essayez de localiser le secret AWS Secrets Manager.

### Utilisation d'un secret existant
<a name="use-existing-secret"></a>

Lorsque vous créez un connecteur dans la console, vous pouvez spécifier un secret existant.

Pour utiliser un secret existant, **choisissez Choisir un secret existant**, puis choisissez un secret dans le menu déroulant. Pour en savoir plus sur la création d'un secret correctement formaté dans Secrets Manager, consultez[Créez un secret dans AWS Secrets Manager](#as2-secret-details-asm).

![\[La page Créer un connecteur de la AWS Transfer Family console, qui affiche la section Authentification de base avec Choisir un secret existant choisi.\]](http://docs.aws.amazon.com/fr_fr/transfer/latest/userguide/images/as2-basic-auth-select-secret.png)


### Créez un secret dans AWS Secrets Manager
<a name="as2-secret-details-asm"></a>

La procédure suivante explique comment créer un secret approprié à utiliser avec votre AS2 connecteur.

**Note**  
L'authentification de base n'est disponible que si vous utilisez le protocole HTTPS.<a name="as2-auth-secret-key"></a>

**Pour stocker les informations d'identification de l'utilisateur dans Secrets Manager pour l'authentification AS2 de base**

1. Connectez-vous à la AWS Secrets Manager console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).

1. Dans le panneau de navigation de gauche, choisissez **Secrets**. 

1. Sur la page **Secrets**, choisissez **Enregistrer un nouveau secret**.

1. Sur la page **Choisir un type de secret**, pour **Type de secret**, choisissez **Autre type de secret**.

1. Dans la section **Paires clé/valeur**, choisissez l'onglet **clé/valeur**.
   + **Clé** — Entrée**Username**.
   + **valeur** — Entrez le nom de l'utilisateur autorisé à se connecter au serveur du partenaire.

1. Si vous souhaitez fournir un mot de passe, choisissez **Ajouter une ligne**, puis dans la section **Paires clé/valeur**, choisissez l'onglet **clé/valeur**.

   Choisissez **Ajouter une ligne**, puis dans la section **Paires clé/valeur**, choisissez l'onglet **clé/valeur**.
   + **Clé** — Entrée**Password**.
   + **valeur** — Entrez le mot de passe de l'utilisateur.

1. Si vous souhaitez fournir une clé privée, choisissez **Ajouter une ligne**, puis dans la section **Paires clé/valeur**, choisissez l'onglet **clé/valeur**.
   + **Clé** — Entrée**PrivateKey**.
   + **valeur** — Entrez une clé privée pour l'utilisateur. Cette valeur doit être stockée au format OpenSSH et doit correspondre à la clé publique enregistrée pour cet utilisateur sur le serveur distant.

1. Choisissez **Suivant**.

1. Sur la page **Configurer le secret**, entrez le nom et la description de votre secret. Nous vous recommandons d'utiliser le préfixe de **aws/transfer/** pour le nom. Par exemple, vous pourriez donner un nom à votre secret**aws/transfer/connector-1**.

1. Choisissez **Next**, puis acceptez les valeurs par défaut sur la page **Configurer la rotation**. Ensuite, sélectionnez **Suivant**.

1. Sur la page **Révision**, choisissez **Store** pour créer et stocker le secret.

Après avoir créé le secret, vous pouvez le choisir lorsque vous créez un connecteur (voir[Configuration des AS2 connecteurs](#configure-as2-connector)). À l'étape où vous activez l'authentification de base, choisissez le secret dans la liste déroulante des secrets disponibles.

## Afficher les détails AS2 du connecteur
<a name="connectors-view-info"></a>

Vous trouverez la liste des détails et des propriétés d'un AS2 AWS Transfer Family connecteur dans la AWS Transfer Family console. Les propriétés d'un AS2 connecteur incluent son URL, ses rôles, ses profils MDNs, ses balises et ses indicateurs de surveillance.

Il s'agit de la procédure permettant de visualiser les détails du connecteur.

**Pour afficher les détails du connecteur**

1. Ouvrez la AWS Transfer Family console à l'adresse [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).

1. Dans le panneau de navigation de gauche, choisissez **Connectors (Connecteurs)**.

1. Choisissez l'identifiant dans la colonne **ID du connecteur** pour voir la page de détails du connecteur sélectionné.

Vous pouvez modifier les propriétés du AS2 connecteur sur la page de détails du connecteur en choisissant **Modifier**.

![\[La page de détails du connecteur de la console Transfer Family, qui indique l'URL, le rôle d'accès et le rôle de journalisation du connecteur sélectionné.\]](http://docs.aws.amazon.com/fr_fr/transfer/latest/userguide/images/as2-connector-details_01-top.png)


![\[La page de détails du connecteur de la console Transfer Family, qui présente les détails de AS2 configuration du connecteur sélectionné.\]](http://docs.aws.amazon.com/fr_fr/transfer/latest/userguide/images/as2-connector-details_02-middle.png)


![\[La page de détails du connecteur de la console Transfer Family, qui affiche les détails de la section d'authentification de AS2 base, les balises, l'adresse IP statique et les informations de AS2 surveillance pour le connecteur sélectionné.\]](http://docs.aws.amazon.com/fr_fr/transfer/latest/userguide/images/as2-basic-auth-details-pane.png)


**Note**  
Vous pouvez obtenir la plupart de ces informations, bien que dans un format différent, en exécutant la AWS CLI commande suivante AWS Command Line Interface (:  

```
aws transfer describe-connector --connector-id your-connector-id
```
Pour plus d'informations, consultez [https://docs.aws.amazon.com/transfer/latest/APIReference/API_DescribeConnector.html](https://docs.aws.amazon.com/transfer/latest/APIReference/API_DescribeConnector.html)la référence de l'API.

# Envoyer et recevoir AS2 des messages
<a name="send-as2-messages"></a>

Cette section décrit les processus d'envoi et de réception de AS2 messages. Il fournit également des détails sur les noms de fichiers et les emplacements associés AS2 aux messages.

Le tableau suivant répertorie les algorithmes de chiffrement disponibles pour les AS2 messages et indique dans quels cas vous pouvez les utiliser.


| Algorithme de chiffrement | HTTP | HTTPS | Remarques | 
| --- |--- |--- |--- |
| AES128\$1CBC | Oui | Oui |  | 
| AES192\$1CBC | Oui | Oui |  | 
| AES256\$1CBC | Oui | Oui |  | 
| DES\$1\$1CBC EDE3 | Oui | Oui | N'utilisez cet algorithme que si vous devez prendre en charge un ancien client qui en a besoin, car il s'agit d'un algorithme de chiffrement faible. | 
| NONE | Non | Oui | Si vous envoyez des messages à un serveur Transfer Family, vous ne pouvez sélectionner que NONE si vous utilisez un Application Load Balancer (ALB). | 

**Topics**
+ [Processus de réception des AS2 messages](#as2-inbound-process)
+ [Envoyer et recevoir AS2 des messages via HTTPS](#as2-https-process)
+ [Transférer des fichiers à l'aide d'un AS2 connecteur](#transfer-as2-connectors)
+ [Noms et emplacements des fichiers](#file-names-as2)
+ [Codes d’état](#status-codes)
+ [Exemples de fichiers JSON](#file-as2-json)

## Processus de réception des AS2 messages
<a name="as2-inbound-process"></a>

Le processus entrant est défini comme un message ou un fichier transféré vers votre AWS Transfer Family serveur. La séquence des messages entrants est la suivante :

1. Un administrateur ou un processus automatisé lance un transfert de AS2 fichiers sur le AS2 serveur distant du partenaire.

1. Le AS2 serveur distant du partenaire signe et chiffre le contenu du fichier, puis envoie une requête HTTP POST à un point de terminaison AS2 entrant hébergé sur Transfer Family.

1. À l'aide des valeurs configurées pour le serveur, les partenaires, les certificats et le contrat, Transfer Family déchiffre et vérifie la charge utile. AS2 Le contenu du fichier est stocké dans le magasin de fichiers Amazon S3 configuré.

1. La réponse MDN signée est renvoyée soit en ligne avec la réponse HTTP, soit de manière asynchrone via une requête HTTP POST distincte au serveur d'origine.

1. Une piste d'audit contenant les détails de l'échange est écrite pour Amazon CloudWatch .

1. Le fichier déchiffré est disponible dans un dossier nommé. `inbox/processed`

![\[Schéma illustrant la séquence de traitement des messages entrants.\]](http://docs.aws.amazon.com/fr_fr/transfer/latest/userguide/images/as2-architecture-inbound.png)


## Envoyer et recevoir AS2 des messages via HTTPS
<a name="as2-https-process"></a>

Cette section décrit comment configurer un serveur Transfer Family qui utilise le AS2 protocole pour envoyer et recevoir des messages via HTTPS.

**Topics**
+ [Envoyer AS2 des messages via HTTPS](#send-https)
+ [Recevoir AS2 des messages via HTTPS](#receive-https)

### Envoyer AS2 des messages via HTTPS
<a name="send-https"></a>

Pour envoyer AS2 des messages via HTTPS, créez un connecteur contenant les informations suivantes :
+ Pour l'URL, spécifiez une URL HTTPS
+ Pour l'algorithme de chiffrement, sélectionnez l'un des algorithmes disponibles.
**Note**  
 Pour envoyer des messages à un serveur Transfer Family sans utiliser le chiffrement (c'est-à-dire si vous sélectionnez l'algorithme `NONE` de chiffrement), vous devez utiliser un Application Load Balancer (ALB).
+ Fournissez les valeurs restantes pour le connecteur, comme décrit dans[Configuration des AS2 connecteurs](configure-as2-connector.md).

### Recevoir AS2 des messages via HTTPS
<a name="receive-https"></a>

 AWS Transfer Family AS2 les serveurs fournissent actuellement uniquement le transport HTTP via le port 5080. Cependant, vous pouvez mettre fin au protocole TLS sur un réseau ou un équilibreur de charge d'application situé devant le point de terminaison VPC de votre serveur Transfer Family en utilisant un port et un certificat de votre choix. Avec cette approche, vous pouvez faire en sorte que les AS2 messages entrants utilisent le protocole HTTPS.

**Conditions préalables**
+ Le VPC doit se trouver dans le même emplacement Région AWS que votre serveur Transfer Family.
+ Les sous-réseaux de votre VPC doivent se trouver dans les zones de disponibilité dans lesquelles vous souhaitez utiliser votre serveur.
**Note**  
Chaque serveur Transfer Family peut prendre en charge jusqu'à trois zones de disponibilité.
+ Allouez jusqu'à trois adresses IP élastiques dans la même région que votre serveur. Vous pouvez également choisir d'apporter votre propre plage d'adresses IP (BYOIP).
**Note**  
Le nombre d'adresses IP élastiques doit correspondre au nombre de zones de disponibilité que vous utilisez avec les points de terminaison de votre serveur.

Vous pouvez configurer un Network Load Balance (NLB) ou un Application Load Balancer (ALB). Le tableau suivant répertorie les avantages et les inconvénients de chaque approche.

Le tableau ci-dessous indique les différences entre les fonctionnalités lorsque vous utilisez un NLB par rapport à un ALB pour mettre fin au protocole TLS.


| Fonctionnalité | Network Load Balancer (NLB) | Application Load Balancer (ALB) | 
| --- | --- | --- | 
| Latence | Temps de latence réduit car il fonctionne au niveau de la couche réseau. | Latence plus élevée car il fonctionne au niveau de la couche application. | 
| Prise en charge des adresses IP statiques | Peut associer des adresses IP élastiques qui peuvent être statiques. | Impossible d'associer des adresses IP élastiques : fournit un domaine dont les adresses IP sous-jacentes peuvent changer. | 
| Routage avancé | Ne prend pas en charge le routage avancé. | Supporte le routage avancé. Peut injecter `X-Forwarded-Proto` l'en-tête requis AS2 sans cryptage. [Cet en-tête est décrit dans [X-Forwarded-Proto](https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Forwarded-Proto) sur le site web developer.mozilla.org.](https://developer.mozilla.org/) | 
| Terminaison TLS/SSL | Supporte TLS/SSL la résiliation | Supporte TLS/SSL la résiliation | 
| TLS mutuel (mTLS) | Transfer Family ne prend actuellement pas en charge l'utilisation d'un NLB pour les MTL | Support pour les MTL | 

------
#### [ Configure NLB ]

Cette procédure décrit comment configurer un Network Load Balancer (NLB) connecté à Internet dans votre VPC.<a name="create-nlb-AS2"></a>

**Pour créer un Network Load Balancer et définir le point de terminaison VPC du serveur comme cible de l'équilibreur de charge**

1. Ouvrez la console Amazon Elastic Compute Cloud à l'adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Dans le volet de navigation, choisissez **Load Balancers**, puis **Create load Balancer**.

1. Sous **Network Load Balancer**, choisissez **Créer**.

1. Dans la section **Configuration de base**, entrez les informations suivantes :
   + Dans **Nom**, entrez un nom descriptif pour l'équilibreur de charge.
   + Pour **Méthodes**, choisissez **Accessible sur Internet**.
   + Pour **IP address type** (Type d'adresse IP), choisissez **IPv4**.

1. Dans la section **Cartographie du réseau**, entrez les informations suivantes :
   + Pour le **VPC**, choisissez le cloud privé virtuel (VPC) que vous avez créé.
   + Sous **Mappages**, choisissez les zones de disponibilité associées aux sous-réseaux publics disponibles dans le même VPC que celui que vous utilisez avec les points de terminaison de votre serveur.
   + Pour l'**IPv4 adresse** de chaque sous-réseau, choisissez l'une des adresses IP élastiques que vous avez allouées.

1. Dans la section **Écouteurs et routage**, entrez les informations suivantes :
   + Pour **Protocole**, choisissez **TLS.**
   + Pour **Port**, entrez **5080**.
   + Pour **Action par défaut**, choisissez **Créer un groupe cible**. Pour en savoir plus sur la création d'un nouveau groupe cible, consultez[Pour créer un groupe cible](#create-target-group).

   Après avoir créé un groupe cible, entrez son nom dans le champ **Action par défaut**.

1. Dans la section **Paramètres de l'écouteur sécurisé**, choisissez votre certificat dans la zone ** SSL/TLS Certificat par défaut**.

1. Choisissez **Create load balancer** pour créer votre NLB.

1. (Facultatif, mais recommandé) Activez les journaux d'accès au Network Load Balancer afin de conserver une piste d'audit complète, comme décrit dans la section [Journaux d'accès de votre Network](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/load-balancer-access-logs.html) Load Balancer.

   Nous recommandons cette étape car la connexion TLS est interrompue au niveau du NLB. Par conséquent, l'adresse IP source reflétée dans vos groupes de AS2 CloudWatch journaux Transfer Family est l'adresse IP privée de la NLB, et non l'adresse IP externe de votre partenaire commercial.

------
#### [ Configure ALB ]

Cette procédure décrit comment configurer un Application Load Balancer (ALB) dans votre VPC.<a name="create-alb-AS2"></a>

**Pour créer un Application Load Balancer et définir le point de terminaison VPC du serveur comme cible de l'équilibreur de charge**

1. Ouvrez la console Amazon Elastic Compute Cloud à l'adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Dans le volet de navigation, choisissez **Load Balancers**, puis **Create load Balancer**.

1. Sous **Application Load Balancer**, choisissez **Create** (Créer).

1. Dans la console ALB, créez un nouvel écouteur HTTP sur le port 443 (HTTPS).

1. (Facultatif) Si vous souhaitez configurer l'authentification mutuelle (MTL), configurez les paramètres de sécurité et un trust store.

   1. Joignez votre SSL/TLS certificat à l'écouteur.

   1. Sous **Gestion des certificats clients**, sélectionnez **Authentification mutuelle (mTLS).**

   1. Choisissez **Verify with Trust Store**.

   1. Sous **Paramètres MTLS avancés**, choisissez ou créez un trust store en téléchargeant vos certificats CA.

1. Créez un nouveau groupe cible et ajoutez les adresses IP privées des points de terminaison de votre AS2 serveur Transfer Family en tant que cibles sur le port 5080. Pour en savoir plus sur la création d'un nouveau groupe cible, consultez[Pour créer un groupe cible](#create-target-group).

1. Configurez les contrôles de santé pour que le groupe cible utilise le protocole HTTP sur le port 5080.

1. Créez une nouvelle règle pour transférer le trafic HTTPS de l'écouteur vers le groupe cible.

1. Configurez l'écouteur pour qu'il utilise votre certificat SSL/TLS.

------

Après avoir configuré l'équilibreur de charge, les clients communiquent avec celui-ci via l'écouteur de port personnalisé. L'équilibreur de charge communique ensuite avec le serveur via le port 5080.<a name="create-target-group"></a>

**Pour créer un groupe cible**

1. Après avoir choisi **Créer un groupe cible** dans la procédure précédente, vous êtes redirigé vers la page **Spécifier les détails du groupe** pour un nouveau groupe cible.

1.  Dans la section **Configuration de base**, entrez les informations suivantes.
   + Pour **Choisir un type de cible**, choisissez **les adresses IP**.
   + Pour **Nom du groupe cible**, saisissez un nom pour le groupe cible.
   + Pour **le protocole**, votre sélection dépend de l'utilisation d'un ALB ou d'un NLB.
     + **Pour un Network Load Balancer (NLB), choisissez TCP**
     + **Pour un Application Load Balancer (ALB), choisissez HTTP**
   + Pour **Port**, entrez **5080**. 
   + Pour **IP address type** (Type d'adresse IP), choisissez **IPv4**.
   + Pour **VPC**, choisissez le VPC que vous avez créé pour votre serveur Transfer Family. AS2 

1. <a name="vpc-register-targets"></a>Dans la section **Health checks**, choisissez le **protocole Health check**.
   + **Pour un ALB, choisissez HTTP**
   + **Pour un NLB, choisissez TCP**

1. <a name="vpc-add-to-list"></a>Choisissez **Suivant**.

1. Sur la page **Enregistrer les cibles**, entrez les informations suivantes :
   + Pour **Network**, vérifiez que le VPC que vous avez créé pour votre AS2 serveur Transfer Family est spécifié.
   + Pour **IPv4 adresse**, entrez l' IPv4adresse privée des points de terminaison de votre AS2 serveur Transfer Family.

      Si vous avez plusieurs points de terminaison pour votre serveur, choisissez **Ajouter une IPv4 adresse** pour ajouter une autre ligne permettant de saisir une autre IPv4 adresse. Répétez ce processus jusqu'à ce que vous ayez saisi les adresses IP privées de tous les points de terminaison de votre serveur.
   + Assurez-vous que **Ports** est réglé sur**5080**.
   + Choisissez **Inclure comme en attente ci-dessous** pour ajouter vos entrées à la section **Objectifs de révision**.

1. Dans la section **Vérifier les cibles**, passez en revue vos cibles IP.

1. Choisissez **Créer un groupe cible**, puis revenez à la procédure précédente de création de votre NLB et entrez le nouveau groupe cible à l'endroit indiqué.

**Tester l'accès au serveur depuis une adresse IP élastique**

Connectez-vous au serveur via le port personnalisé à l'aide d'une adresse IP élastique ou du nom DNS du Network Load Balancer.

**Important**  
Gérez l'accès à votre serveur à partir des adresses IP des clients en utilisant les [listes de contrôle d'accès réseau (réseau ACLs)](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html) pour les sous-réseaux configurés sur l'équilibreur de charge. Les autorisations ACL réseau sont définies au niveau du sous-réseau, de sorte que les règles s'appliquent à toutes les ressources qui utilisent le sous-réseau. Vous ne pouvez pas contrôler l'accès depuis les adresses IP des clients à l'aide de groupes de sécurité, car le type de cible de l'équilibreur de charge est défini sur les **adresses IP** plutôt que sur les **instances**. Par conséquent, l'équilibreur de charge ne conserve pas les adresses IP sources. Si les [vérifications de santé du Network Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/target-group-health-checks.html) échouent, cela signifie que l'équilibreur de charge ne peut pas se connecter au point de terminaison du serveur. Pour résoudre ce problème, vérifiez les points suivants :  
Vérifiez que le [groupe de sécurité associé au point de terminaison](https://aws.amazon.com/premiumsupport/knowledge-center/sftp-enable-elastic-ip-custom-port/) du serveur autorise les connexions entrantes provenant des sous-réseaux configurés sur l'équilibreur de charge. L'équilibreur de charge doit pouvoir se connecter au point de terminaison du serveur via le port 5080.
Vérifiez que l'**état** du serveur est **en ligne**.

## Transférer des fichiers à l'aide d'un AS2 connecteur
<a name="transfer-as2-connectors"></a>

AS2 les connecteurs établissent une relation entre les partenaires commerciaux pour les transferts de AS2 messages d'un serveur Transfer Family vers une destination externe appartenant au partenaire.

Vous pouvez utiliser Transfer Family pour envoyer AS2 des messages en faisant référence à l'ID du connecteur et aux chemins d'accès aux fichiers, comme illustré dans la commande suivante `start-file-transfer` AWS Command Line Interface (AWS CLI) :

```
aws transfer start-file-transfer --connector-id c-1234567890abcdef0 \
--send-file-paths "/amzn-s3-demo-source-bucket/myfile1.txt" "/amzn-s3-demo-source-bucket/myfile2.txt"
```

Pour obtenir les détails de vos connecteurs, exécutez la commande suivante :

```
aws transfer list-connectors
```

La `list-connectors` commande renvoie le connecteur IDs et Amazon Resource Names (ARNs) pour vos connecteurs. URLs

Pour renvoyer les propriétés d'un connecteur spécifique, exécutez la commande suivante avec l'ID que vous souhaitez utiliser :

```
aws transfer describe-connector --connector-id your-connector-id
```

La `describe-connector` commande renvoie toutes les propriétés du connecteur, notamment son URL, ses rôles, ses profils, ses notifications de disposition des messages (MDNs), ses balises et ses mesures de surveillance.

Vous pouvez vérifier que le partenaire a bien reçu les fichiers en consultant les fichiers JSON et MDN. Ces fichiers sont nommés conformément aux conventions décrites dans[Noms et emplacements des fichiers](#file-names-as2). Si vous avez configuré un rôle de journalisation lors de la création du connecteur, vous pouvez également vérifier l'état des AS2 messages dans vos CloudWatch journaux.

Pour consulter les détails du AS2 connecteur, voir[Afficher les détails AS2 du connecteur](configure-as2-connector.md#connectors-view-info). Pour plus d'informations sur la création de AS2 connecteurs, consultez[Configuration des AS2 connecteurs](configure-as2-connector.md).

**Pour envoyer un message AS2 sortant**

Le processus sortant est défini comme un message ou un fichier envoyé depuis AWS un client ou un service externe. La séquence des messages sortants est la suivante :

1. Un administrateur appelle la commande `start-file-transfer` AWS Command Line Interface (AWS CLI) ou l'opération `StartFileTransfer` API. Cette opération fait référence à une `connector` configuration.

1. Transfer Family détecte une nouvelle demande de fichier et localise le fichier. Le fichier est compressé, signé et chiffré. 

1. Un client HTTP de transfert exécute une requête HTTP POST pour transmettre la charge utile au AS2 serveur du partenaire. 

1. Le processus renvoie la réponse MDN signée, en ligne avec la réponse HTTP (MDN synchrone).

1. Au fur et à mesure que le fichier passe d'une étape de transmission à l'autre, le processus fournit au client la réception de la réponse MDN et les détails du traitement. 

1. Le AS2 serveur distant met le fichier déchiffré et vérifié à la disposition de l'administrateur partenaire.

![\[Schéma illustrant la séquence de traitement des messages sortants.\]](http://docs.aws.amazon.com/fr_fr/transfer/latest/userguide/images/as2-architecture-outbound.png)


AS2 le traitement prend en charge de nombreux protocoles RFC 4130, en mettant l'accent sur les cas d'utilisation courants et sur l'intégration avec les implémentations de serveurs AS2 compatibles existantes. Pour plus de détails sur les configurations prises en charge, consultez[AS2 configurations](create-b2b-server.md#as2-supported-configurations).

## Noms et emplacements des fichiers
<a name="file-names-as2"></a>

Cette section décrit les conventions de dénomination des fichiers pour AS2 les transferts.

Pour les transferts de fichiers entrants, tenez compte des points suivants :
+ Vous spécifiez le répertoire de base dans un accord. Le répertoire de base est le nom du compartiment Amazon S3 associé à un préfixe, le cas échéant. Par exemple, `/amzn-s3-demo-bucket/AS2-folder`.
+ Si un fichier entrant est traité avec succès, le fichier (et le fichier JSON correspondant) est enregistré `/processed` dans le dossier. Par exemple, `/amzn-s3-demo-bucket/AS2-folder/processed`.

  Le fichier JSON contient les champs suivants :
  + `agreement-id` 
  + `as2-from`
  + `as2-to`
  + `as2-message-id`
  + `transfer-id`
  + `client-ip`
  + `connector-id`
  + `failure-message`
  + `file-path`
  + `message-subject`
  + `mdn-message-id`
  + `mdn-subject`
  + `requester-file-name`
  + `requester-content-type`
  + `server-id`
  + `status-code`
  + `failure-code`
  + `transfer-size`
+ Si un fichier entrant ne peut pas être traité correctement, le fichier (et le fichier JSON correspondant) est enregistré `/failed` dans le dossier. Par exemple, `/amzn-s3-demo-bucket/AS2-folder/failed`.
+ Le fichier transféré est stocké dans le `processed` dossier sous le nom`original_filename.messageId.original_extension`. C'est-à-dire que l'ID du message pour le transfert est ajouté au nom du fichier, avant son extension d'origine.
+ Un fichier JSON est créé et enregistré sous le nom`original_filename.messageId.original_extension.json`. Outre l'ID du message ajouté, la chaîne `.json` est ajoutée au nom du fichier transféré.
+ Un fichier MDN (Message Disposition Notice) est créé et enregistré sous `original_filename.messageId.original_extension.mdn` le nom de. Outre l'ID du message ajouté, la chaîne `.mdn` est ajoutée au nom du fichier transféré.
+ Si un fichier entrant est nommé`ExampleFileInS3Payload.dat`, les fichiers suivants sont créés :
  + **Fichier** — `ExampleFileInS3Payload.c4d6b6c7-23ea-4b8c-9ada-0cb811dc8b35@44313c54b0a46a36.dat`
  + **JSON** — `ExampleFileInS3Payload.c4d6b6c7-23ea-4b8c-9ada-0cb811dc8b35@44313c54b0a46a36.dat.json` 
  + **MDN —** `ExampleFileInS3Payload.c4d6b6c7-23ea-4b8c-9ada-0cb811dc8b35@44313c54b0a46a36.dat.mdn` 

Pour les transferts sortants, le nom est similaire, à la différence qu'il n'y a aucun fichier de message entrant et que l'ID de transfert du message transféré est également ajouté au nom du fichier. L'ID de transfert est renvoyé par l'opération `StartFileTransfer` API (ou lorsqu'un autre processus ou script appelle cette opération).
+ `transfer-id`Il s'agit d'un identifiant associé à un transfert de fichier. Toutes les demandes faisant partie d'un `StartFileTransfer` appel partagent un`transfer-id`.
+ Le répertoire de base est le même que le chemin que vous utilisez pour le fichier source. En d'autres termes, le répertoire de base est le chemin que vous spécifiez dans l'opération ou la `start-file-transfer` AWS CLI commande de l'`StartFileTransfer`API. Par exemple : 

  ```
  aws transfer start-file-transfer --send-file-paths /amzn-s3-demo-bucket/AS2-folder/file-to-send.txt
  ```

  Si vous exécutez cette commande, les fichiers MDN et JSON sont enregistrés dans `/amzn-s3-demo-bucket/AS2-folder/processed` (pour les transferts réussis) ou `/amzn-s3-demo-bucket/AS2-folder/failed` (pour les transferts infructueux).
+ Un fichier JSON est créé et enregistré sous le nom`original_filename.transferId.messageId.original_extension.json`.
+ Un fichier MDN est créé et enregistré sous le nom`original_filename.transferId.messageId.original_extension.mdn`.
+ Si un fichier sortant est nommé`ExampleFileOutTestOutboundSyncMdn.dat`, les fichiers suivants sont créés :
  + **JSON** — `ExampleFileOutTestOutboundSyncMdn.dedf4601-4e90-4043-b16b-579af35e0d83.fbe18db8-7361-42ff-8ab6-49ec1e435f34@c9c705f0baaaabaa.dat.json`
  + **MDN —** `ExampleFileOutTestOutboundSyncMdn.dedf4601-4e90-4043-b16b-579af35e0d83.fbe18db8-7361-42ff-8ab6-49ec1e435f34@c9c705f0baaaabaa.dat.mdn`

Vous pouvez également consulter les CloudWatch journaux pour consulter les détails de vos transferts, y compris ceux qui ont échoué.

## Codes d’état
<a name="status-codes"></a>

Le tableau suivant répertorie tous les codes de statut qui peuvent être enregistrés dans les CloudWatch journaux lorsque vous ou votre partenaire envoyez un AS2 message. Les différentes étapes de traitement des messages s'appliquent à différents types de messages et sont destinées uniquement à la surveillance. Les états COMPLETED et FAILED représentent l'étape finale du traitement et sont visibles dans les fichiers JSON.


****  

| Code | Description | Le traitement est terminé ? | 
| --- | --- | --- | 
| EN TRAITEMENT | Le message est en cours de conversion dans son format final. Par exemple, les étapes de décompression et de déchiffrement ont toutes deux ce statut. | Non | 
| MDN\$1TRANSMIT | Le traitement des messages envoie une réponse MDN. | Non | 
| MDN\$1RECEIVE | Le traitement des messages reçoit une réponse MDN. | Non | 
| TERMINÉ | Le traitement des messages s'est terminé avec succès. Cet état inclut l'envoi d'un MDN pour un message entrant ou pour la vérification MDN des messages sortants. | Oui | 
| ÉCHEC | Le traitement du message a échoué. Pour obtenir la liste des codes d'erreur, consultez[AS2 codes d'erreur](as2-monitoring.md#as2-error-codes). | Oui | 

## Exemples de fichiers JSON
<a name="file-as2-json"></a>

Cette section répertorie des exemples de fichiers JSON pour les transferts entrants et sortants, y compris des exemples de fichiers pour les transferts réussis et les transferts qui échouent.

Exemple de fichier sortant transféré avec succès :

```
{
  "requester-content-type": "application/octet-stream",
  "message-subject": "File xyzTest from MyCompany_OID to partner YourCompany",
  "requester-file-name": "TestOutboundSyncMdn-9lmCr79hV.dat",
  "as2-from": "MyCompany_OID",
  "connector-id": "c-c21c63ceaaf34d99b",
  "status-code": "COMPLETED",
  "disposition": "automatic-action/MDN-sent-automatically; processed",
  "transfer-size": 3198,
  "mdn-message-id": "OPENAS2-11072022063009+0000-df865189-1450-435b-9b8d-d8bc0cee97fd@PartnerA_OID_MyCompany_OID",
  "mdn-subject": "Message be18db8-7361-42ff-8ab6-49ec1e435f34@c9c705f0baaaabaa has been accepted",
  "as2-to": "PartnerA_OID",
  "transfer-id": "dedf4601-4e90-4043-b16b-579af35e0d83",
  "file-path": "/amzn-s3-demo-bucket/as2testcell0000/openAs2/TestOutboundSyncMdn-9lmCr79hV.dat",
  "as2-message-id": "fbe18db8-7361-42ff-8ab6-49ec1e435f34@c9c705f0baaaabaa",
  "timestamp": "2022-07-11T06:30:10.791274Z"
}
```

Exemple de fichier sortant transféré sans succès :

```
{
  "failure-code": "HTTP_ERROR_RESPONSE_FROM_PARTNER",
  "status-code": "FAILED",
  "requester-content-type": "application/octet-stream",
  "subject": "Test run from Id da86e74d6e57464aae1a55b8596bad0a to partner 9f8474d7714e476e8a46ce8c93a48c6c",
  "transfer-size": 3198,
  "requester-file-name": "openAs2TestOutboundWrongAs2Ids-necco-3VYn5n8wE.dat",
  "as2-message-id": "9a9cc9ab-7893-4cb6-992a-5ed8b90775ff@718de4cec1374598",
  "failure-message": "http://Test123456789.us-east-1.elb.amazonaws.com:10080 returned status 500 for message with ID 9a9cc9ab-7893-4cb6-992a-5ed8b90775ff@718de4cec1374598",
  "transfer-id": "07bd3e07-a652-4cc6-9412-73ffdb97ab92",
  "connector-id": "c-056e15cc851f4b2e9",
  "file-path": "/amzn-s3-demo-bucket-4c1tq6ohjt9y/as2IntegCell0002/openAs2/openAs2TestOutboundWrongAs2Ids-necco-3VYn5n8wE.dat",
  "timestamp": "2022-07-11T21:17:24.802378Z"
}
```

Exemple de fichier entrant transféré avec succès :

```
{
  "requester-content-type": "application/EDI-X12",
  "subject": "File openAs2TestInboundAsyncMdn-necco-5Ab6bTfCO.dat sent from MyCompany to PartnerA",
  "client-ip": "10.0.109.105",
  "requester-file-name": "openAs2TestInboundAsyncMdn-necco-5Ab6bTfCO.dat",
  "as2-from": "MyCompany_OID",
  "status-code": "COMPLETED",
  "disposition": "automatic-action/MDN-sent-automatically; processed",
  "transfer-size": 1050,
  "mdn-subject": "Message Disposition Notification",
  "as2-message-id": "OPENAS2-11072022233606+0000-5dab0452-0ca1-4f9b-b622-fba84effff3c@MyCompany_OID_PartnerA_OID",
  "as2-to": "PartnerA_OID",
  "agreement-id": "a-f5c5cbea5f7741988",
  "file-path": "processed/openAs2TestInboundAsyncMdn-necco-5Ab6bTfCO.OPENAS2-11072022233606+0000-5dab0452-0ca1-4f9b-b622-fba84effff3c@MyCompany_OID_PartnerA_OID.dat",
  "server-id": "s-5f7422b04c2447ef9",
  "timestamp": "2022-07-11T23:36:36.105030Z"
}
```

Exemple de fichier entrant transféré sans succès :

```
{
  "failure-code": "INVALID_REQUEST",
  "status-code": "FAILED",
  "subject": "Sending a request from InboundHttpClientTests",
  "client-ip": "10.0.117.27",
  "as2-message-id": "testFailedLogs-TestRunConfig-Default-inbound-direct-integ-0c97ee55-af56-4988-b7b4-a3e0576f8f9c@necco",
  "as2-to": "0beff6af56c548f28b0e78841dce44f9",
  "failure-message": "Unsupported date format: 2022/123/456T",
  "agreement-id": "a-0ceec8ca0a3348d6a",
  "as2-from": "ab91a398aed0422d9dd1362710213880",
  "file-path": "failed/01187f15-523c-43ac-9fd6-51b5ad2b08f3.testFailedLogs-TestRunConfig-Default-inbound-direct-integ-0c97ee55-af56-4988-b7b4-a3e0576f8f9c@necco",
  "server-id": "s-0582af12e44540b9b",
  "timestamp": "2022-07-11T06:30:03.662939Z"
}
```

# Personnalisation des en-têtes HTTP pour les messages AS2
<a name="as2-custom-http-headers"></a>

Lorsque vous envoyez AS2 des messages à des partenaires commerciaux, vous devrez peut-être personnaliser les en-têtes HTTP pour répondre à des exigences spécifiques ou améliorer la compatibilité avec la configuration du AS2 serveur de votre partenaire. Ce CloudFormation modèle crée une infrastructure permettant d'activer des en-têtes HTTP personnalisés pour les AS2 messages envoyés. AWS Transfer Family Il met en place une fonction Amazon API Gateway et Lambda agissant comme un proxy, permettant la modification dynamique des en-têtes requis par les serveurs des partenaires commerciaux. AS2 

Utilisez ce modèle pour effectuer les opérations suivantes :
+ Ajouter des en-têtes HTTP personnalisés aux messages sortants AS2 
+ Remplacer les valeurs d'en-tête par défaut par des valeurs personnalisées
**Important**  
Soyez prudent lorsque vous remplacez les valeurs d'en-tête par défaut, car cela peut entraîner des échecs d'envoi : certains AS2 en-têtes sont nécessaires.
+ Garantir la compatibilité avec les partenaires commerciaux qui ont des exigences spécifiques en matière d'en-têtes

## Présentation du modèle
<a name="template-overview"></a>

Le modèle crée les principaux composants suivants :
+ Une fonction Lambda qui traite et transmet les messages AS2 
+ Un Amazon API Gateway pour exposer la fonction Lambda
+ Rôles et autorisations IAM pour la fonction Lambda
+ Ressources conditionnelles pour le support HTTPS

Le fichier modèle est disponible ici : [Modèle d'en-têtes HTTP dynamiques](https://s3.amazonaws.com/aws-transfer-resources/as2-templates/dynamic-http-headers.template.yml).

## Comment ça marche
<a name="how-it-works"></a>

1. Amazon API Gateway reçoit les AS2 messages entrants de AWS Transfer Family.

1. La demande est transmise à la fonction Lambda.

1. La fonction Lambda traite la demande en ajoutant ou en modifiant des en-têtes selon les besoins.

1. La demande modifiée est ensuite transmise au AS2 serveur du partenaire.

1. La réponse du serveur du partenaire est renvoyée via Lambda et Amazon API Gateway à. AWS Transfer Family

## Fonctionnalités principales
<a name="key-features"></a>
+ *Modification dynamique de l'en-tête :* permet de personnaliser l'en-tête du sujet et d'ajouter d'autres en-têtes requis.
+ *Support de protocole :* fonctionne avec les protocoles HTTP et HTTPS.
+ *Configuration flexible :* permet de spécifier l'hôte, le port et le chemin du partenaire.

## Détails de l'implémentation
<a name="implementation-details"></a>

Le modèle implémente les composants clés suivants :

### Fonction Lambda
<a name="lambda-function"></a>

Le cœur de la solution est une fonction Lambda Node.js qui :
+ Reçoit les demandes d'Amazon API Gateway
+ Modifie les en-têtes en fonction de la configuration et des données de demande entrantes
+ Transmet la demande modifiée au AS2 serveur du partenaire
+ Gère les protocoles HTTP et HTTPS
+ Inclut la gestion des erreurs et la journalisation

### Amazon API Gateway
<a name="api-gateway"></a>

Une API HTTP est configurée pour :
+ Recevoir des AS2 messages entrants
+ Acheminer les demandes vers la fonction Lambda
+ Retourner les réponses à AWS Transfer Family

### Paramètres du modèle
<a name="as2-header-template-parameter-details"></a>

Entrez les informations relatives aux paramètres du modèle comme suit. Notez que tous ces paramètres sont des chaînes.
+ `Environment`: ce paramètre est utilisé pour nommer les ressources créées par le modèle : qu'elles soient destinées à un environnement de développement ou de production. Les valeurs valides sont **dev** et **prod.** 
+ `PartnerHost`: adresse IP ou nom d'hôte du serveur AS2 partenaire.
+ `PartnerPort`: le numéro de port du serveur AS2 partenaire. Si ce n'est pas spécifié, la valeur par défaut est 80 pour HTTP et 443 pour HTTPS.
+ `PartnerPath`: le chemin d'accès au AS2 point de terminaison sur le serveur partenaire
+ `ProtocolType`: le protocole à utiliser pour la AS2 communication : les valeurs valides sont **HTTP** et **HTTPS**.

### Ressources conditionnelles
<a name="conditional-resources"></a>

Pour la prise en charge du protocole HTTPS, le modèle crée de manière conditionnelle :
+ Une couche Lambda pour les certificats CA
+ Configuration spécifique au protocole HTTPS dans la fonction Lambda

## Déploiement et utilisation
<a name="deployment-and-usage"></a>

**Pour personnaliser les en-têtes AS2 HTTP à l'aide d'un modèle CloudFormation**

1. Ouvrez la CloudFormation console à l'adresse [https://console.aws.amazon.com/cloudformation.](https://console.aws.amazon.com/cloudformation/)

1. Dans le volet de navigation de gauche, choisissez **Stacks (Piles)**.

1. Choisissez **Créer une pile**, puis choisissez **Avec de nouvelles ressources (standard).** 

1. Dans la section **Prérequis - Préparer le modèle**, **choisissez Choisir un modèle existant**.

1. Copiez ce lien, [modèle d'en-têtes HTTP dynamique](https://s3.amazonaws.com/aws-transfer-resources/as2-templates/dynamic-http-headers.template.yml), et collez-le dans le champ **URL d'Amazon S3**.

1. Choisissez **Suivant**. 

1. Renseignez les détails des paramètres avec vos informations. Elles sont détaillées dans[Paramètres du modèle](#as2-header-template-parameter-details).

1. Choisissez **Suivant**. Sur la page **Configurer les options de pile**, sélectionnez à nouveau **Next**. 

1. Passez en revue les détails de la pile que vous créez, puis choisissez **Create stack**. 
**Note**  
Au bas de la page, sous **Capacités**, vous devez reconnaître que cela CloudFormation peut créer des ressources Gestion des identités et des accès AWS (IAM). 

Après avoir déployé cette CloudFormation pile :

1. Notez l'URL du point de terminaison Amazon API Gateway fournie dans les sorties de la pile.

1. Mettez à jour votre AWS Transfer Family connecteur existant pour utiliser ce nouveau point de terminaison Amazon API Gateway.

1. La solution gérera désormais les AS2 messages, en ajoutant ou en modifiant les en-têtes tels que configurés.

**Avertissement**  
Modifiez uniquement l'en-tête du sujet ou ajoutez des en-têtes que votre partenaire attend explicitement. La modification d'autres en-têtes peut entraîner des échecs de transfert.

# Surveillance de AS2 l'utilisation
<a name="as2-monitoring"></a>

Vous pouvez surveiller AS2 l'activité à l'aide d'Amazon CloudWatch et AWS CloudTrail. Pour consulter d'autres statistiques du serveur Transfer Family, voir [Amazon CloudWatch Logging pour les AWS Transfer Family serveurs](structured-logging.md)


**AS2 métriques**  

| Métrique | Description | 
| --- | --- | 
| InboundMessage |  Nombre total de AS2 messages reçus avec succès d'un partenaire commercial. Unités : nombre Période : 5 minutes  | 
| InboundFailedMessage |  Nombre total de AS2 messages reçus sans succès de la part d'un partenaire commercial. En d'autres termes, un partenaire commercial a envoyé un message, mais le serveur Transfer Family n'a pas réussi à le traiter. Unités : nombre Période : 5 minutes  | 
| OutboundMessage |  Le nombre total de AS2 messages envoyés avec succès depuis le serveur Transfer Family à un partenaire commercial. Unités : nombre Durée : 5 minutes  | 
| OutboundFailedMessage |  Nombre total de AS2 messages envoyés sans succès à un partenaire commercial. En d'autres termes, ils ont été envoyés depuis le serveur Transfer Family, mais n'ont pas été reçus avec succès par le partenaire commercial. Unités : nombre Période : 5 minutes  | 
| DaysUntilExpiry |  Le nombre de jours avant l'expiration d'un certificat est déterminé par le paramètre `InactiveDate` indiqué sur le certificat lors de l'importation. Unités : nombre Dimensions :`CertificateId`, `Description` (si fourni) Période : 1 jour Pour de plus amples informations, veuillez consulter [AS2 rotation des certificats](managing-as2-partners.md#as2-certificate-rotation).  | 

## AS2 Codes d'état
<a name="as2-monitor-status-codes"></a>

Le tableau suivant répertorie tous les codes de statut qui peuvent être enregistrés dans les CloudWatch journaux lorsque vous ou votre partenaire envoyez un AS2 message. Les différentes étapes de traitement des messages s'appliquent à différents types de messages et sont destinées uniquement à la surveillance. Les états COMPLETED et FAILED représentent l'étape finale du traitement et sont visibles dans les fichiers JSON.


****  

| Code | Description | Le traitement est terminé ? | 
| --- | --- | --- | 
| EN TRAITEMENT | Le message est en cours de conversion dans son format final. Par exemple, les étapes de décompression et de déchiffrement ont toutes deux ce statut. | Non | 
| MDN\$1TRANSMIT | Le traitement des messages envoie une réponse MDN. | Non | 
| MDN\$1RECEIVE | Le traitement des messages reçoit une réponse MDN. | Non | 
| TERMINÉ | Le traitement des messages s'est terminé avec succès. Cet état inclut l'envoi d'un MDN pour un message entrant ou pour la vérification MDN des messages sortants. | Oui | 
| ÉCHEC | Le traitement du message a échoué. Pour obtenir la liste des codes d'erreur, consultez[AS2 codes d'erreur](#as2-error-codes). | Oui | 

## AS2 codes d'erreur
<a name="as2-error-codes"></a>

Le tableau suivant répertorie et décrit les codes d'erreur que vous pouvez recevoir lors de transferts de AS2 fichiers.


**AS2 codes d'erreur**  

| Code | Erreur | Description et résolution | 
| --- | --- | --- | 
| ACCESS\$1DENIED |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/transfer/latest/userguide/as2-monitoring.html)  |  Se produit lors du traitement d'une `StartFileTransfer` demande dont l'une des requêtes `SendFilePaths` n'est pas valide ou est mal formée. En d'autres termes, le chemin ne contient pas le nom du compartiment Amazon S3 ou contient des caractères non valides. Cela se produit également si Transfer Family n'assume pas le rôle d'accès ou de journalisation.Assurez-vous que le chemin contient un nom de compartiment et un nom de clé Amazon S3 valides. | 
| AGREEMENT\$1NOT\$1FOUND | Aucun accord n'a été trouvé. | Soit l'accord n'a pas été trouvé, soit il est associé à un profil inactif.Mettez à jour l'accord au sein du serveur Transfer Family pour inclure les profils actifs. | 
| CONNECTOR\$1NOT\$1FOUND | Le connecteur ou la configuration associée est introuvable. |  Soit le connecteur n'a pas été trouvé, soit il est associé à un profil inactif. Mettez à jour le connecteur pour inclure les profils actifs.  | 
| CREDENTIALS\$1RETRIEVAL\$1FAILED |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/transfer/latest/userguide/as2-monitoring.html)  |  Pour l'authentification AS2 de base, le secret doit être correctement formaté. Les résolutions suivantes correspondent aux erreurs répertoriées dans la colonne précédente. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/transfer/latest/userguide/as2-monitoring.html)  | 
| DECOMPRESSION\$1FAILED | Impossible de décompresser le message. |  Soit le fichier envoyé est endommagé, soit l'algorithme de compression n'est pas valide.  Renvoyez le message et vérifiez que la compression ZLIB est utilisée, ou renvoyez le message sans que la compression soit activée.  | 
| DECRYPT\$1FAILED | Impossible de déchiffrer le messagemessage-ID. Assurez-vous que le partenaire dispose de la bonne clé de chiffrement publique. |  Le déchiffrement a échoué. Vérifiez que le partenaire a envoyé une charge utile à l'aide d'un certificat valide et que le chiffrement a été effectué à l'aide d'un algorithme de chiffrement valide.  | 
| DECRYPT\$1FAILED\$1INVALID\$1SMIME\$1FORMAT | Impossible d'analyser le composant MIMEpart enveloppé. |  La charge utile MIME est soit corrompue, soit dans un format SMIME non pris en charge. L'expéditeur doit s'assurer que le format qu'il utilise est pris en charge, puis renvoyer la charge utile.  | 
| DECRYPT\$1FAILED\$1NO\$1DECRYPTION\$1KEY\$1FOUND | Aucune clé de déchiffrement correspondante n'a été trouvée. |  Aucun certificat correspondant au message n'a été attribué au profil du partenaire, ou les certificats correspondant au message sont maintenant expirés ou ne sont plus valides. Vous devez mettre à jour le profil du partenaire et vous assurer qu'il contient un certificat valide.  | 
| DECRYPT\$1FAILED\$1UNSUPPORTED\$1ENCRYPTION\$1ALG | Décryptage de la charge utile SMIME demandé à l'aide d'un algorithme non pris en charge avec l'ID :. encryption-ID |  L'expéditeur distant a envoyé une AS2 charge utile avec un algorithme de chiffrement non pris en charge. L'expéditeur doit choisir un algorithme de chiffrement pris en charge par AWS Transfer Family.  | 
| DUPLICATE\$1MESSAGE | Étape dupliquée ou traitée deux fois. |  La charge utile comporte une étape de traitement dupliquée. Par exemple, il existe deux étapes de chiffrement. Renvoyez le message en une seule étape pour la signature, la compression et le chiffrement.  | 
| ENCRYPT\$1FAILED\$1NO\$1ENCRYPTION\$1KEY\$1FOUND |  Aucun certificat de chiffrement public valide n'a été trouvé dans le profil : *local-profile-ID*  | Transfer Family tente de chiffrer un message sortant, mais aucun certificat de chiffrement n'a été trouvé pour le profil local.Options de résolution :[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/transfer/latest/userguide/as2-monitoring.html) | 
| ENCRYPTION\$1FAILED | Impossible de chiffrer le fichierfile-name. |  Le fichier à envoyer n'est pas disponible pour le chiffrement. Vérifiez que le fichier se trouve à l' AS2 emplacement prévu et qu'il AWS Transfer Family est autorisé à le lire.  | 
| FILE\$1SIZE\$1TOO\$1LARGE | La taille du fichier est trop importante. | Cela se produit lors de l'envoi ou de la réception d'un fichier dont la taille dépasse la limite de taille de fichier. | 
| HTTP\$1ERROR\$1RESPONSE\$1FROM\$1PARTNER |  *partner-URL*a renvoyé le statut 400 pour un message avec ID=*message-ID*.  |  La communication avec le AS2 serveur du partenaire a renvoyé un code de réponse HTTP inattendu. Le partenaire sera peut-être en mesure de fournir des diagnostics supplémentaires à partir des journaux de son AS2 serveur.  | 
| INSUFFICENT\$1MESSAGE\$1SECURITY\$1UNENCRYPTED | Le chiffrement est obligatoire. | Le partenaire a envoyé un message non crypté à Transfer Family, qui n'est pas pris en charge. L'expéditeur doit utiliser une charge utile cryptée. | 
| INVALID\$1ENDPOINT\$1PROTOCOL | Seuls les protocoles HTTP et HTTPS sont pris en charge. | Vous devez spécifier HTTP ou HTTPS comme protocole dans la configuration de votre AS2 connecteur. | 
| INVALID\$1REQUEST |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/transfer/latest/userguide/as2-monitoring.html)  |  Cette erreur a plusieurs causes. Les résolutions suivantes correspondent aux erreurs répertoriées dans la colonne précédente. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/transfer/latest/userguide/as2-monitoring.html) | 
| INVALID\$1URL\$1FORMAT | Format d'URL non valide : URL |  Cela se produit lorsque vous envoyez un message sortant à l'aide d'un connecteur configuré avec une URL mal formée. Assurez-vous que le connecteur est configuré avec une URL HTTP ou HTTPS valide.  | 
| MDN\$1RESPONSE\$1INDICATES\$1AUTHENTICATION\$1FAILED | Ne s’applique pas | Le destinataire ne peut pas authentifier l'expéditeur. Le partenaire commercial renvoie un MDN à Transfer Family avec le [modificateur de disposition](https://datatracker.ietf.org/doc/html/rfc4130#section-7.5.4) Error : authentication-failed. | 
| MDN\$1RESPONSE\$1INDICATES\$1DECOMPRESSION\$1FAILED | Ne s’applique pas | Cela se produit lorsque le récepteur ne peut pas décompresser le contenu du message. Le partenaire commercial renvoie un MDN à Transfer Family avec le [modificateur de disposition](https://datatracker.ietf.org/doc/html/rfc4130#section-7.5.4) Error : decompression-failed. | 
| MDN\$1RESPONSE\$1INDICATES\$1DECRYPTION\$1FAILED | Ne s’applique pas | Le destinataire ne peut pas déchiffrer le contenu du message. Le partenaire commercial renvoie un MDN à Transfer Family avec le [modificateur de disposition](https://datatracker.ietf.org/doc/html/rfc4130#section-7.5.4) Error : authentication-failed. | 
| MDN\$1RESPONSE\$1INDICATES\$1INSUFFICIENT\$1MESSAGE\$1SECURITY | Ne s’applique pas | Le destinataire s'attend à ce que le message soit signé ou chiffré, mais ce n'est pas le cas. Le partenaire commercial renvoie un MDN à Transfer Family avec le [modificateur de disposition](https://datatracker.ietf.org/doc/html/rfc4130#section-7.5.4) Error : insufficient-message-security.Activez le and/or chiffrement des signatures sur le connecteur pour répondre aux attentes du partenaire commercial. | 
| MDN\$1RESPONSE\$1INDICATES\$1INTEGRITY\$1CHECK\$1FAILED | Ne s’applique pas | Le récepteur ne peut pas vérifier l'intégrité du contenu. Le partenaire commercial renvoie un MDN à Transfer Family avec le [modificateur de disposition](https://datatracker.ietf.org/doc/html/rfc4130#section-7.5.4) Error : integrity-check-failed. | 
| PATH\$1NOT\$1FOUND |  Impossible de créer le répertoire*file-path*. Le chemin parent est introuvable.  | Transfer Family tente de créer un répertoire dans le compartiment Amazon S3 du client, mais celui-ci est introuvable.Assurez-vous que chaque chemin mentionné dans la `StartFileTransfer` commande contient le nom d'un compartiment existant. | 
| SEND\$1FILE\$1NOT\$1FOUND | Le chemin du fichier file-path est introuvable. |  Transfer Family ne trouve pas le fichier lors de l'opération d'envoi de fichier. Vérifiez que le répertoire de base et le chemin configurés sont valides et que Transfer Family dispose des autorisations de lecture pour le fichier.  | 
| SERVER\$1NOT\$1FOUND | Impossible de trouver le serveur associé au message. | Transfer Family n'a pas pu trouver le serveur lors de la réception d'un message. Cela peut se produire si le serveur est supprimé pendant le traitement d'un message entrant. | 
| SERVER\$1NOT\$1ONLINE | server-IDLe serveur n'est pas en ligne. | Le serveur Transfer Family est hors ligne.Démarrez le serveur afin qu'il puisse recevoir et traiter les messages. | 
| SIGNING\$1FAILED | Impossible de signer le fichier. |  Le fichier à envoyer n'est pas disponible pour signature ou la signature n'a pas pu être effectuée. Vérifiez que le fichier se trouve à l' AS2 emplacement prévu et qu'il AWS Transfer Family est autorisé à le lire.  | 
| SIGNING\$1FAILED\$1NO\$1SIGNING\$1KEY\$1FOUND | Aucun certificat n'a été trouvé pour le profil :local-profile-ID. | Tentative de signature d'un message sortant, mais aucun certificat de signature n'a été trouvé pour le profil local.Options de résolution :[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/transfer/latest/userguide/as2-monitoring.html) | 
| UNABLE\$1RESOLVE\$1HOST\$1TO\$1IP\$1ADDRESS | Impossible de convertir le nom d'hôte en adresses IP. |  Transfer Family n'est pas en mesure d'effectuer la résolution du DNS en adresse IP sur le serveur DNS public configuré dans le AS2 connecteur. Mettez à jour le connecteur pour qu'il pointe vers une URL de partenaire valide.  | 
| UNABLE\$1TO\$1CONNECT\$1TO\$1REMOTE\$1HOST\$1OR\$1IP | Le délai de connexion au point de terminaison a expiré. |  Transfer Family ne peut pas établir de connexion socket avec le AS2 serveur du partenaire configuré. Vérifiez que le AS2 serveur du partenaire est disponible à l'adresse IP configurée.  | 
| UNABLE\$1TO\$1RESOLVE\$1HOSTNAME | Impossible de résoudre le nom d'hôtehostname.  |  Le serveur Transfer Family n'a pas pu résoudre le nom d'hôte du partenaire en utilisant un serveur DNS public. Vérifiez que l'hôte configuré est enregistré et que l'enregistrement DNS a eu le temps de publier.  | 
| VERIFICATION\$1FAILED | La vérification de signature a échoué pour le AS2 message message-ID ou le code MIC ne correspond pas. | Vérifiez que le certificat de signature de l'expéditeur correspond aux certificats de signature du profil distant. Vérifiez également que les algorithmes MIC sont compatibles avec AWS Transfer Family. | 
| VERIFICATION\$1FAILED\$1NO\$1MATCHING\$1KEY\$1FOUND |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/transfer/latest/userguide/as2-monitoring.html)  | AWS Transfer Family tente de vérifier la signature d'un message reçu, mais aucun certificat de signature correspondant n'est trouvé pour le profil du partenaire. Options de résolution :[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/transfer/latest/userguide/as2-monitoring.html) | 

# Surveillance de l'expiration des certificats
<a name="certificate-expiry-monitoring"></a>

AWS Transfer Family surveille automatiquement les dates d'expiration des AS2 certificats et publie une CloudWatch statistique Amazon pour vous aider à savoir quand les certificats approchent de leur expiration. Cela vous permet de gérer de manière proactive les renouvellements de certificats et d'éviter les interruptions de service.

## DaysUntilExpiry métrique
<a name="daysuntilexpiry-metric"></a>

Lorsque vous importez un certificat à AS2 utiliser, Transfer Family crée automatiquement une CloudWatch métrique appelée`DaysUntilExpiry`. Cette métrique permet de suivre le nombre de jours restant avant l'expiration du certificat en fonction du délai `InactiveDate` que vous avez spécifié lors de l'importation du certificat.

**Détails du système métrique :**
+ **Nom de la métrique :** `DaysUntilExpiry`
+ **Espace de noms :** `AWS/Transfer`
+ **Dimensions :** `CertificateId` (toujours présentes), `Description` (si fournies lors de l'importation du certificat)
+ **Unités :** Nombre (jours)
+ **Fréquence :** Publié tous les jours

**Important**  
L'importation d'un certificat peut prendre jusqu'à une journée pour que Transfer Family émette cette métrique sur votre compte.

La valeur de la métrique diminue d'un par jour à mesure que le certificat approche de sa date d'inactivité. Par exemple, si un certificat doit expirer dans un délai de 30 jours, la métrique indiquera 30, puis 29 le jour suivant, et ainsi de suite.

## Bonnes pratiques en matière de surveillance des certificats
<a name="certificate-monitoring-best-practices"></a>

Suivez les meilleures pratiques suivantes lors de la configuration de la surveillance de l'expiration des certificats :
+ **Définissez plusieurs seuils d'alerte :** créez des alarmes pour différentes périodes (par exemple, 30 jours, 14 jours et 7 jours avant l'expiration) afin de prévoir un délai suffisant pour le renouvellement du certificat.
+ **Utilisez les statistiques appropriées :** utilisez les `Maximum` statistiques lorsque vous créez des alarmes pour vous assurer de capturer la valeur de mesure la plus récente.
+ **Configurez les actions d'alarme appropriées :** configurez des notifications pour avertir les membres de l'équipe concernés qui peuvent renouveler les certificats.
+ **Testez vos alertes :** testez régulièrement votre système de notification pour vous assurer que les alertes sont correctement envoyées.
+ **Documentez votre processus :** conservez la documentation concernant le processus de renouvellement de vos certificats et les personnes responsables des différents certificats.

## Exemples de configurations d'alarme
<a name="certificate-monitoring-examples"></a>

Voici quelques exemples de configurations d'alarme pour différents scénarios de notification :

### Avertissement d'expiration de 30 jours
<a name="thirty-day-warning"></a>

Créez une alarme qui se déclenche lorsqu'un certificat expire dans un délai de 30 jours ou moins :
+ **Métrique :** DaysUntilExpiry
+ **Statistique :** maximum
+ **Période :** 1 jour
+ **Seuil :** 30
+ **Comparaison :** inférieur ou égal au seuil
+ **Traitement des données manquantes :** traitez les données manquantes comme bonnes (pas comme des violations)

### Avertissement d'expiration critique de 7 jours
<a name="critical-warning"></a>

Créez une alarme critique qui se déclenche lorsqu'un certificat expire dans un délai de 7 jours ou moins :
+ **Métrique :** DaysUntilExpiry
+ **Statistique :** maximum
+ **Période :** 1 jour
+ **Seuil :** 7
+ **Comparaison :** inférieur ou égal au seuil
+ **Traitement des données manquantes :** traitez les données manquantes comme bonnes (pas comme des violations)