Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# AWS Transfer Family untuk AS2
Applicability Statement 2 (AS2) adalah spesifikasi transmisi file yang ditentukan RFC yang mencakup perlindungan pesan dan mekanisme verifikasi yang kuat. Melindungi AS2 muatan dalam perjalanan menggunakan Cryptographic Message Syntax (CMS) dengan enkripsi dan tanda tangan digital untuk memberikan perlindungan data dan otentikasi rekan. Payload respons Pemberitahuan Disposisi Pesan (MDN) yang ditandatangani memberikan verifikasi (non-penolakan) bahwa pesan diterima dan berhasil didekripsi.
AS2 Protokol ini sangat penting untuk alur kerja dengan persyaratan kepatuhan yang bergantung pada perlindungan data dan fitur keamanan yang dibangun ke dalam protokol. AWS Transfer Family AS2 Titik akhir [bersertifikat Drummond](https://aws.amazon.com/about-aws/whats-new/2023/06/aws-transfer-family-drummond-group-as2-certification/), memungkinkan pelanggan di industri seperti ritel, ilmu hayati, manufaktur, layanan keuangan, dan utilitas untuk bertransaksi dengan aman dengan mitra bisnis mereka.
Saat Anda menggunakan AS2 Transfer Family, data yang ditransaksikan dapat diakses secara AWS native untuk:
+ Pemrosesan, analisis, dan pembelajaran mesin
+ Integrasi dengan sistem perencanaan sumber daya perusahaan (ERP)
+ Integrasi dengan sistem manajemen hubungan pelanggan (CRM)
Untuk bertukar file dengan mitra yang memiliki server AS2 yang diaktifkan, Anda harus:
+ Menghasilkan key pair public-private untuk enkripsi
+ Menghasilkan key pair public-private untuk penandatanganan
+ Tukarkan kunci publik dengan pasangan Anda
**penting**
Titik akhir AS2 server HTTPS saat ini tidak didukung. Anda bertanggung jawab atas penghentian TLS.
Transfer Family menyediakan lokakarya yang dapat Anda hadiri, di mana Anda dapat mengonfigurasi titik akhir Transfer Family dengan AS2 diaktifkan, dan AS2 konektor Transfer Family. Anda dapat melihat detail untuk lokakarya ini [di sini](https://catalog.workshops.aws/transfer-family-as2/en-US).
Untuk step-by-step petunjuk konfigurasi AS2 di Transfer Family, lihat berikut ini:
1. [Impor AS2 sertifikat](managing-as2-partners.md#configure-as2-certificate)
1. [Buat AS2 profil](configure-as2-profile.md)
1. [Buat AS2 server](create-as2-transfer-server.md)
1. [Buat AS2 perjanjian](create-as2-transfer-server.md#as2-agreements)
1. [Konfigurasikan AS2 konektor](configure-as2-connector.md)
Untuk contoh lengkapnya, lihat[Menyiapkan AS2 konfigurasi](as2-example-tutorial.md).
**catatan**
Untuk menunjukkan dukungan untuk template AS2 Terraform, tambahkan reaksi jempol (π) ke permintaan fitur template [Transfer Family Terraform](https://github.com/aws-ia/terraform-aws-transfer-family/issues/62#issue-3364703944). Anda juga dapat menambahkan komentar yang menjelaskan kasus penggunaan Anda.
## AS2 kasus penggunaan
Jika Anda adalah AWS Transfer Family pelanggan yang ingin bertukar file dengan mitra yang memiliki server yang AS2 diaktifkan, bagian paling kompleks dari pengaturan melibatkan pembuatan satu public-private key pair untuk enkripsi dan satu lagi untuk menandatangani dan bertukar kunci publik dengan mitra.
![\[Diagram yang menunjukkan penggunaan pasangan kunci publik-pribadi untuk enkripsi dan penandatanganan.\]](http://docs.aws.amazon.com/id_id/transfer/latest/userguide/images/as2-architecture-high-level.png)
Pertimbangkan variasi berikut untuk digunakan AWS Transfer Family dengan AS2.
**catatan**
*Mitra dagang* adalah mitra yang terkait dengan profil mitra tersebut.
*Semua penyebutan *MDN* dalam tabel berikut berasumsi ditandatangani.* MDNs
**AS2 kasus penggunaan**
| |
| --- |
| Kasus penggunaan khusus masuk [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/transfer/latest/userguide/as2-for-transfer-family.html) |
| Kasus penggunaan khusus keluar [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/transfer/latest/userguide/as2-for-transfer-family.html) |
| Kasus penggunaan masuk dan keluar [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/transfer/latest/userguide/as2-for-transfer-family.html) |
## AS2 CloudFormation template
Topik ini memberikan informasi tentang AWS CloudFormation template yang dapat Anda gunakan untuk menyebarkan AS2 server dan konfigurasi dengan cepat. AWS Transfer Family Template ini mengotomatiskan proses penyiapan dan membantu Anda menerapkan praktik terbaik untuk transfer AS2 file.
+ AS2 Template dasar dijelaskan dalam [Gunakan template untuk membuat AS2 tumpukan Transfer Family demo](create-as2-transfer-server.md#as2-cfn-demo-template)
+ AS2 Template untuk menyesuaikan header HTTP dijelaskan dalam. [Sesuaikan header HTTP untuk pesan AS2](as2-custom-http-headers.md)
### Menyesuaikan templat AS2
Anda dapat menyesuaikan templat yang disediakan untuk memenuhi persyaratan spesifik Anda:
1. Unduh template dari URL S3.
1. Ubah kode YAMM untuk menyesuaikan konfigurasi seperti:
+ Pengaturan keamanan dan konfigurasi sertifikat
+ Arsitektur jaringan dan pengaturan VPC
+ Opsi penyimpanan dan penanganan file
+ Preferensi pemantauan dan pemberitahuan
1. Unggah template Anda yang dimodifikasi ke bucket S3 Anda sendiri.
1. Terapkan template yang disesuaikan menggunakan CloudFormation konsol atau AWS CLI.
**penting**
Saat menyesuaikan template, pastikan Anda mempertahankan dependensi antar sumber daya dan mengikuti praktik terbaik keamanan.
### Menguji AS2 penerapan Anda
Setelah menerapkan AS2 server menggunakan template, Anda dapat menguji konfigurasi:
1. Periksa output CloudFormation tumpukan untuk perintah sampel dan informasi titik akhir.
1. Gunakan AWS CLI untuk mengirim file pengujian:
```
aws s3api put-object --bucket your-bucket-name --key test.txt --body test.txt
aws transfer start-file-transfer --connector-id your-connector-id --send-file-paths /your-bucket-name/test.txt
```
1. Verifikasi pengiriman file di bucket S3 tujuan.
1. Periksa CloudWatch log untuk pemrosesan yang berhasil dan tanggapan MDN.
Untuk pengujian yang lebih komprehensif, pertimbangkan untuk menggunakan AS2 klien pihak ketiga untuk mengirim file ke AS2 server Transfer Family Anda.
### Praktik terbaik untuk penerapan AS2 template
Ikuti praktik terbaik ini saat menggunakan AS2 CloudFormation templat:
Keamanan
Gunakan sertifikat yang kuat dan putar secara teratur.
Menerapkan kebijakan IAM dengan hak istimewa paling sedikit.
Batasi akses jaringan menggunakan grup keamanan.
Keandalan
Terapkan di beberapa Availability Zone.
Menerapkan pemantauan dan peringatan untuk transfer yang gagal.
Siapkan percobaan ulang otomatis untuk transfer yang gagal.
Performa
Pilih jenis instans yang sesuai untuk volume transfer Anda.
Menerapkan kebijakan siklus hidup S3 untuk manajemen file yang efisien.
Memantau dan mengoptimalkan konfigurasi jaringan.
Pengoptimalan Biaya
Gunakan auto-scaling untuk beban kerja variabel.
Menerapkan kelas penyimpanan S3 untuk file yang lebih lama.
Pantau dan sesuaikan sumber daya berdasarkan penggunaan aktual.
# Mengkonfigurasi AS2
Untuk membuat AS2 server yang diaktifkan, Anda juga harus menentukan komponen berikut:
+ **Perjanjian β *Perjanjian*** mitra dagang bilateral, atau kemitraan, menentukan hubungan antara kedua pihak yang bertukar pesan (file). Untuk menentukan perjanjian, Transfer Family menggabungkan server, profil lokal, profil mitra, dan informasi sertifikat. Transfer Family AS2 -proses masuk menggunakan perjanjian.
+ **Sertifikat β Sertifikat** *kunci publik (X.509)* digunakan dalam AS2 komunikasi untuk enkripsi dan verifikasi pesan. Sertifikat juga digunakan untuk titik akhir konektor.
+ **Profil lokal dan profil mitra** β *Profil lokal* mendefinisikan organisasi atau βpestaβ lokal (AS2-enabled Transfer Family server). Demikian pula, *profil mitra* mendefinisikan organisasi mitra jarak jauh, eksternal untuk Transfer Family.
**Meskipun tidak diperlukan untuk semua AS2 server yang diaktifkan, untuk transfer keluar, Anda memerlukan konektor.** Konektor menangkap parameter untuk koneksi keluar. Konektor diperlukan untuk mengirim file ke eksternal pelanggan, non AWS server.
Diagram berikut menunjukkan hubungan antara AS2 objek yang terlibat dalam proses masuk dan keluar.
![\[Diagram yang menunjukkan hubungan antara AS2 objek yang terlibat dalam proses inbound dan outbound.\]](http://docs.aws.amazon.com/id_id/transfer/latest/userguide/images/as2-architecture-in-out-agree-connect.png)
Untuk AS2 konfigurasi end-to-end contoh, lihat[Menyiapkan AS2 konfigurasi](as2-example-tutorial.md).
**Topics**
+ [AS2 konfigurasi](#as2-supported-configurations)
+ [AS2 kuota dan batasan](#as2-limitations)
+ [AS2 fitur dan kemampuan](#as2-capabilities)
## AS2 konfigurasi
Topik ini menjelaskan konfigurasi, fitur, dan kemampuan yang didukung untuk transfer yang menggunakan protokol Applicability Statement 2 (AS2), termasuk cipher dan digest yang diterima.
**Penandatanganan, enkripsi, kompresi, MDN**
Untuk transfer masuk dan keluar, item berikut wajib atau opsional:
+ **Enkripsi** β Diperlukan (untuk transportasi HTTP, yang merupakan satu-satunya metode transport yang saat ini didukung). Pesan yang tidak terenkripsi hanya diterima jika diteruskan oleh proxy penghentian TLS seperti Application Load Balancer (ALB) dan header ada. `X-Forwarded-Proto: https`
+ **Penandatanganan** - Opsional
+ **Kompresi** - Opsional (satu-satunya algoritma kompresi yang didukung saat ini adalah ZLIB)
+ **Pemberitahuan Disposisi Pesan (MDN) β Opsional**
**Cipher**
Cipher berikut didukung untuk transfer masuk dan keluar:
+ AES128\$1CBC
+ AES192\$1CBC
+ AES256\$1CBC
+ 3DES (hanya untuk kompatibilitas mundur)
**Intisari**
Intisari berikut didukung:
+ **Penandatanganan masuk dan MDN** β SHA1,,, SHA256 SHA384 SHA512
+ **Penandatanganan Outbound dan MDN** β SHA1,,, SHA256 SHA384 SHA512
**MDN**
Untuk tanggapan MDN, jenis tertentu didukung, sebagai berikut:
+ **Transfer masuk** β Sinkron dan asinkron
+ **Transfer keluar β Hanya** sinkron
+ **Protokol Transfer Surat Sederhana (SMTP) (email MDN)** - Tidak didukung
**Transportasi**
+ **Transfer masuk** - HTTP adalah satu-satunya transportasi yang didukung saat ini, dan Anda harus menentukannya secara eksplisit.
**catatan**
Jika Anda perlu menggunakan HTTPS untuk transfer masuk, Anda dapat menghentikan TLS pada Application Load Balancer atau Network Load Balancer. Ini dijelaskan dalam[Menerima AS2 pesan melalui HTTPS](send-as2-messages.md#receive-https).
+ **Transfer keluar** β Jika Anda memberikan URL HTTP, Anda juga harus menentukan algoritma enkripsi. Jika Anda memberikan URL HTTPS, Anda memiliki opsi untuk menentukan **NONE** untuk algoritme enkripsi Anda.
## AS2 kuota dan batasan
Bagian ini membahas kuota dan batasan untuk AS2
**Topics**
+ [AS2 kuota](#as2-quotas)
+ [Kuota untuk menangani rahasia](#as2-quotas-secrets)
+ [Keterbatasan yang Sudah Diketahui](#as2-known-limitations)
### AS2 kuota
Kuota berikut tersedia untuk transfer AS2 file. Untuk meminta kenaikan kuota yang dapat disesuaikan, lihat [Layanan AWS kuota](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html) di. *Referensi Umum AWS*
**AS2 kuota**
| Nama | Default | Dapat disesuaikan |
| --- | --- | --- |
| Jumlah maksimum file per permintaan keluar | 10 | Tidak |
| Jumlah maksimum permintaan keluar per detik | 100 | Tidak |
| Jumlah maksimum permintaan masuk per detik | 100 | Tidak |
| Bandwidth keluar maksimum per akun (SFTP keluar dan AS2 permintaan keduanya berkontribusi pada nilai ini) | 50 MB per detik | Tidak |
### Kuota untuk menangani rahasia
AWS Transfer Family melakukan panggilan ke AWS Secrets Manager atas nama AS2 pelanggan yang menggunakan otentikasi Dasar. Selain itu Secrets Manager membuat panggilan ke AWS KMS.
**catatan**
Kuota ini tidak spesifik untuk penggunaan rahasia Anda untuk Transfer Family: kuota ini dibagikan di antara semua layanan di Anda Akun AWS.
Untuk Secrets Manager`GetSecretValue`, kuota yang berlaku adalah **Combined rate of DescribeSecret dan permintaan GetSecretValue API**, seperti yang dijelaskan dalam [AWS Secrets Manager kuota](https://docs.aws.amazon.com/secretsmanager/latest/userguide/reference_limits.html#quotas).
**Secrets Manager `GetSecretValue`**
| Nama | Nilai | Deskripsi |
| --- | --- | --- |
| Tingkat gabungan permintaan DescribeSecret dan GetSecretValue API | Setiap Wilayah yang didukung: 10.000 per detik | Transaksi maksimum per detik untuk DescribeSecret dan operasi GetSecretValue API digabungkan. |
Untuk AWS KMS, kuota berikut berlaku untuk`Decrypt`. Untuk detailnya, lihat [Meminta kuota untuk setiap operasi AWS KMS API](https://docs.aws.amazon.com/kms/latest/developerguide/requests-per-second.html#rps-table)
**AWS KMSΒ `Decrypt`**
| Nama kuota | Nilai default (permintaan per detik) |
| --- | --- |
| Tingkat permintaan operasi kriptografi (simetris) | Kuota bersama ini bervariasi dengan Wilayah AWS dan jenis AWS KMS kunci yang digunakan dalam permintaan. Setiap kuota dihitung secara terpisah. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/transfer/latest/userguide/create-b2b-server.html) |
| Kuota permintaan toko kunci kustom Kuota ini hanya berlaku jika Anda menggunakan toko kunci eksternal. | Kuota permintaan toko kunci khusus dihitung secara terpisah untuk setiap toko kunci khusus. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/transfer/latest/userguide/create-b2b-server.html) |
### Keterbatasan yang Sudah Diketahui
+ Keep-alive TCP sisi server tidak didukung. Waktu koneksi habis setelah 350 detik tidak aktif kecuali klien mengirim paket keep-alive.
+ Agar perjanjian aktif diterima oleh layanan dan muncul di CloudWatch log Amazon, pesan harus berisi AS2 header yang valid.
+ [Server yang menerima pesan dari AWS Transfer Family for AS2 harus mendukung atribut perlindungan algoritma Cryptographic Message Syntax (CMS) untuk memvalidasi tanda tangan pesan, seperti yang didefinisikan dalam RFC 6211.](https://datatracker.ietf.org/doc/html/rfc6211) Atribut ini tidak didukung di beberapa produk IBM Sterling yang lebih lama.
+ Pesan duplikat IDs menghasilkan pesan diproses/peringatan: duplikat dokumen.
+ Panjang kunci untuk AS2 sertifikat harus setidaknya 2048 bit, dan paling banyak 4096.
+ Saat mengirim AS2 pesan atau asinkron MDNs ke titik akhir HTTPS mitra dagang, pesan atau MDNs harus menggunakan sertifikat SSL yang valid yang ditandatangani oleh otoritas sertifikat tepercaya publik (CA). Sertifikat yang ditandatangani sendiri saat ini hanya didukung untuk transfer keluar.
+ Titik akhir harus mendukung protokol TLS versi 1.2 dan algoritma kriptografi yang diizinkan oleh kebijakan keamanan (seperti yang dijelaskan dalam). [Kebijakan keamanan untuk AWS Transfer Family server](security-policies.md)
+ Beberapa lampiran dan pesan pertukaran sertifikat (CEM) dari AS2 versi 1.2 saat ini tidak didukung.
+ Autentikasi dasar saat ini hanya didukung untuk pesan keluar.
+ Anda dapat melampirkan alur kerja pemrosesan file ke server Transfer Family yang menggunakan AS2 protokol: namun, AS2 pesan tidak menjalankan alur kerja yang dilampirkan ke server.
## AS2 fitur dan kemampuan
Tabel berikut mencantumkan fitur dan kemampuan yang tersedia untuk sumber daya Transfer Family yang digunakan AS2.
### AS2 fitur
Transfer Family menawarkan fitur-fitur berikut untuk AS2.
| Fitur | Didukung oleh AWS Transfer Family |
| --- |--- |
| [Sertifikasi Drummond](https://aws.amazon.com/about-aws/whats-new/2023/06/aws-transfer-family-drummond-group-as2-certification/) | Ya |
| [AWS CloudFormation dukungan](https://docs.aws.amazon.com/transfer/latest/userguide/as2-cfn-demo-template.html) | Ya |
| [ CloudWatchMetrik Amazon](https://docs.aws.amazon.com/transfer/latest/userguide/as2-monitoring.html) | Ya |
| [Algoritma kriptografi SHA-2](https://docs.aws.amazon.com/transfer/latest/userguide/security-policies.html#cryptographic-algorithms) | Ya |
| Support untuk Amazon S3 | Ya |
| Dukungan untuk Amazon EFS | Tidak |
| Pesan Terjadwal | Ya 1 |
| AWS Transfer Family Alur Kerja Terkelola | Tidak |
| Pesan Pertukaran Sertifikat (CEM) | Tidak |
| TLS Bersama (mTLS) | Tidak |
| Support untuk sertifikat yang ditandatangani sendiri | Ya |
1. Pesan Terjadwal Keluar tersedia dengan [AWS Lambda fungsi penjadwalan menggunakan Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-run-lambda-schedule.html)
### AS2 mengirim dan menerima kemampuan
Tabel berikut menyediakan daftar kemampuan AWS Transfer Family AS2 mengirim dan menerima.
| Kemampuan | Inbound: Menerima dengan server | Keluar: Mengirim dengan konektor |
| --- |--- |--- |
| [Transportasi Terenkripsi TLS (HTTPS)](send-as2-messages.md#as2-https-process) | Ya 1 | Ya |
| Transportasi Non-TLS (HTTP) | Ya | Ya 2 |
| MDN sinkron | Ya | Ya |
| Kompresi Pesan | Ya | Ya |
| MDN asinkron | Ya | Tidak |
| Alamat IP Statis | Ya | Ya |
| Bawa Alamat IP Anda Sendiri | Ya | Tidak |
| Beberapa Lampiran File | Tidak | Tidak |
| Otentikasi Dasar | Tidak | Ya |
| AS2 Mulai ulang | Tidak berlaku | Tidak |
| AS2 Keandalan | Tidak | Tidak |
| Subjek Kustom per Pesan | Tidak berlaku | Tidak |
1. Transportasi Terenkripsi TLS Masuk tersedia dengan Network Load Balancer (NLB) atau Application Load Balancer (ALB)
2. Transportasi Non-TLS Outbound hanya tersedia saat enkripsi diaktifkan
# Kelola AS2 sertifikat
Topik ini membahas cara mengimpor dan mengelola AS2 sertifikat. Mengimpor sertifikat adalah langkah pertama dalam AS2 proses Transfer Family.
1. Impor sertifikat
1. [Buat AS2 profil](configure-as2-profile.md)
1. [Buat AS2 server](create-as2-transfer-server.md)
1. [Buat AS2 perjanjian](create-as2-transfer-server.md#as2-agreements)
1. [Konfigurasikan AS2 konektor](configure-as2-connector.md)
## Impor AS2 sertifikat
AS2 Proses Transfer Family menggunakan kunci sertifikat untuk enkripsi dan penandatanganan informasi yang ditransfer. Mitra dapat menggunakan kunci yang sama untuk kedua tujuan, atau kunci terpisah untuk masing-masing. Jika Anda memiliki kunci enkripsi umum yang disimpan di escrow oleh pihak ketiga tepercaya sehingga data dapat didekripsi jika terjadi bencana atau pelanggaran keamanan, sebaiknya Anda memiliki kunci penandatanganan terpisah. Dengan menggunakan kunci penandatanganan terpisah (yang tidak Anda escrow), Anda tidak mengkompromikan fitur non-penolakan tanda tangan digital Anda.
**catatan**
Panjang kunci untuk AS2 sertifikat harus setidaknya 2048 bit, dan paling banyak 4096.
Poin-poin berikut merinci bagaimana AS2 sertifikat digunakan selama proses berlangsung.
+ Masuk AS2
+ Mitra dagang mengirimkan kunci publik mereka untuk sertifikat penandatanganan, dan kunci ini diimpor ke profil mitra.
+ Pihak lokal mengirimkan kunci publik untuk enkripsi dan sertifikat penandatanganan mereka. Mitra kemudian mengimpor kunci pribadi atau kunci. Pihak lokal dapat mengirim kunci sertifikat terpisah untuk penandatanganan dan enkripsi, atau dapat memilih untuk menggunakan kunci yang sama untuk kedua tujuan tersebut.
+ Keluar AS2
+ Mitra mengirimkan kunci publik untuk sertifikat enkripsi mereka, dan kunci ini diimpor ke profil mitra.
+ Pihak lokal mengirimkan kunci publik untuk sertifikat untuk ditandatangani, dan mengimpor kunci pribadi sertifikat untuk ditandatangani.
+ Jika Anda menggunakan HTTPS, Anda dapat mengimpor sertifikat Transport Layer Security (TLS) yang ditandatangani sendiri.
Untuk detail tentang cara membuat sertifikat, lihat[Langkah 1: Buat sertifikat untuk AS2](as2-example-tutorial.md#as2-create-certs).
Prosedur ini menjelaskan cara mengimpor sertifikat dengan menggunakan konsol Transfer Family. Jika Anda ingin menggunakan AWS CLI sebagai gantinya, lihat[Langkah 2: Impor sertifikat sebagai sumber sertifikat Transfer Family](as2-example-tutorial.md#as2-import-certs-example).
**Untuk menentukan sertifikat AS2 -enabled**
1. Buka AWS Transfer Family konsol di [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).
1. Di panel navigasi kiri, di bawah **Mitra AS2 Dagang**, pilih **Sertifikat**.
1. Pilih **Impor sertifikat**.
1. Di bagian **konfigurasi Sertifikat**, untuk **deskripsi Sertifikat**, masukkan nama yang mudah diidentifikasi untuk sertifikat. Pastikan Anda dapat mengidentifikasi tujuan sertifikat dengan deskripsinya. Selain itu, pilih peran untuk sertifikat.
1. Di bagian **Penggunaan sertifikat**, pilih tujuan untuk sertifikat ini. Ini dapat digunakan untuk enkripsi, penandatanganan, atau keduanya.
**Tip:** Jika Anda memilih **Enkripsi dan menandatangani** untuk penggunaan, Transfer Family akan membuat dua sertifikat identik (masing-masing memiliki ID sendiri): satu dengan nilai penggunaan `ENCRYPTION` dan satu dengan nilai penggunaan`SIGNING`.
1. Di bagian **Konten Sertifikat**, berikan sertifikat publik dari mitra dagang, atau kunci publik dan pribadi untuk sertifikat lokal.
Isi bagian **Isi sertifikat** dengan detail yang sesuai.
+ Jika Anda memilih **Sertifikat yang ditandatangani sendiri**, Anda tidak memberikan rantai sertifikat.
+ Tempelkan teks sertifikat dan rantainya ke bidang **rantai Sertifikat dan Sertifikat**.
+ Jika sertifikat ini adalah sertifikat lokal, tempel di kunci pribadinya.
1. Pilih **Impor sertifikat** untuk menyelesaikan proses dan menyimpan rincian untuk sertifikat yang diimpor.
**catatan**
Sertifikat TLS hanya dapat diimpor sebagai sertifikat publik mitra. Jika Anda memilih **sertifikat Publik dari mitra**, lalu pilih **Transport Layer Security (TLS)** untuk penggunaan, Anda akan menerima peringatan. Selain itu, sertifikat TLS harus ditandatangani sendiri (yaitu, Anda harus memilih **Self Signed Certificate untuk mengimpor sertifikat** TLS).
## AS2 rotasi sertifikat
Seringkali, sertifikat berlaku untuk jangka waktu enam bulan hingga satu tahun. Anda mungkin telah menyiapkan profil yang ingin Anda pertahankan untuk durasi yang lebih lama. Untuk memfasilitasi hal ini, Transfer Family menyediakan rotasi sertifikat. Anda dapat menentukan beberapa sertifikat untuk profil, memungkinkan Anda untuk tetap menggunakan profil selama beberapa tahun. Transfer Family menggunakan sertifikat untuk penandatanganan (opsional) dan enkripsi (wajib). Anda dapat menentukan satu sertifikat untuk kedua tujuan, jika Anda mau.
Rotasi sertifikat adalah proses penggantian sertifikat lama yang kedaluwarsa dengan sertifikat yang lebih baru. Transisi adalah transisi bertahap untuk menghindari gangguan transfer di mana mitra dalam perjanjian belum mengonfigurasi sertifikat baru untuk transfer keluar atau mungkin mengirim muatan yang ditandatangani atau dienkripsi dengan sertifikat lama selama periode ketika sertifikat yang lebih baru mungkin juga digunakan. Periode menengah di mana sertifikat lama dan baru valid disebut sebagai *masa tenggang*.
Sertifikat X.509 memiliki `Not Before` dan tanggal. `Not After` Namun, parameter ini mungkin tidak memberikan kontrol yang cukup untuk administrator. Transfer Family `Inactive Date` menyediakan `Active Date` dan mengatur untuk mengontrol sertifikat mana yang digunakan untuk muatan keluar dan mana yang diterima untuk muatan masuk.
### Pemantauan kedaluwarsa sertifikat
Transfer Family menerbitkan CloudWatch metrik Amazon `DaysUntilExpiry` setelah mengimpor sertifikat. Metrik memancarkan jumlah hari antara tanggal saat ini dan tanggal yang ditentukan sebagai `InactiveDate` pada Sertifikat. Metrik ditemukan di bawah `Transfer` AWS namespace di dasbor CloudWatch metrik.
Metrik ini akan selalu memiliki dimensi metrik untuk **CertificateId**dan secara opsional akan menyertakan dimensi **Deskripsi** jika disediakan oleh pelanggan pada sertifikat. Untuk informasi selengkapnya tentang dimensi CloudWatch metrik, lihat [Dimensi](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_Dimension.html) di *Referensi CloudWatch API*.
**catatan**
Diperlukan waktu hingga satu hari penuh setelah mengimpor Sertifikat untuk Transfer Family untuk memancarkan metrik ini ke akun pelanggan.
Anda dapat menggunakan metrik ini untuk membuat CloudWatch alarm yang memberi tahu Anda saat sertifikat mendekati kedaluwarsa.
Pemilihan sertifikat keluar menggunakan nilai maksimum yang sebelum tanggal transfer sebagai`Inactive Date`. Proses masuk menerima sertifikat dalam kisaran `Not Before` dan `Not After` dan dalam kisaran `Active Date` dan`Inactive Date`.
### Contoh rotasi sertifikat
Tabel berikut menjelaskan satu cara yang mungkin untuk mengkonfigurasi dua sertifikat untuk satu profil.
**Dua sertifikat dalam rotasi**
| Nama | NOT BEFORE(dikendalikan oleh otoritas sertifikat) | ACTIVE DATE(diatur oleh Transfer Family) | INACTIVE DATE(diatur oleh Transfer Family) | NOT AFTER(ditetapkan oleh otoritas sertifikat) |
| --- | --- | --- | --- | --- |
| Cert1 (sertifikat lama) | 2019-11-01 | 2020-01-01 | 2020-12-31 | 2024-01-01 |
| Cert2 (sertifikat yang lebih baru) | 01/11/2020 | 2020-06-01 | 2021-06-01 | 2025-01-01 |
Perhatikan hal-hal berikut:
+ Saat Anda menentukan `Active Date` dan `Inactive Date` untuk sertifikat, rentang harus berada di dalam rentang antara `Not Before` dan`Not After`.
+ Kami menyarankan Anda mengonfigurasi beberapa sertifikat untuk setiap profil, memastikan bahwa rentang tanggal aktif untuk semua sertifikat yang digabungkan mencakup jumlah waktu yang ingin Anda gunakan profil.
+ Kami menyarankan Anda menentukan waktu tenggang antara saat sertifikat lama Anda menjadi tidak aktif dan ketika sertifikat Anda yang lebih baru menjadi aktif. Dalam contoh sebelumnya, sertifikat pertama tidak menjadi tidak aktif hingga 2020-12-31, sedangkan sertifikat kedua menjadi aktif pada 2020-06-01, memberikan masa tenggang 6 bulan. Selama periode 2020-06-01 hingga 2020-12-31, kedua sertifikat aktif.
# Buat AS2 profil
Topik ini membahas cara membuat profil untuk digunakan dalam AS2 proses. *Profil lokal* mendefinisikan organisasi atau βpestaβ lokal (AS2-enabled Transfer Family server). Demikian pula, *profil mitra* mendefinisikan organisasi mitra jarak jauh, eksternal untuk Transfer Family.
1. [Impor AS2 sertifikat](managing-as2-partners.md#configure-as2-certificate)
1. Buat AS2 profil
1. [Buat AS2 server](create-as2-transfer-server.md)
1. [Buat AS2 perjanjian](create-as2-transfer-server.md#as2-agreements)
1. [Konfigurasikan AS2 konektor](configure-as2-connector.md)
Gunakan prosedur ini untuk membuat profil lokal dan mitra. Prosedur ini menjelaskan cara membuat AS2 profil dengan menggunakan konsol Transfer Family. Jika Anda ingin menggunakan AWS CLI sebagai gantinya, lihat[Langkah 3: Buat profil untuk Anda dan mitra dagang Anda](as2-example-tutorial.md#as2-create-profiles-example).
**Untuk membuat AS2 profil**
1. Buka AWS Transfer Family konsol di [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).
1. Di panel navigasi kiri, di bawah **Mitra AS2 Dagang**, pilih **Profil**, lalu pilih **Buat profil**.
1. Di bagian **Konfigurasi profil**, masukkan AS2 ID untuk profil. Nilai ini digunakan untuk header HTTP AS2 khusus protokol `as2-from` dan `as2-to` untuk mengidentifikasi kemitraan perdagangan, yang menentukan sertifikat yang akan digunakan, dan sebagainya.
1. Di bagian **Jenis profil**, pilih **Profil lokal** atau **Profil mitra**.
1. Di bagian **Sertifikat**, pilih satu atau beberapa sertifikat dari menu tarik-turun.
**Tip:** Jika Anda ingin mengimpor sertifikat yang tidak tercantum di menu tarik-turun, pilih **Impor Sertifikat baru**. Ini membuka jendela browser baru di layar **Impor sertifikat**. Untuk prosedur tentang mengimpor sertifikat lihat[Impor AS2 sertifikat](managing-as2-partners.md#configure-as2-certificate).
1. (Opsional) Di **tag** bagian, tentukan satu atau beberapa pasangan nilai kunci untuk membantu mengidentifikasi profil ini.
1. Pilih **Buat profil** untuk menyelesaikan proses dan menyimpan profil baru.
# Buat AS2 server
Topik ini memberikan petunjuk untuk membuat AS2 server Transfer Family yang diaktifkan, menggunakan konsol atau CloudFormation templat. Untuk AS2 konfigurasi end-to-end contoh, lihat[Menyiapkan AS2 konfigurasi](as2-example-tutorial.md). Setelah Anda membuat AS2 server, Anda dapat menambahkan perjanjian ke server.
1. [Impor AS2 sertifikat](managing-as2-partners.md#configure-as2-certificate)
1. [Buat AS2 profil](configure-as2-profile.md)
1. Buat AS2 server
1. [Buat AS2 perjanjian](#as2-agreements)
1. [Konfigurasikan AS2 konektor](configure-as2-connector.md)
**Topics**
+ [Membuat AS2 server menggunakan konsol Transfer Family](#create-server-as2-console)
+ [Gunakan template untuk membuat AS2 tumpukan Transfer Family demo](#as2-cfn-demo-template)
+ [Buat AS2 perjanjian](#as2-agreements)
## Membuat AS2 server menggunakan konsol Transfer Family
Prosedur ini menjelaskan cara membuat server AS2 yang diaktifkan dengan menggunakan konsol Transfer Family. Jika Anda ingin menggunakan AWS CLI sebagai gantinya, lihat[Langkah 4: Buat server Transfer Family yang menggunakan AS2 protokol](as2-example-tutorial.md#as2-example-server).
**catatan**
Anda dapat melampirkan alur kerja pemrosesan file ke server Transfer Family yang menggunakan AS2 protokol: namun, AS2 pesan tidak menjalankan alur kerja yang dilampirkan ke server.
**Untuk membuat server AS2 yang diaktifkan**
1. Buka AWS Transfer Family konsol di [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).
1. Di panel navigasi kiri, pilih **Server**, lalu pilih **Buat server**.
1. **Pada halaman **Pilih protokol**, pilih **AS2(Pernyataan Penerapan 2)**, lalu pilih Berikutnya.**
1. Pada halaman **Pilih penyedia identitas**, pilih **Berikutnya**.
**catatan**
Untuk AS2, Anda tidak dapat memilih penyedia identitas karena otentikasi dasar tidak didukung untuk AS2 protokol. Sebagai gantinya, Anda mengontrol akses melalui grup keamanan virtual private cloud (VPC).
1. Pada halaman **Pilih titik akhir**, lakukan hal berikut:
![\[Tangkapan layar konsol yang menampilkan halaman Pilih titik akhir dengan VPC yang dihosting dipilih.\]](http://docs.aws.amazon.com/id_id/transfer/latest/userguide/images/create-server-choose-endpoint-vpc-internal.png)
1. Untuk **jenis Endpoint**, pilih **VPC** yang dihosting untuk meng-host endpoint server Anda. Untuk informasi tentang menyiapkan titik akhir yang dihosting VPC, lihat. [Buat server di cloud pribadi virtual](create-server-in-vpc.md)
**catatan**
Titik akhir yang dapat diakses publik tidak didukung untuk protokol. AS2 Untuk membuat titik akhir VPC Anda dapat diakses melalui internet, pilih **Internet Facing** di bawah **Access**, lalu berikan alamat IP Elastic Anda.
1. Untuk **Access**, pilih salah satu opsi berikut:
+ **Internal** β Pilih opsi ini untuk menyediakan akses dari dalam lingkungan yang terhubung dengan VPC dan VPC Anda, seperti pusat data lokal di atas atau VPN. Direct Connect
+ **Menghadapi Internet** β Pilih opsi ini untuk menyediakan akses melalui internet dan dari dalam lingkungan yang terhubung dengan VPC dan VPC Anda, seperti pusat data lokal atau VPN. Direct Connect
Jika Anda memilih **Internet Facing**, berikan alamat IP Elastis Anda saat diminta.
1. Untuk **VPC**, pilih VPC yang sudah ada atau pilih Buat VPC **untuk membuat VPC baru**.
1. Untuk **FIPS Diaktifkan**, biarkan kotak centang **titik akhir FIPS Enabled** tetap bersih.
**catatan**
Titik akhir berkemampuan FIPS tidak didukung untuk protokol. AS2
1. Pilih **Berikutnya**.
1. Pada halaman **Pilih domain**, pilih **Amazon S3** untuk menyimpan dan mengakses file Anda sebagai objek dengan menggunakan protokol yang dipilih.
Pilih **Berikutnya**.
1. Pada halaman **Konfigurasi detail tambahan**, pilih pengaturan yang Anda butuhkan.
**catatan**
Jika Anda mengonfigurasi protokol lain bersama AS2, semua pengaturan detail tambahan berlaku. Namun, untuk AS2 protokol, satu-satunya pengaturan yang berlaku adalah yang ada di bagian **CloudWatch logging** dan **Tags**.
Meskipun pengaturan peran CloudWatch logging adalah opsional, kami sangat menyarankan untuk mengaturnya sehingga Anda dapat melihat status pesan Anda dan memecahkan masalah konfigurasi.
1. Pada halaman **Tinjau dan buat**, tinjau pilihan Anda untuk memastikannya benar.
+ Jika Anda ingin mengedit pengaturan apa pun, pilih **Edit** di samping langkah yang ingin Anda ubah.
**catatan**
Jika Anda mengedit langkah, kami sarankan Anda meninjau setiap langkah setelah langkah yang Anda pilih untuk diedit.
+ Jika Anda tidak memiliki perubahan, pilih **Buat server** untuk membuat server Anda. Anda dibawa ke halaman **Server**, ditampilkan berikut, di mana server baru Anda terdaftar.
Diperlukan waktu beberapa menit sebelum status server baru Anda berubah menjadi **Online**. Pada saat itu, server Anda dapat melakukan operasi file untuk pengguna Anda.
## Gunakan template untuk membuat AS2 tumpukan Transfer Family demo
Kami menyediakan CloudFormation template mandiri untuk membuat server Transfer Family AS2 yang diaktifkan dengan cepat. Template mengonfigurasi server dengan titik akhir VPC Amazon publik, sertifikat, profil lokal dan mitra, perjanjian, dan konektor.
Template AS2 server dasar membuat sumber daya berikut:
+ Server Transfer Family yang AS2 diaktifkan dengan titik akhir VPC
+ AS2 Profil lokal dan mitra dengan sertifikat
+ Kesepakatan antara profil
+ Bucket Amazon S3 untuk penyimpanan file
+ Peran dan kebijakan IAM yang diperlukan
+ CloudWatch konfigurasi logging
Sebelum menggunakan template ini, perhatikan hal berikut:
+ Jika Anda membuat tumpukan dari template ini, Anda akan ditagih untuk AWS sumber daya yang digunakan.
+ Template membuat beberapa sertifikat dan menempatkannya AWS Secrets Manager untuk menyimpannya dengan aman. Anda dapat menghapus sertifikat ini dari Secrets Manager jika mau, karena Anda dikenakan biaya untuk menggunakan layanan ini. Menghapus sertifikat ini di Secrets Manager tidak akan menghapusnya dari server Transfer Family. Oleh karena itu, fungsionalitas tumpukan demo tidak terpengaruh. Namun, untuk sertifikat yang akan Anda gunakan dengan AS2 server produksi, Anda mungkin ingin menggunakan Secrets Manager untuk mengelola dan memutar sertifikat tersimpan secara berkala.
+ Kami menyarankan Anda menggunakan template sebagai basis saja, dan terutama untuk tujuan demonstrasi. Jika Anda ingin menggunakan tumpukan demo ini dalam produksi, kami sarankan Anda memodifikasi kode YAMAL template untuk membuat tumpukan yang lebih kuat. Misalnya, buat sertifikat tingkat produksi, dan buat AWS Lambda fungsi yang dapat Anda gunakan dalam produksi.
**Untuk membuat server Transfer Family AS2 -enabled dari template CloudFormation**
1. Buka CloudFormation konsol di [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/).
1. Di panel navigasi sebelah kiri, pilih **Tumpukan**.
1. Pilih **Buat tumpukan**, lalu pilih **Dengan sumber daya baru (standar)**.
1. Di bagian **Prasyarat - Siapkan templat**, pilih **Pilih templat yang ada**.
1. Salin tautan ini, [templat AS2 demo](https://s3.amazonaws.com/aws-transfer-resources/as2-templates/aws-transfer-as2-basic.template.yml), dan tempel ke bidang **URL Amazon S3**.
1. Pilih **Berikutnya**.
1. Pada halaman **Tentukan detail tumpukan**, beri nama tumpukan Anda, lalu tentukan parameter berikut:
+ Di bawah **AS2**, masukkan nilai untuk ** AS2ID Lokal** dan ** AS2 ID Mitra**, atau terima default, `local` dan`partner`, masing-masing.
+ Di bawah **Jaringan**, masukkan nilai untuk **masuk grup Keamanan CIDR IP**, atau terima default,. `0.0.0.0/0`
**catatan**
Nilai ini, dalam format CIDR, menentukan alamat IP mana yang diizinkan untuk lalu lintas masuk ke server. AS2 Nilai default,`0.0.0.0/0`, memungkinkan semua alamat IP.
+ Di bawah **Umum**, masukkan nilai untuk **Awalan**, atau terima default,`transfer-as2`. Awalan ini ditempatkan sebelum nama sumber daya apa pun yang dibuat oleh tumpukan. Misalnya, jika Anda menggunakan awalan default, bucket Amazon S3 Anda diberi nama. `transfer-as2-amzn-s3-demo-bucket`
1. Pilih **Berikutnya**. Pada halaman **Configure stack options**, pilih **Next** lagi.
1. Tinjau detail tumpukan yang Anda buat, lalu pilih **Buat tumpukan**.
**catatan**
Di bagian bawah halaman, di bawah **Kemampuan**, Anda harus mengakui bahwa CloudFormation mungkin membuat sumber daya AWS Identity and Access Management (IAM).
Setelah tumpukan dibuat, Anda dapat mengirim AS2 pesan pengujian dari server mitra ke server Transfer Family lokal Anda dengan menggunakan AWS Command Line Interface (AWS CLI). AWS CLI Perintah sampel untuk mengirim pesan pengujian dibuat bersama dengan semua sumber daya lain di tumpukan.
Untuk menggunakan perintah sampel ini, buka tab **Output** dari tumpukan Anda, dan salin **TransferExampleAs2Command**. Anda kemudian dapat menjalankan perintah dengan menggunakan AWS CLI. Jika Anda belum menginstal AWS CLI, lihat [Menginstal atau memperbarui versi terbaru dari AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) *Panduan AWS Command Line Interface Pengguna*.
Perintah sampel memiliki format berikut:
```
aws s3api put-object --bucket amzn-s3-demo-bucket --key test.txt && aws transfer start-file-transfer --region aws-region --connector-id TransferConnectorId --send-file-paths /amzn-s3-demo-bucket/test.txt
```
**catatan**
Versi Anda dari perintah ini berisi nilai aktual untuk `amzn-s3-demo-bucket` dan `TransferConnectorId` sumber daya di tumpukan Anda.
Perintah sampel ini terdiri dari dua perintah terpisah yang dirantai bersama dengan menggunakan `&&` string.
Perintah pertama membuat file teks baru yang kosong di bucket Anda:
```
aws s3api put-object --bucket amzn-s3-demo-bucket --key test.txt
```
Kemudian, perintah kedua menggunakan konektor untuk mengirim file dari profil mitra ke profil lokal. Server Transfer Family memiliki pengaturan perjanjian yang memungkinkan profil lokal menerima pesan dari profil mitra.
```
aws transfer start-file-transfer --region aws-region --connector-id TransferConnectorId --send-file-paths /amzn-s3-demo-bucket/test.txt
```
Setelah menjalankan perintah, Anda dapat pergi ke bucket Amazon S3 (`amzn-s3-demo-bucket`) dan melihat isinya. Jika perintah berhasil, Anda akan melihat objek berikut di ember Anda:
+ `processed/`β Folder ini berisi file JSON yang menjelaskan file yang ditransfer dan respons MDN.
+ `processing/`β Folder ini sementara berisi file saat sedang diproses, tetapi setelah transfer selesai, folder ini harus kosong.
+ `server-id/`β Folder ini diberi nama berdasarkan ID server Transfer Family Anda. Ini berisi `from-partner` (folder ini dinamai secara dinamis, berdasarkan AS2 ID mitra), yang berisi sendiri`failed/`,`processed/`, dan `processing/` folder. `/server-id/from-partner/processed/`Folder berisi salinan file teks yang ditransfer, dan file JSON dan MDN yang sesuai.
+ `test.txt`β Objek ini adalah file (kosong) yang ditransfer.
## Buat AS2 perjanjian
Perjanjian terkait dengan server Transfer Family. Mereka menentukan detail untuk mitra dagang yang menggunakan AS2 protokol untuk bertukar pesan atau file dengan menggunakan Transfer Family, untuk transfer *masukβmengirim* AS2 file dari sumber eksternal milik mitra ke server Transfer Family.
Prosedur ini menjelaskan cara membuat AS2 perjanjian dengan menggunakan konsol Transfer Family. Jika Anda ingin menggunakan AWS CLI sebagai gantinya, lihat[Langkah 5: Buat kesepakatan antara Anda dan pasangan](as2-example-tutorial.md#as2-create-agreement-example).
**Untuk membuat perjanjian untuk server Transfer Family**
1. Buka AWS Transfer Family konsol di [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).
1. Di panel navigasi kiri, pilih **Server**, lalu pilih server yang menggunakan AS2 protokol.
Sebagai alternatif, selama Anda memiliki setidaknya satu server Transfer Family yang menggunakan AS2 protokol, pilih **Perjanjian untuk menerima pesan** dari menu **Mitra AS2 Trading**. Kemudian, di layar **Buat perjanjian**, pilih AS2 server yang ingin Anda kaitkan dengan perjanjian ini.
1. Pada halaman detail server, gulir ke bawah ke bagian **Perjanjian**.
1. Pilih **Tambahkan perjanjian**.
1. Isi parameter perjanjian, sebagai berikut:
1. Di bagian **Konfigurasi Perjanjian**, masukkan nama deskriptif. Pastikan bahwa Anda dapat mengidentifikasi tujuan perjanjian dengan namanya. Juga, tetapkan **Status** untuk perjanjian: **Aktif** (dipilih secara default) atau **Tidak Aktif**.
1. Di bagian **Konfigurasi komunikasi**, pilih profil lokal dan profil mitra. Juga, pilih apakah akan menerapkan penandatanganan pesan atau tidak.
+ Secara default, **Menegakkan penandatanganan pesan** diaktifkan, yang berarti Transfer Family menolak pesan yang tidak ditandatangani dari mitra dagang Anda untuk perjanjian ini.
+ Hapus pengaturan ini untuk memungkinkan Transfer Family menerima pesan yang tidak ditandatangani dari mitra dagang Anda untuk perjanjian ini.
1. Di bagian **konfigurasi direktori Kotak Masuk**, berikan informasi berikut.
+ Tentukan apakah akan memilih **Tentukan direktori terpisah untuk menyimpan AS2 pesan, file MDN, dan file status JSON Anda** atau tidak.
+ Jika Anda memilih opsi ini, Anda menentukan lokasi terpisah untuk file payload, file gagal, file MDN, file status, dan file sementara.
+ Jika Anda menghapus opsi ini, semua AS2 file masuk ke lokasi yang Anda tentukan untuk direktori dasar Anda.
+ Untuk **S3 Bucket**, pilih bucket Amazon S3.
+ Untuk **Prefix**, Anda dapat memasukkan awalan (folder) yang akan digunakan untuk menyimpan file di bucket.
Misalnya, jika Anda memasukkan **amzn-s3-demo-bucket** bucket dan **incoming** awalan, AS2 file Anda akan disimpan ke `/amzn-s3-demo-bucket/incoming` folder.
+ Untuk **Peran AWS IAM**, pilih peran yang dapat mengakses bucket yang Anda tentukan.
+ Untuk **Pertahankan nama file**, pilih apakah akan mempertahankan nama file asli untuk muatan pesan masuk. AS2
+ Jika Anda memilih pengaturan ini, nama file yang disediakan oleh parter perdagangan Anda dipertahankan saat file disimpan di Amazon S3.
+ Jika Anda menghapus pengaturan ini, ketika Transfer Family menyimpan file, nama file disesuaikan, seperti yang dijelaskan dalam. [Nama dan lokasi file](send-as2-messages.md#file-names-as2)
1. (Opsional) Tambahkan tag di bagian **Tag**.
1. Setelah Anda memasukkan semua informasi untuk perjanjian, pilih **Buat perjanjian**.
Perjanjian baru muncul di bagian **Perjanjian** pada halaman detail server.
# Konfigurasikan AS2 konektor
Tujuan dari konektor adalah untuk membangun hubungan antara mitra dagang untuk transfer *keluar* β mengirim AS2 file dari server Transfer Family ke tujuan eksternal milik mitra. Untuk konektor, Anda menentukan pihak lokal, mitra jarak jauh, dan sertifikat mereka (dengan membuat profil lokal dan mitra).
Setelah Anda memiliki konektor, Anda dapat mentransfer informasi ke mitra dagang Anda. Setiap AS2 server diberi tiga alamat IP statis. AS2 konektor menggunakan alamat IP ini untuk mengirim asinkron MDNs ke mitra dagang Anda. AS2
**catatan**
Ukuran pesan yang diterima oleh mitra dagang tidak akan cocok dengan ukuran objek di Amazon S3. Perbedaan ini terjadi karena AS2 pesan membungkus file dalam amplop sebelum dikirim. Jadi, ukuran file mungkin meningkat, bahkan jika file dikirim dengan kompresi. Oleh karena itu, pastikan bahwa ukuran file maksimum mitra dagang lebih besar dari ukuran file yang Anda kirim.
1. [Impor AS2 sertifikat](managing-as2-partners.md#configure-as2-certificate)
1. [Buat AS2 profil](configure-as2-profile.md)
1. [Buat AS2 server](create-as2-transfer-server.md)
1. [Buat AS2 perjanjian](create-as2-transfer-server.md#as2-agreements)
1. Buat AS2 konektor
## Buat AS2 konektor
Prosedur ini menjelaskan cara membuat AS2 konektor dengan menggunakan AWS Transfer Family konsol. Jika Anda ingin menggunakan AWS CLI sebagai gantinya, lihat[Langkah 6: Buat konektor antara Anda dan pasangan](as2-example-tutorial.md#as2-create-connector-example).
**Untuk membuat AS2 konektor**
1. Buka AWS Transfer Family konsol di [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).
1. Di panel navigasi kiri, pilih **Konektor untuk mengirim pesan**, dari menu **Mitra AS2 Perdagangan**, lalu pilih **Buat AS2 konektor**.
1. Di bagian **Konfigurasi konektor**, tentukan informasi berikut:
+ **URL** β Masukkan URL untuk koneksi keluar.
+ **Peran akses** β Pilih Nama Sumber Daya Amazon (ARN) dari peran AWS Identity and Access Management (IAM) yang akan digunakan. Pastikan bahwa peran ini menyediakan akses baca dan tulis ke direktori induk dari lokasi file yang digunakan dalam `StartFileTransfer` permintaan. Selain itu, pastikan bahwa peran tersebut menyediakan akses baca dan tulis ke direktori induk dari file yang ingin Anda kirim`StartFileTransfer`.
**catatan**
Jika Anda menggunakan otentikasi Dasar untuk konektor Anda, peran akses memerlukan `secretsmanager:GetSecretValue` izin untuk rahasia tersebut. Jika rahasia dienkripsi dengan menggunakan kunci yang dikelola pelanggan alih-alih Kunci yang dikelola AWS masuk AWS Secrets Manager, maka peran tersebut juga memerlukan `kms:Decrypt` izin untuk kunci itu. Jika Anda memberi nama rahasia Anda dengan awalan`aws/transfer/`, Anda dapat menambahkan izin yang diperlukan dengan karakter wildcard (`*`), seperti yang ditunjukkan dalam [izin Contoh untuk membuat](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_examples.html#auth-and-access_examples_wildcard) rahasia.
+ **Peran logging** (opsional) - Pilih peran IAM untuk konektor yang akan digunakan untuk mendorong peristiwa ke CloudWatch log Anda.
1. Di bagian **AS2 konfigurasi**, pilih profil lokal dan mitra, algoritma enkripsi dan penandatanganan, dan apakah akan mengompres informasi yang ditransfer. Perhatikan hal-hal berikut:
+ Parameter **Preserve S3 Content-Type** diaktifkan secara default.
Saat disetel, Transfer Family menggunakan Amazon S3 `Content-Type` yang dikaitkan dengan objek di S3 alih-alih memetakan jenis konten berdasarkan ekstensi file. Hapus setelan ini jika Anda ingin layanan memetakan jenis konten untuk AS2 pesan Anda berdasarkan ekstensi file, daripada menggunakan jenis konten dari objek S3.
+ Untuk algoritma enkripsi, jangan memilih `DES_EDE3_CBC` kecuali Anda harus mendukung klien lama yang membutuhkannya, karena ini adalah algoritma enkripsi yang lemah.
+ **Subjek** digunakan sebagai atribut header `subject` HTTP dalam AS2 pesan yang sedang dikirim dengan konektor.
+ Jika Anda memilih untuk membuat konektor tanpa algoritma enkripsi, Anda harus menentukan `HTTPS` sebagai protokol Anda.
1. Di bagian **otentikasi dasar**, tentukan informasi berikut.
+ **Untuk mengirim kredensyal masuk bersama dengan pesan keluar, pilih Aktifkan otentikasi Dasar.** Jika Anda tidak ingin mengirim kredensi apa pun dengan pesan keluar, biarkan **Aktifkan otentikasi Dasar tetap bersih**.
+ Jika Anda menggunakan otentikasi, pilih atau buat rahasia.
+ Untuk membuat rahasia baru, pilih **Buat rahasia baru** lalu masukkan nama pengguna dan kata sandi. Kredensyal ini harus sesuai dengan pengguna yang terhubung ke titik akhir mitra.
![\[Halaman Buat konektor di AWS Transfer Family konsol, menampilkan bagian otentikasi Dasar dengan Buat rahasia baru yang dipilih.\]](http://docs.aws.amazon.com/id_id/transfer/latest/userguide/images/as2-basic-auth-create-secret.png)
+ Untuk menggunakan rahasia yang ada, pilih **Pilih rahasia yang ada**, lalu pilih rahasia dari menu tarik-turun. Untuk detail tentang membuat rahasia yang diformat dengan benar di Secrets Manager, lihat[Aktifkan otentikasi dasar untuk konektor AS2](#as2-secret-create).
![\[Halaman Buat konektor di AWS Transfer Family konsol, menampilkan bagian otentikasi dasar dengan Pilih rahasia yang ada yang dipilih.\]](http://docs.aws.amazon.com/id_id/transfer/latest/userguide/images/as2-basic-auth-select-secret.png)
1. Di bagian **konfigurasi MDN**, tentukan informasi berikut:
+ **Minta MDN** β Anda memiliki opsi untuk meminta mitra dagang Anda mengirimi Anda MDN setelah mereka berhasil menerima pesan Anda. AS2
+ **Ditandatangani MDN** β Anda memiliki opsi untuk mewajibkannya MDNs ditandatangani. Opsi ini hanya tersedia jika Anda telah memilih **Minta MDN**.
1. Setelah mengonfirmasi semua pengaturan, pilih **Buat AS2 konektor** untuk membuat konektor.
Halaman **Konektor** muncul, dengan ID konektor baru Anda ditambahkan ke daftar. Untuk melihat detail konektor Anda, lihat[Lihat detail AS2 konektor](#connectors-view-info).
## AS2 algoritma konektor
Saat Anda membuat AS2 konektor, algoritma keamanan berikut terpasang ke konektor.
| Tipe | Algoritme |
| --- | --- |
| Cipher TLS | TLS\$1ECDHE\$1ECDSA\$1WITH\$1AES\$1128\$1GCM\$1 SHA256 TLS\$1ECDHE\$1RSA\$1WITH\$1AES\$1128\$1GCM\$1 SHA256 TLS\$1ECDHE\$1ECDSA\$1DENGAN\$1AES\$1128\$1CBC\$1 SHA256 TLS\$1ECDHE\$1RSA\$1WITH\$1AES\$1128\$1CBC\$1 SHA256 TLS\$1ECDHE\$1ECDSA\$1WITH\$1AES\$1256\$1GCM\$1 SHA384 TLS\$1ECDHE\$1RSA\$1WITH\$1AES\$1256\$1GCM\$1 SHA384 TLS\$1ECDHE\$1ECDSA\$1DENGAN\$1AES\$1256\$1CBC\$1 SHA384 TLS\$1ECDHE\$1RSA\$1WITH\$1AES\$1256\$1CBC\$1 SHA384 |
## Otentikasi dasar untuk konektor AS2
Saat membuat atau memperbarui server Transfer Family yang menggunakan AS2 protokol, Anda dapat menambahkan otentikasi Dasar untuk pesan keluar. Anda melakukan ini dengan menambahkan informasi otentikasi ke konektor.
**catatan**
Otentikasi dasar hanya tersedia jika Anda menggunakan HTTPS.
Untuk menggunakan otentikasi untuk konektor Anda, pilih **Aktifkan otentikasi Dasar** di bagian **Autentikasi dasar**. Setelah mengaktifkan otentikasi Dasar, Anda dapat memilih untuk membuat rahasia baru, atau menggunakan yang sudah ada. Dalam kedua kasus, kredensyal dalam rahasia dikirim dengan pesan keluar yang menggunakan konektor ini. Kredensyal harus sesuai dengan pengguna yang mencoba terhubung ke titik akhir jarak jauh mitra dagang.
Tangkapan layar berikut menunjukkan **Aktifkan otentikasi Dasar** dipilih, dan **Buat rahasia baru yang** dipilih. Setelah membuat pilihan ini, Anda dapat memasukkan nama pengguna dan kata sandi untuk rahasianya.
![\[Halaman Konektor konsol Transfer Family, menampilkan informasi otentikasi pesan untuk konektor Anda. Dalam hal ini, Aktifkan otentikasi dasar dipilih, dan Buat rahasia baru dipilih.\]](http://docs.aws.amazon.com/id_id/transfer/latest/userguide/images/as2-basic-auth-create-secret.png)
Tangkapan layar berikut menunjukkan **Aktifkan otentikasi dasar** dipilih, dan **Pilih rahasia yang ada** dipilih. Rahasia Anda harus dalam format yang benar, seperti yang dijelaskan dalam[Aktifkan otentikasi dasar untuk konektor AS2](#as2-secret-create).
![\[Halaman Konektor konsol Transfer Family, menampilkan informasi otentikasi pesan untuk konektor Anda. Dalam hal ini, Aktifkan otentikasi dasar dipilih, dan Pilih rahasia yang ada dipilih.\]](http://docs.aws.amazon.com/id_id/transfer/latest/userguide/images/as2-basic-auth-select-secret.png)
## Aktifkan otentikasi dasar untuk konektor AS2
Saat Anda mengaktifkan otentikasi Dasar untuk AS2 konektor, Anda dapat membuat rahasia baru di konsol Transfer Family, atau Anda dapat menggunakan rahasia yang Anda buat. AWS Secrets Manager Dalam kedua kasus, rahasia Anda disimpan di Secrets Manager.
**Topics**
+ [Buat rahasia baru di konsol](#as2-secret-details-console)
+ [Gunakan secret yang sudah ada](#use-existing-secret)
+ [Buat rahasia di AWS Secrets Manager](#as2-secret-details-asm)
### Buat rahasia baru di konsol
Saat Anda membuat konektor di konsol, Anda dapat membuat rahasia baru.
Untuk membuat rahasia baru, pilih **Buat rahasia baru** lalu masukkan nama pengguna dan kata sandi. Kredensyal ini harus sesuai dengan pengguna yang terhubung ke titik akhir mitra.
![\[Halaman konektor Buat AWS Transfer Family konsol, menampilkan bagian otentikasi dasar dengan Buat rahasia baru yang dipilih.\]](http://docs.aws.amazon.com/id_id/transfer/latest/userguide/images/as2-basic-auth-create-secret.png)
**catatan**
Saat Anda membuat rahasia baru di konsol, nama rahasia mengikuti konvensi penamaan ini:**/aws/transfer/*connector-id***, di mana *connector-id* ID konektor yang Anda buat. Pertimbangkan ini ketika Anda mencoba menemukan rahasianya AWS Secrets Manager.
### Gunakan secret yang sudah ada
Saat Anda membuat konektor di konsol, Anda dapat menentukan rahasia yang ada.
Untuk menggunakan rahasia yang ada, pilih **Pilih rahasia yang ada**, lalu pilih rahasia dari menu tarik-turun. Untuk detail tentang membuat rahasia yang diformat dengan benar di Secrets Manager, lihat[Buat rahasia di AWS Secrets Manager](#as2-secret-details-asm).
![\[Halaman konektor Buat AWS Transfer Family konsol, menampilkan bagian otentikasi dasar dengan Pilih rahasia yang ada yang dipilih.\]](http://docs.aws.amazon.com/id_id/transfer/latest/userguide/images/as2-basic-auth-select-secret.png)
### Buat rahasia di AWS Secrets Manager
Prosedur berikut menjelaskan cara membuat rahasia yang sesuai untuk digunakan dengan AS2 konektor Anda.
**catatan**
Otentikasi dasar hanya tersedia jika Anda menggunakan HTTPS.
**Untuk menyimpan kredensyal pengguna di Secrets Manager untuk AS2 otentikasi Dasar**
1. Masuk ke Konsol Manajemen AWS dan buka AWS Secrets Manager konsol di [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).
1. Pada panel navigasi kiri, pilih **Rahasia**.
1. Pada halaman **Rahasia**, pilih **Simpan rahasia baru**.
1. Pada halaman **Pilih jenis rahasia**, untuk **tipe Rahasia**, pilih **Jenis rahasia lainnya**.
1. Di bagian **pasangan kunci/Nilai**, pilih tab **kunci/Nilai**.
+ **Kunci** β Masukkan**Username**.
+ **nilai** β Masukkan nama pengguna yang berwenang untuk terhubung ke server mitra.
1. Jika Anda ingin memberikan kata sandi, pilih **Tambahkan baris**, dan di bagian **pasangan kunci/nilai**, pilih tab **kunci/Nilai**.
Pilih **Tambah baris**, dan di bagian **pasangan kunci/Nilai**, pilih tab **kunci/Nilai**.
+ **Kunci** β Masukkan**Password**.
+ **nilai** β Masukkan kata sandi untuk pengguna.
1. Jika Anda ingin memberikan kunci pribadi, pilih **Tambah baris**, dan di bagian **pasangan kunci/nilai**, pilih tab **kunci/Nilai**.
+ **Kunci** β Masukkan**PrivateKey**.
+ **nilai** β Masukkan kunci pribadi untuk pengguna. Nilai ini harus disimpan dalam format OpenSSH, dan harus sesuai dengan kunci publik yang disimpan untuk pengguna ini di server jarak jauh.
1. Pilih **Berikutnya**.
1. Pada halaman **Konfigurasi rahasia**, masukkan nama dan deskripsi untuk rahasia Anda. Kami menyarankan Anda menggunakan awalan **aws/transfer/** untuk nama tersebut. Misalnya, Anda bisa menyebutkan rahasia Anda**aws/transfer/connector-1**.
1. Pilih **Berikutnya**, dan kemudian terima default pada halaman **Konfigurasi** rotasi. Lalu pilih **Selanjutnya**.
1. Pada halaman **Review**, pilih **Store** untuk membuat dan menyimpan rahasia.
Setelah Anda membuat rahasia, Anda dapat memilihnya saat Anda membuat konektor (lihat[Konfigurasikan AS2 konektor](#configure-as2-connector)). Pada langkah di mana Anda mengaktifkan otentikasi dasar, pilih rahasia dari daftar dropdown rahasia yang tersedia.
## Lihat detail AS2 konektor
Anda dapat menemukan daftar detail dan properti untuk AS2 AWS Transfer Family konektor di AWS Transfer Family konsol. Properti AS2 konektor mencakup URL, peran, profil, tag MDNs, dan metrik pemantauannya.
Ini adalah prosedur untuk melihat detail konektor.
**Untuk melihat detail konektor**
1. Buka AWS Transfer Family konsol di [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).
1. Di panel navigasi kiri, pilih **Konektor**.
1. Pilih pengenal di kolom **Connector ID** untuk melihat halaman detail untuk konektor yang dipilih.
Anda dapat mengubah properti untuk AS2 konektor pada halaman detail konektor dengan memilih **Edit**.
![\[Halaman detail konektor konsol Transfer Family, yang menampilkan URL, peran akses, dan peran logging untuk konektor yang dipilih.\]](http://docs.aws.amazon.com/id_id/transfer/latest/userguide/images/as2-connector-details_01-top.png)
![\[Halaman detail konektor konsol Transfer Family, menampilkan detail AS2 konfigurasi untuk konektor yang dipilih.\]](http://docs.aws.amazon.com/id_id/transfer/latest/userguide/images/as2-connector-details_02-middle.png)
![\[Halaman detail konektor konsol Transfer Family, menampilkan detail bagian otentikasi AS2 dasar, tag, IP statis, dan informasi AS2 pemantauan untuk konektor yang dipilih.\]](http://docs.aws.amazon.com/id_id/transfer/latest/userguide/images/as2-basic-auth-details-pane.png)
**catatan**
Anda bisa mendapatkan banyak informasi ini, meskipun dalam format yang berbeda, dengan menjalankan perintah berikut AWS Command Line Interface (AWS CLI :
```
aws transfer describe-connector --connector-id your-connector-id
```
Untuk informasi selengkapnya, lihat [https://docs.aws.amazon.com/transfer/latest/APIReference/API_DescribeConnector.html](https://docs.aws.amazon.com/transfer/latest/APIReference/API_DescribeConnector.html)di referensi API.
# Mengirim dan menerima AS2 pesan
Bagian ini menjelaskan proses untuk mengirim dan menerima AS2 pesan. Ini juga memberikan rincian tentang nama file dan lokasi yang terkait dengan pesan. AS2
Tabel berikut mencantumkan algoritma enkripsi yang tersedia untuk AS2 pesan, dan kapan Anda dapat menggunakannya.
| Enkripsi algoritme | HTTP | HTTPS | Catatan |
| --- |--- |--- |--- |
| AES128\$1CBC | Ya | Ya | |
| AES192\$1CBC | Ya | Ya | |
| AES256\$1CBC | Ya | Ya | |
| DES\$1 \$1CBC EDE3 | Ya | Ya | Hanya gunakan algoritma ini jika Anda harus mendukung klien lama yang membutuhkannya, karena ini adalah algoritma enkripsi yang lemah. |
| NONE | Tidak | Ya | Jika Anda mengirim pesan ke server Transfer Family, Anda hanya dapat memilih NONE apakah Anda menggunakan Application Load Balancer (ALB). |
**Topics**
+ [Menerima proses AS2 pesan](#as2-inbound-process)
+ [Mengirim dan menerima AS2 pesan melalui HTTPS](#as2-https-process)
+ [Mentransfer file dengan menggunakan konektor AS2](#transfer-as2-connectors)
+ [Nama dan lokasi file](#file-names-as2)
+ [Kode status](#status-codes)
+ [Contoh file JSON](#file-as2-json)
## Menerima proses AS2 pesan
Proses inbound didefinisikan sebagai pesan atau file yang sedang ditransfer ke AWS Transfer Family server Anda. Urutan pesan masuk adalah sebagai berikut:
1. Admin atau proses otomatis memulai transfer AS2 file di AS2 server jarak jauh mitra.
1. AS2 Server jarak jauh mitra menandatangani dan mengenkripsi konten file, lalu mengirimkan permintaan HTTP POST ke titik akhir AS2 masuk yang dihosting di Transfer Family.
1. Menggunakan nilai yang dikonfigurasi untuk server, mitra, sertifikat, dan perjanjian, Transfer Family mendekripsi dan memverifikasi muatan. AS2 Isi file disimpan di toko file Amazon S3 yang dikonfigurasi.
1. Respons MDN yang ditandatangani dikembalikan baik sebaris dengan respons HTTP, atau secara asinkron melalui permintaan HTTP POST terpisah kembali ke server asal.
1. Jejak audit ditulis ke Amazon CloudWatch dengan rincian tentang pertukaran.
1. File yang didekripsi tersedia dalam folder bernama. `inbox/processed`
![\[Diagram yang menunjukkan urutan pemrosesan untuk pesan masuk.\]](http://docs.aws.amazon.com/id_id/transfer/latest/userguide/images/as2-architecture-inbound.png)
## Mengirim dan menerima AS2 pesan melalui HTTPS
Bagian ini menjelaskan cara mengonfigurasi server Transfer Family yang menggunakan AS2 protokol untuk mengirim dan menerima pesan melalui HTTPS.
**Topics**
+ [Kirim AS2 pesan melalui HTTPS](#send-https)
+ [Menerima AS2 pesan melalui HTTPS](#receive-https)
### Kirim AS2 pesan melalui HTTPS
Untuk mengirim AS2 pesan menggunakan HTTPS, buat konektor dengan informasi berikut:
+ Untuk URL, tentukan URL HTTPS
+ Untuk algoritma enkripsi, pilih salah satu algoritma yang tersedia.
**catatan**
Untuk mengirim pesan ke server Transfer Family saat tidak menggunakan enkripsi (yaitu, Anda memilih `NONE` untuk algoritma enkripsi), Anda harus menggunakan Application Load Balancer (ALB).
+ Berikan nilai yang tersisa untuk konektor seperti yang dijelaskan dalam[Konfigurasikan AS2 konektor](configure-as2-connector.md).
### Menerima AS2 pesan melalui HTTPS
AWS Transfer Family AS2 server saat ini hanya menyediakan transportasi HTTP melalui port 5080. Namun, Anda dapat menghentikan TLS pada penyeimbang beban jaringan atau aplikasi di depan titik akhir VPC server Transfer Family Anda dengan menggunakan port dan sertifikat pilihan Anda. Dengan pendekatan ini, Anda dapat memiliki AS2 pesan masuk menggunakan HTTPS.
**Prasyarat**
+ VPC harus sama Wilayah AWS dengan server Transfer Family Anda.
+ Subnet VPC Anda harus berada dalam Availability Zones tempat Anda ingin menggunakan server Anda.
**catatan**
Setiap server Transfer Family dapat mendukung hingga tiga Availability Zone.
+ Alokasikan hingga tiga alamat IP Elastis di Wilayah yang sama dengan server Anda. Atau, Anda dapat memilih untuk membawa rentang alamat IP Anda sendiri (BYOIP).
**catatan**
Jumlah alamat IP Elastis harus sesuai dengan jumlah Availability Zone yang Anda gunakan dengan endpoint server Anda.
Anda dapat mengonfigurasi Network Load Balance (NLB) atau Application Load Balancer (ALB). Tabel berikut mencantumkan pro dan kontra untuk setiap pendekatan.
Tabel di bawah ini memberikan perbedaan kemampuan saat Anda menggunakan NLB versus ALB untuk mengakhiri TLS.
| Fitur | Network Load Balancer (NLB) | Application Load Balancer (ALB) |
| --- | --- | --- |
| Latensi | Latensi yang lebih rendah karena beroperasi pada lapisan jaringan. | Latensi yang lebih tinggi karena beroperasi pada lapisan aplikasi. |
| Dukungan IP statis | Dapat melampirkan alamat IP Elastis yang bisa statis. | Tidak dapat melampirkan alamat IP Elastis: menyediakan domain yang alamat IP dasarnya dapat berubah. |
| Perutean lanjutan | Tidak mendukung perutean lanjutan. | Mendukung perutean lanjutan. Dapat menyuntikkan `X-Forwarded-Proto` header diperlukan AS2 tanpa enkripsi. [Header ini dijelaskan dalam [X-Forwarded-Proto](https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Forwarded-Proto) di situs web developer.mozilla.org.](https://developer.mozilla.org/) |
| Penghentian TLS/SSL | Mendukung TLS/SSL penghentian | Mendukung TLS/SSL penghentian |
| TLS Bersama (mTLS) | Transfer Family saat ini tidak mendukung penggunaan NLB untuk mTL | Support untuk mTLS |
------
#### [ Configure NLB ]
Prosedur ini menjelaskan cara mengatur Network Load Balancer (NLB) yang menghadap ke internet di VPC Anda.
**Untuk membuat Network Load Balancer dan mendefinisikan titik akhir VPC server sebagai target penyeimbang beban**
1. Buka konsol Amazon Elastic Compute Cloud di [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Dari panel navigasi, pilih **Load Balancers, lalu pilih **Create** load balancer**.
1. Di bawah **Penyeimbang Beban Jaringan**, pilih **Buat**.
1. Di bagian **Konfigurasi dasar**, masukkan informasi berikut:
+ Untuk **Nama**, masukkan nama deskriptif untuk penyeimbang beban.
+ Untuk **Skema**, pilih **Internet-facing**.
+ Untuk **jenis alamat IP**, pilih **IPv4**.
1. Di bagian **Pemetaan jaringan**, masukkan informasi berikut:
+ Untuk **VPC**, pilih virtual private cloud (VPC) yang Anda buat.
+ Di bawah **Pemetaan**, pilih Availability Zones yang terkait dengan subnet publik yang tersedia di VPC yang sama yang Anda gunakan dengan endpoint server Anda.
+ Untuk **IPv4 alamat** setiap subnet, pilih salah satu alamat IP elastis yang Anda alokasikan.
1. Di bagian **Pendengar dan perutean**, masukkan informasi berikut:
+ Untuk **Protokol**, pilih **TLS.**
+ Untuk **Port**, masukkan **5080**.
+ Untuk **tindakan Default**, pilih **Buat grup target**. Untuk detail pembuatan grup target baru, lihat[Untuk membuat grup target](#create-target-group).
Setelah Anda membuat grup target, masukkan namanya di bidang **Tindakan default**.
1. Di bagian **Pengaturan pendengar aman**, pilih sertifikat Anda di area ** SSL/TLS sertifikat default**.
1. Pilih **Buat penyeimbang beban** untuk membuat NLB Anda.
1. (Opsional, tetapi disarankan) Aktifkan log akses untuk Network Load Balancer untuk mempertahankan jejak audit penuh, seperti yang dijelaskan dalam [log Access untuk Network Load Balancer Anda](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/load-balancer-access-logs.html).
Kami merekomendasikan langkah ini karena koneksi TLS dihentikan di NLB. Oleh karena itu, alamat IP sumber yang tercermin dalam grup AS2 CloudWatch log Transfer Family Anda adalah alamat IP pribadi NLB, bukan alamat IP eksternal mitra dagang Anda.
------
#### [ Configure ALB ]
Prosedur ini menjelaskan cara menyiapkan Application Load Balancer (ALB) di VPC Anda.
**Untuk membuat Application Load Balancer dan mendefinisikan titik akhir VPC server sebagai target penyeimbang beban**
1. Buka konsol Amazon Elastic Compute Cloud di [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Dari panel navigasi, pilih **Load Balancers, lalu pilih **Create** load balancer**.
1. **Di bawah **Application Load Balancer**, pilih Buat.**
1. Di konsol ALB, buat pendengar HTTP baru di port 443 (HTTPS).
1. (Opsional). Jika Anda ingin mengatur otentikasi timbal balik (mTL), konfigurasikan pengaturan keamanan dan toko kepercayaan.
1. Lampirkan SSL/TLS sertifikat Anda ke pendengar.
1. Di bawah **penanganan sertifikat Klien**, pilih **Mutual Authentication (mTLS**).
1. Pilih **Verifikasi dengan toko kepercayaan**.
1. Di bawah **pengaturan mTLS tingkat lanjut**, pilih atau buat toko kepercayaan dengan mengunggah sertifikat CA Anda.
1. Buat grup target baru dan tambahkan alamat IP pribadi dari endpoint AS2 server Transfer Family Anda sebagai target pada port 5080. Untuk detail pembuatan grup target baru, lihat[Untuk membuat grup target](#create-target-group).
1. Konfigurasikan pemeriksaan kesehatan untuk kelompok target untuk menggunakan protokol HTTP pada port 5080.
1. Buat aturan baru untuk meneruskan lalu lintas HTTPS dari pendengar ke grup target.
1. Konfigurasikan listener untuk menggunakan sertifikat SSL/TLS Anda.
------
Setelah Anda mengatur penyeimbang beban, klien berkomunikasi dengan penyeimbang beban melalui pendengar port kustom. Kemudian, penyeimbang beban berkomunikasi dengan server melalui port 5080.
**Untuk membuat grup target**
1. Setelah Anda memilih **Buat grup target** dalam prosedur sebelumnya, Anda akan dibawa ke halaman **Tentukan rincian grup** untuk grup target baru.
1. Di bagian **Konfigurasi dasar**, masukkan informasi berikut.
+ Untuk **Pilih jenis target**, pilih **alamat IP**.
+ Untuk **Name**, masukkan nama untuk grup target.
+ Untuk **Protokol**, pilihan Anda tergantung pada apakah Anda menggunakan ALB atau NLB.
+ **Untuk Network Load Balancer (NLB), pilih TCP**
+ **Untuk Application Load Balancer (ALB), pilih HTTP**
+ Untuk **Port**, masukkan **5080**.
+ Untuk jenis **alamat IP**, pilih **IPv4**.
+ Untuk **VPC**, pilih VPC yang Anda buat untuk server Transfer Family Anda. AS2
1. Di bagian **Pemeriksaan Kesehatan**, pilih **protokol Pemeriksaan Kesehatan**.
+ **Untuk ALB, pilih HTTP**
+ **Untuk NLB, pilih TCP**
1. Pilih **Berikutnya**.
1. Pada halaman **Daftar target**, masukkan informasi berikut:
+ Untuk **Jaringan**, konfirmasikan bahwa VPC yang Anda buat untuk AS2 server Transfer Family Anda ditentukan.
+ Untuk **IPv4 alamat**, masukkan IPv4 alamat pribadi titik akhir AS2 server Transfer Family Anda.
Jika Anda memiliki lebih dari satu titik akhir untuk server Anda, pilih **Tambah IPv4 alamat** untuk menambahkan baris lain untuk memasukkan IPv4 alamat lain. Ulangi proses ini sampai Anda memasukkan alamat IP pribadi untuk semua titik akhir server Anda.
+ Pastikan **Port** diatur ke**5080**.
+ Pilih **Sertakan sebagai tertunda di bawah ini** untuk menambahkan entri Anda ke bagian **Tinjau target**.
1. Di bagian **Tinjau target**, tinjau target IP Anda.
1. Pilih **Buat grup target**, lalu kembali ke prosedur sebelumnya untuk membuat NLB Anda dan masukkan grup target baru di mana ditunjukkan.
**Uji akses ke server dari alamat IP Elastis**
Connect ke server melalui port kustom dengan menggunakan alamat IP Elastis atau nama DNS Network Load Balancer.
**penting**
Kelola akses ke server Anda dari alamat IP klien dengan menggunakan [daftar kontrol akses jaringan (jaringan ACLs)](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html) untuk subnet yang dikonfigurasi pada penyeimbang beban. Izin ACL jaringan ditetapkan pada tingkat subnet, sehingga aturan berlaku untuk semua sumber daya yang menggunakan subnet. Anda tidak dapat mengontrol akses dari alamat IP klien dengan menggunakan grup keamanan, karena jenis target penyeimbang beban disetel ke **alamat IP**, bukan **Instans**. Oleh karena itu, penyeimbang beban tidak mempertahankan alamat IP sumber. Jika [pemeriksaan kesehatan Network Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/target-group-health-checks.html) gagal, ini berarti penyeimbang beban tidak dapat terhubung ke titik akhir server. Untuk memecahkan masalah ini, periksa hal berikut:
Konfirmasikan bahwa [grup keamanan terkait titik akhir](https://aws.amazon.com/premiumsupport/knowledge-center/sftp-enable-elastic-ip-custom-port/) server memungkinkan koneksi masuk dari subnet yang dikonfigurasi pada penyeimbang beban. Load balancer harus dapat terhubung ke endpoint server melalui port 5080.
Konfirmasikan bahwa **Status** server sedang **Online**.
## Mentransfer file dengan menggunakan konektor AS2
AS2 konektor membangun hubungan antara mitra dagang untuk transfer AS2 pesan dari server Transfer Family ke tujuan eksternal milik mitra.
Anda dapat menggunakan Transfer Family untuk mengirim AS2 pesan dengan mereferensikan ID konektor dan jalur ke file, seperti yang diilustrasikan dalam perintah `start-file-transfer` AWS Command Line Interface (AWS CLI) berikut:
```
aws transfer start-file-transfer --connector-id c-1234567890abcdef0 \
--send-file-paths "/amzn-s3-demo-source-bucket/myfile1.txt" "/amzn-s3-demo-source-bucket/myfile2.txt"
```
Untuk mendapatkan detail konektor Anda, jalankan perintah berikut:
```
aws transfer list-connectors
```
`list-connectors`Perintah mengembalikan konektor IDs, URLs, dan Amazon Resource Names (ARNs) untuk konektor Anda.
Untuk mengembalikan properti konektor tertentu, jalankan perintah berikut dengan ID yang ingin Anda gunakan:
```
aws transfer describe-connector --connector-id your-connector-id
```
`describe-connector`Perintah mengembalikan semua properti untuk konektor, termasuk URL, peran, profil, Pemberitahuan Disposisi Pesan (MDNs), tag, dan metrik pemantauan.
Anda dapat mengonfirmasi bahwa mitra berhasil menerima file dengan melihat file JSON dan MDN. File-file ini diberi nama sesuai dengan konvensi yang dijelaskan dalam[Nama dan lokasi file](#file-names-as2). Jika Anda mengonfigurasi peran logging saat membuat konektor, Anda juga dapat memeriksa CloudWatch log Anda untuk status AS2 pesan.
Untuk melihat detail AS2 konektor, lihat[Lihat detail AS2 konektor](configure-as2-connector.md#connectors-view-info). Untuk informasi selengkapnya tentang membuat AS2 konektor, lihat[Konfigurasikan AS2 konektor](configure-as2-connector.md).
**Untuk mengirim pesan AS2 keluar**
Proses keluar didefinisikan sebagai pesan atau file yang dikirim dari AWS ke klien atau layanan eksternal. Urutan pesan keluar adalah sebagai berikut:
1. Admin memanggil perintah `start-file-transfer` AWS Command Line Interface (AWS CLI) atau operasi `StartFileTransfer` API. Operasi ini mereferensikan `connector` konfigurasi.
1. Transfer Family mendeteksi permintaan file baru dan menemukan file. File dikompresi, ditandatangani, dan dienkripsi.
1. Klien HTTP transfer melakukan permintaan HTTP POST untuk mengirimkan payload ke AS2 server mitra.
1. Proses mengembalikan respons MDN yang ditandatangani, sejalan dengan respons HTTP (MDN sinkron).
1. Saat file bergerak di antara berbagai tahap transmisi, proses memberikan tanda terima respons MDN dan rincian pemrosesan kepada pelanggan.
1. AS2 Server jarak jauh membuat file yang didekripsi dan diverifikasi tersedia untuk admin mitra.
![\[Diagram yang menunjukkan urutan pemrosesan untuk pesan keluar.\]](http://docs.aws.amazon.com/id_id/transfer/latest/userguide/images/as2-architecture-outbound.png)
AS2 Processing mendukung banyak protokol RFC 4130, dengan fokus pada kasus penggunaan umum dan integrasi dengan implementasi server -enabled yang ada AS2. Untuk detail konfigurasi yang didukung, lihat[AS2 konfigurasi](create-b2b-server.md#as2-supported-configurations).
## Nama dan lokasi file
Bagian ini membahas konvensi penamaan file untuk transfer. AS2
Untuk transfer file masuk, perhatikan hal berikut:
+ Anda menentukan direktori dasar dalam perjanjian. Direktori dasar adalah nama bucket Amazon S3 yang dikombinasikan dengan awalan, jika ada. Misalnya, `/amzn-s3-demo-bucket/AS2-folder`.
+ Jika file yang masuk berhasil diproses, file (dan file JSON yang sesuai) disimpan ke folder`/processed`. Misalnya, `/amzn-s3-demo-bucket/AS2-folder/processed`.
File JSON berisi bidang-bidang berikut:
+ `agreement-id`
+ `as2-from`
+ `as2-to`
+ `as2-message-id`
+ `transfer-id`
+ `client-ip`
+ `connector-id`
+ `failure-message`
+ `file-path`
+ `message-subject`
+ `mdn-message-id`
+ `mdn-subject`
+ `requester-file-name`
+ `requester-content-type`
+ `server-id`
+ `status-code`
+ `failure-code`
+ `transfer-size`
+ Jika file yang masuk tidak dapat diproses dengan sukses, file (dan file JSON yang sesuai) disimpan ke folder`/failed`. Misalnya, `/amzn-s3-demo-bucket/AS2-folder/failed`.
+ File yang ditransfer disimpan dalam `processed` folder sebagai`original_filename.messageId.original_extension`. Artinya, ID pesan untuk transfer ditambahkan ke nama file, sebelum ekstensi aslinya.
+ File JSON dibuat dan disimpan sebagai `original_filename.messageId.original_extension.json` file. Selain ID pesan yang ditambahkan, string `.json` ditambahkan ke nama file yang ditransfer.
+ File Message Disposition Notice (MDN) dibuat dan disimpan sebagai `original_filename.messageId.original_extension.mdn` file. Selain ID pesan yang ditambahkan, string `.mdn` ditambahkan ke nama file yang ditransfer.
+ Jika ada file inbound bernama`ExampleFileInS3Payload.dat`, file-file berikut dibuat:
+ **Berkas** β `ExampleFileInS3Payload.c4d6b6c7-23ea-4b8c-9ada-0cb811dc8b35@44313c54b0a46a36.dat`
+ **JSON** β `ExampleFileInS3Payload.c4d6b6c7-23ea-4b8c-9ada-0cb811dc8b35@44313c54b0a46a36.dat.json`
+ **MDN** β `ExampleFileInS3Payload.c4d6b6c7-23ea-4b8c-9ada-0cb811dc8b35@44313c54b0a46a36.dat.mdn`
Untuk transfer keluar, penamaannya serupa, dengan perbedaan bahwa tidak ada file pesan masuk, dan juga, ID transfer untuk pesan yang ditransfer ditambahkan ke nama file. ID transfer dikembalikan oleh operasi `StartFileTransfer` API (atau ketika proses atau skrip lain memanggil operasi ini).
+ `transfer-id`Ini adalah pengidentifikasi yang terkait dengan transfer file. Semua permintaan yang merupakan bagian dari `StartFileTransfer` panggilan berbagi a`transfer-id`.
+ Direktori dasar sama dengan jalur yang Anda gunakan untuk file sumber. Artinya, direktori dasar adalah jalur yang Anda tentukan dalam operasi atau `start-file-transfer` AWS CLI perintah `StartFileTransfer` API. Contoh:
```
aws transfer start-file-transfer --send-file-paths /amzn-s3-demo-bucket/AS2-folder/file-to-send.txt
```
Jika Anda menjalankan perintah ini, file MDN dan JSON disimpan di `/amzn-s3-demo-bucket/AS2-folder/processed` (untuk transfer yang berhasil), atau `/amzn-s3-demo-bucket/AS2-folder/failed` (untuk transfer yang gagal).
+ File JSON dibuat dan disimpan sebagai `original_filename.transferId.messageId.original_extension.json` file.
+ File MDN dibuat dan disimpan sebagai `original_filename.transferId.messageId.original_extension.mdn` file.
+ Jika ada file keluar bernama`ExampleFileOutTestOutboundSyncMdn.dat`, file berikut dibuat:
+ **JSON** β `ExampleFileOutTestOutboundSyncMdn.dedf4601-4e90-4043-b16b-579af35e0d83.fbe18db8-7361-42ff-8ab6-49ec1e435f34@c9c705f0baaaabaa.dat.json`
+ **MDN** β `ExampleFileOutTestOutboundSyncMdn.dedf4601-4e90-4043-b16b-579af35e0d83.fbe18db8-7361-42ff-8ab6-49ec1e435f34@c9c705f0baaaabaa.dat.mdn`
Anda juga dapat memeriksa CloudWatch log untuk melihat detail transfer Anda, termasuk yang gagal.
## Kode status
Tabel berikut mencantumkan semua kode status yang dapat dicatat ke CloudWatch log saat Anda atau pasangan mengirim AS2 pesan. Langkah pemrosesan pesan yang berbeda berlaku untuk jenis pesan yang berbeda dan dimaksudkan untuk pemantauan saja. Status COMPLETED dan FAILED mewakili langkah terakhir dalam pemrosesan, dan terlihat dalam file JSON.
****
| Kode | Deskripsi | Pemrosesan selesai? |
| --- | --- | --- |
| PENGOLAHAN | Pesan sedang dalam proses dikonversi ke format akhirnya. Misalnya, langkah dekompresi dan dekripsi keduanya memiliki status ini. | Tidak |
| MDN\$1TRANSMIT | Pemrosesan pesan adalah mengirimkan respons MDN. | Tidak |
| MDN\$1RECEIVE | Pemrosesan pesan menerima respons MDN. | Tidak |
| DISELESAIKAN | Pemrosesan pesan telah selesai dengan sukses. Keadaan ini termasuk ketika MDN dikirim untuk pesan masuk atau untuk verifikasi MDN dari pesan keluar. | Ya |
| FAILED | Pemrosesan pesan telah gagal. Untuk daftar kode kesalahan, lihat[AS2 kode kesalahan](as2-monitoring.md#as2-error-codes). | Ya |
## Contoh file JSON
Bagian ini mencantumkan contoh file JSON untuk transfer masuk dan keluar, termasuk file sampel untuk transfer yang berhasil dan transfer yang gagal.
Contoh file keluar yang berhasil ditransfer:
```
{
"requester-content-type": "application/octet-stream",
"message-subject": "File xyzTest from MyCompany_OID to partner YourCompany",
"requester-file-name": "TestOutboundSyncMdn-9lmCr79hV.dat",
"as2-from": "MyCompany_OID",
"connector-id": "c-c21c63ceaaf34d99b",
"status-code": "COMPLETED",
"disposition": "automatic-action/MDN-sent-automatically; processed",
"transfer-size": 3198,
"mdn-message-id": "OPENAS2-11072022063009+0000-df865189-1450-435b-9b8d-d8bc0cee97fd@PartnerA_OID_MyCompany_OID",
"mdn-subject": "Message be18db8-7361-42ff-8ab6-49ec1e435f34@c9c705f0baaaabaa has been accepted",
"as2-to": "PartnerA_OID",
"transfer-id": "dedf4601-4e90-4043-b16b-579af35e0d83",
"file-path": "/amzn-s3-demo-bucket/as2testcell0000/openAs2/TestOutboundSyncMdn-9lmCr79hV.dat",
"as2-message-id": "fbe18db8-7361-42ff-8ab6-49ec1e435f34@c9c705f0baaaabaa",
"timestamp": "2022-07-11T06:30:10.791274Z"
}
```
Contoh file keluar yang tidak berhasil ditransfer:
```
{
"failure-code": "HTTP_ERROR_RESPONSE_FROM_PARTNER",
"status-code": "FAILED",
"requester-content-type": "application/octet-stream",
"subject": "Test run from Id da86e74d6e57464aae1a55b8596bad0a to partner 9f8474d7714e476e8a46ce8c93a48c6c",
"transfer-size": 3198,
"requester-file-name": "openAs2TestOutboundWrongAs2Ids-necco-3VYn5n8wE.dat",
"as2-message-id": "9a9cc9ab-7893-4cb6-992a-5ed8b90775ff@718de4cec1374598",
"failure-message": "http://Test123456789.us-east-1.elb.amazonaws.com:10080 returned status 500 for message with ID 9a9cc9ab-7893-4cb6-992a-5ed8b90775ff@718de4cec1374598",
"transfer-id": "07bd3e07-a652-4cc6-9412-73ffdb97ab92",
"connector-id": "c-056e15cc851f4b2e9",
"file-path": "/amzn-s3-demo-bucket-4c1tq6ohjt9y/as2IntegCell0002/openAs2/openAs2TestOutboundWrongAs2Ids-necco-3VYn5n8wE.dat",
"timestamp": "2022-07-11T21:17:24.802378Z"
}
```
Contoh file inbound yang berhasil ditransfer:
```
{
"requester-content-type": "application/EDI-X12",
"subject": "File openAs2TestInboundAsyncMdn-necco-5Ab6bTfCO.dat sent from MyCompany to PartnerA",
"client-ip": "10.0.109.105",
"requester-file-name": "openAs2TestInboundAsyncMdn-necco-5Ab6bTfCO.dat",
"as2-from": "MyCompany_OID",
"status-code": "COMPLETED",
"disposition": "automatic-action/MDN-sent-automatically; processed",
"transfer-size": 1050,
"mdn-subject": "Message Disposition Notification",
"as2-message-id": "OPENAS2-11072022233606+0000-5dab0452-0ca1-4f9b-b622-fba84effff3c@MyCompany_OID_PartnerA_OID",
"as2-to": "PartnerA_OID",
"agreement-id": "a-f5c5cbea5f7741988",
"file-path": "processed/openAs2TestInboundAsyncMdn-necco-5Ab6bTfCO.OPENAS2-11072022233606+0000-5dab0452-0ca1-4f9b-b622-fba84effff3c@MyCompany_OID_PartnerA_OID.dat",
"server-id": "s-5f7422b04c2447ef9",
"timestamp": "2022-07-11T23:36:36.105030Z"
}
```
Contoh file masuk yang tidak berhasil ditransfer:
```
{
"failure-code": "INVALID_REQUEST",
"status-code": "FAILED",
"subject": "Sending a request from InboundHttpClientTests",
"client-ip": "10.0.117.27",
"as2-message-id": "testFailedLogs-TestRunConfig-Default-inbound-direct-integ-0c97ee55-af56-4988-b7b4-a3e0576f8f9c@necco",
"as2-to": "0beff6af56c548f28b0e78841dce44f9",
"failure-message": "Unsupported date format: 2022/123/456T",
"agreement-id": "a-0ceec8ca0a3348d6a",
"as2-from": "ab91a398aed0422d9dd1362710213880",
"file-path": "failed/01187f15-523c-43ac-9fd6-51b5ad2b08f3.testFailedLogs-TestRunConfig-Default-inbound-direct-integ-0c97ee55-af56-4988-b7b4-a3e0576f8f9c@necco",
"server-id": "s-0582af12e44540b9b",
"timestamp": "2022-07-11T06:30:03.662939Z"
}
```
# Sesuaikan header HTTP untuk pesan AS2
Saat mengirim AS2 pesan ke mitra dagang, Anda mungkin perlu menyesuaikan header HTTP untuk memenuhi persyaratan tertentu atau meningkatkan kompatibilitas dengan konfigurasi AS2 server mitra Anda. CloudFormation Template ini membuat infrastruktur untuk mengaktifkan header HTTP yang disesuaikan untuk AS2 pesan yang dikirim. AWS Transfer Family Ini mengatur fungsi Amazon API Gateway dan Lambda untuk bertindak sebagai proxy, memungkinkan modifikasi dinamis header yang diperlukan oleh server mitra dagang. AS2
Gunakan template ini untuk melakukan hal berikut:
+ Tambahkan header HTTP kustom ke pesan keluar AS2
+ Ganti nilai header default dengan nilai kustom
**penting**
Hati-hati saat mengganti nilai header default, karena dapat menyebabkan kegagalan pengiriman: beberapa AS2 header diperlukan.
+ Pastikan kompatibilitas dengan mitra dagang yang memiliki persyaratan header tertentu
## Gambaran Umum Templat
Template membuat komponen utama berikut:
+ Fungsi Lambda yang memproses dan meneruskan pesan AS2
+ Amazon API Gateway untuk mengekspos fungsi Lambda
+ Peran dan izin IAM untuk fungsi Lambda
+ Sumber daya bersyarat untuk dukungan HTTPS
File template tersedia di sini: [Template header HTTP dinamis](https://s3.amazonaws.com/aws-transfer-resources/as2-templates/dynamic-http-headers.template.yml).
## Cara Kerjanya
1. Amazon API Gateway menerima AS2 pesan masuk dari AWS Transfer Family.
1. Permintaan diteruskan ke fungsi Lambda.
1. Fungsi Lambda memproses permintaan, menambahkan atau memodifikasi header sesuai kebutuhan.
1. Permintaan yang dimodifikasi kemudian diteruskan ke server mitra. AS2
1. Respons dari server mitra dikembalikan melalui Lambda dan Amazon API Gateway kembali ke. AWS Transfer Family
## Fitur Utama
+ *Modifikasi Header Dinamis:* Memungkinkan kustomisasi header Subjek dan penambahan header lain yang diperlukan.
+ *Protocol Support:* Bekerja dengan protokol HTTP dan HTTPS.
+ *Konfigurasi Fleksibel:* Memungkinkan spesifikasi host mitra, port, dan jalur.
## Detail Implementasi
Template mengimplementasikan komponen-komponen kunci berikut:
### Fungsi Lambda
Inti dari solusinya adalah fungsi Lambda Node.js yang:
+ Menerima permintaan dari Amazon API Gateway
+ Memodifikasi header berdasarkan konfigurasi dan data permintaan masuk
+ Meneruskan permintaan yang dimodifikasi ke server mitra AS2
+ Menangani protokol HTTP dan HTTPS
+ Termasuk penanganan kesalahan dan pencatatan
### Amazon API Gateway
API HTTP diatur untuk:
+ Menerima pesan masuk AS2
+ Permintaan rute ke fungsi Lambda
+ Kembalikan tanggapan kembali ke AWS Transfer Family
### Parameter template
Masukkan informasi untuk parameter template sebagai berikut. Perhatikan bahwa semua parameter ini adalah string.
+ `Environment`: parameter ini digunakan untuk memberi nama sumber daya yang dibuat template: apakah mereka dimaksudkan untuk pengembangan atau lingkungan produksi. Nilai yang valid adalah **dev** dan **prod**.
+ `PartnerHost`: alamat IP atau nama host dari server AS2 mitra.
+ `PartnerPort`: nomor port untuk server AS2 mitra. Jika tidak ditentukan, default ke 80 untuk HTTP dan 443 untuk HTTPS.
+ `PartnerPath`: jalur ke AS2 titik akhir di server mitra
+ `ProtocolType`: protokol yang digunakan untuk AS2 komunikasi: nilai yang valid adalah **HTTP** dan **HTTPS**.
### Sumber Daya Bersyarat
Untuk dukungan HTTPS, template membuat secara kondisional:
+ Lapisan Lambda untuk sertifikat CA
+ Konfigurasi khusus HTTP dalam fungsi Lambda
## Penerapan dan Penggunaan
**Untuk menyesuaikan header AS2 HTTP menggunakan template CloudFormation**
1. Buka CloudFormation konsol di [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/).
1. Di panel navigasi sebelah kiri, pilih **Tumpukan**.
1. Pilih **Buat tumpukan**, lalu pilih **Dengan sumber daya baru (standar)**.
1. Di bagian **Prasyarat - Siapkan templat**, pilih **Pilih templat yang ada**.
1. Salin tautan ini, [template header HTTP Dinamis](https://s3.amazonaws.com/aws-transfer-resources/as2-templates/dynamic-http-headers.template.yml), dan tempel ke bidang URL **Amazon S3**.
1. Pilih **Berikutnya**.
1. Isi detail parameter dengan informasi Anda. Ini dirinci dalam[Parameter template](#as2-header-template-parameter-details).
1. Pilih **Berikutnya**. Pada halaman **Configure stack options**, pilih **Next** lagi.
1. Tinjau detail tumpukan yang Anda buat, lalu pilih **Buat tumpukan**.
**catatan**
Di bagian bawah halaman, di bawah **Kemampuan**, Anda harus mengakui bahwa CloudFormation mungkin membuat sumber daya AWS Identity and Access Management (IAM).
Setelah menerapkan CloudFormation tumpukan ini:
1. Perhatikan URL titik akhir Amazon API Gateway yang disediakan dalam output tumpukan.
1. Perbarui AWS Transfer Family Konektor yang ada untuk menggunakan titik akhir Amazon API Gateway baru ini.
1. Solusinya sekarang akan menangani AS2 pesan, menambahkan atau memodifikasi header seperti yang dikonfigurasi.
**Awas**
Hanya ubah header Subjek atau tambahkan header yang diharapkan pasangan Anda secara eksplisit. Mengubah header lain dapat menyebabkan kegagalan transfer.
# Pemantauan AS2 penggunaan
Anda dapat memantau AS2 aktivitas menggunakan Amazon CloudWatch dan AWS CloudTrail. Untuk melihat metrik server Transfer Family lainnya, lihat [Amazon CloudWatch logging untuk AWS Transfer Family server](structured-logging.md)
**AS2 metrik**
| Metrik | Deskripsi |
| --- | --- |
| InboundMessage | Jumlah total AS2 pesan yang berhasil diterima dari mitra dagang. Unit: Hitungan Periode: 5 menit |
| InboundFailedMessage | Jumlah total AS2 pesan yang tidak berhasil diterima dari mitra dagang. Artinya, mitra dagang mengirim pesan, tetapi server Transfer Family tidak berhasil memprosesnya. Unit: Hitungan Periode: 5 menit |
| OutboundMessage | Jumlah total AS2 pesan yang berhasil dikirim dari server Transfer Family ke mitra dagang. Unit: Hitungan Periode: 5 menit |
| OutboundFailedMessage | Jumlah total AS2 pesan yang tidak berhasil dikirim ke mitra dagang. Artinya, mereka dikirim dari server Transfer Family, tetapi tidak berhasil diterima oleh mitra dagang. Unit: Hitungan Periode: 5 menit |
| DaysUntilExpiry | Jumlah hari sampai Sertifikat kedaluwarsa ditentukan oleh `InactiveDate` set pada Sertifikat saat mengimpor. Unit: Hitungan Dimensi:`CertificateId`, `Description` (jika disediakan) Periode: 1 hari Untuk informasi selengkapnya, lihat [AS2 rotasi sertifikat](managing-as2-partners.md#as2-certificate-rotation). |
## AS2 Kode status
Tabel berikut mencantumkan semua kode status yang dapat dicatat ke CloudWatch log saat Anda atau pasangan mengirim AS2 pesan. Langkah-langkah pemrosesan pesan yang berbeda berlaku untuk jenis pesan yang berbeda dan dimaksudkan untuk pemantauan saja. Status COMPLETED dan FAILED mewakili langkah terakhir dalam pemrosesan, dan terlihat dalam file JSON.
****
| Kode | Deskripsi | Pemrosesan selesai? |
| --- | --- | --- |
| PENGOLAHAN | Pesan sedang dalam proses dikonversi ke format akhirnya. Misalnya, langkah dekompresi dan dekripsi keduanya memiliki status ini. | Tidak |
| MDN\$1TRANSMIT | Pemrosesan pesan adalah mengirimkan respons MDN. | Tidak |
| MDN\$1RECEIVE | Pemrosesan pesan menerima respons MDN. | Tidak |
| DISELESAIKAN | Pemrosesan pesan telah selesai dengan sukses. Keadaan ini termasuk ketika MDN dikirim untuk pesan masuk atau untuk verifikasi MDN dari pesan keluar. | Ya |
| FAILED | Pemrosesan pesan telah gagal. Untuk daftar kode kesalahan, lihat[AS2 kode kesalahan](#as2-error-codes). | Ya |
## AS2 kode kesalahan
Tabel berikut mencantumkan dan menjelaskan kode kesalahan yang mungkin Anda terima dari transfer AS2 file.
**AS2 kode kesalahan**
| Kode | Kesalahan | Deskripsi dan resolusi |
| --- | --- | --- |
| ACCESS\$1DENIED | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/transfer/latest/userguide/as2-monitoring.html) | Terjadi saat menangani `StartFileTransfer` permintaan di mana salah satu dari `SendFilePaths` yang tidak valid atau cacat. Artinya, jalur tersebut tidak memiliki nama bucket Amazon S3, atau jalurnya menyertakan karakter yang tidak valid. Juga terjadi jika Transfer Family gagal mengambil peran akses atau peran logging.Pastikan jalur berisi nama bucket Amazon S3 dan nama kunci yang valid. |
| AGREEMENT\$1NOT\$1FOUND | Kesepakatan tidak ditemukan. | Entah perjanjian itu tidak ditemukan, atau perjanjian dikaitkan dengan profil yang tidak aktif.Perbarui perjanjian dalam server Transfer Family untuk menyertakan profil aktif. |
| CONNECTOR\$1NOT\$1FOUND | Konektor atau konfigurasi terkait tidak ditemukan. | Entah konektor tidak ditemukan, atau konektor dikaitkan dengan profil yang tidak aktif. Perbarui konektor untuk menyertakan profil aktif. |
| CREDENTIALS\$1RETRIEVAL\$1FAILED | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/transfer/latest/userguide/as2-monitoring.html) | Untuk otentikasi AS2 Dasar, rahasia harus diformat dengan benar. Resolusi berikut sesuai dengan kesalahan yang tercantum di kolom sebelumnya. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/transfer/latest/userguide/as2-monitoring.html) |
| DECOMPRESSION\$1FAILED | Gagal mendekompresi pesan. | Entah file yang dikirim rusak, atau algoritma kompresi tidak valid. Kirim ulang pesan dan verifikasi bahwa kompresi ZLIB digunakan, atau kirim ulang pesan tanpa kompresi diaktifkan. |
| DECRYPT\$1FAILED | Gagal mendekripsi pesan. message-ID Pastikan mitra memiliki kunci enkripsi publik yang benar. | Dekripsi gagal. Konfirmasikan bahwa mitra mengirim muatan dengan menggunakan sertifikat yang valid dan enkripsi itu dilakukan dengan menggunakan algoritma enkripsi yang valid. |
| DECRYPT\$1FAILED\$1INVALID\$1SMIME\$1FORMAT | Tidak dapat mengurai mimePart yang diselimuti. | Payload MIME rusak atau dalam format SMIME yang tidak didukung. Pengirim harus memastikan bahwa format yang mereka gunakan didukung, dan kemudian mengirim ulang payload. |
| DECRYPT\$1FAILED\$1NO\$1DECRYPTION\$1KEY\$1FOUND | Tidak ada kunci dekripsi yang cocok ditemukan. | Profil mitra tidak memiliki sertifikat yang ditetapkan yang cocok dengan pesan, atau sertifikat yang cocok dengan pesan sekarang kedaluwarsa atau tidak lagi valid. Anda harus memperbarui profil mitra dan memastikan bahwa itu berisi sertifikat yang valid. |
| DECRYPT\$1FAILED\$1UNSUPPORTED\$1ENCRYPTION\$1ALG | Dekripsi Muatan SMIME diminta menggunakan algoritma yang tidak didukung dengan ID:. encryption-ID | Pengirim jarak jauh telah mengirim AS2 muatan dengan algoritma enkripsi yang tidak didukung. Pengirim harus memilih algoritma enkripsi yang didukung oleh AWS Transfer Family. |
| DUPLICATE\$1MESSAGE | Langkah duplikat atau proses ganda. | Muatan memiliki langkah pemrosesan duplikat. Misalnya, ada dua langkah enkripsi. Kirim ulang pesan dengan satu langkah untuk penandatanganan, kompresi, dan enkripsi. |
| ENCRYPT\$1FAILED\$1NO\$1ENCRYPTION\$1KEY\$1FOUND | Tidak ada sertifikat enkripsi publik yang valid yang ditemukan di profil: *local-profile-ID* | Transfer Family mencoba mengenkripsi pesan keluar, tetapi tidak ada sertifikat enkripsi yang ditemukan untuk profil lokal.Opsi resolusi:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/transfer/latest/userguide/as2-monitoring.html) |
| ENCRYPTION\$1FAILED | Gagal mengenkripsi filefile-name. | File yang akan dikirim tidak tersedia untuk enkripsi. Verifikasi bahwa file berada di AS2 lokasi yang diharapkan dan yang AWS Transfer Family memiliki izin untuk membaca file. |
| FILE\$1SIZE\$1TOO\$1LARGE | Ukuran file terlalu besar. | Ini terjadi saat mengirim atau menerima file yang melebihi batas ukuran file. |
| HTTP\$1ERROR\$1RESPONSE\$1FROM\$1PARTNER | *partner-URL*mengembalikan status 400 untuk pesan dengan ID =*message-ID*. | Berkomunikasi dengan AS2 server mitra mengembalikan kode respons HTTP yang tidak terduga. Mitra mungkin dapat memberikan lebih banyak diagnostik dari log AS2 server mereka. |
| INSUFFICENT\$1MESSAGE\$1SECURITY\$1UNENCRYPTED | Enkripsi diperlukan. | Mitra mengirim pesan yang tidak terenkripsi ke Transfer Family, yang tidak didukung. Pengirim harus menggunakan muatan terenkripsi. |
| INVALID\$1ENDPOINT\$1PROTOCOL | Hanya HTTP dan HTTPS yang didukung. | Anda harus menentukan HTTP atau HTTPS sebagai protokol dalam konfigurasi AS2 konektor Anda. |
| INVALID\$1REQUEST | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/transfer/latest/userguide/as2-monitoring.html) | Kesalahan ini memiliki beberapa penyebab. Resolusi berikut sesuai dengan kesalahan yang tercantum di kolom sebelumnya. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/transfer/latest/userguide/as2-monitoring.html) |
| INVALID\$1URL\$1FORMAT | Format URL tidak valid: URL | Ini terjadi ketika Anda mengirim pesan keluar menggunakan konektor yang dikonfigurasi dengan URL yang salah bentuk. Pastikan konektor dikonfigurasi dengan URL HTTP atau HTTPS yang valid. |
| MDN\$1RESPONSE\$1INDICATES\$1AUTHENTICATION\$1FAILED | Tidak berlaku | Penerima tidak dapat mengautentikasi pengirim. Mitra dagang mengembalikan MDN ke Transfer Family dengan [pengubah disposisi Error: authentication-failed](https://datatracker.ietf.org/doc/html/rfc4130#section-7.5.4). |
| MDN\$1RESPONSE\$1INDICATES\$1DECOMPRESSION\$1FAILED | Tidak berlaku | Ini terjadi ketika penerima tidak dapat mendekompresi isi pesan. Mitra dagang mengembalikan MDN ke Transfer Family dengan [pengubah disposisi Error: decompression-failed](https://datatracker.ietf.org/doc/html/rfc4130#section-7.5.4). |
| MDN\$1RESPONSE\$1INDICATES\$1DECRYPTION\$1FAILED | Tidak berlaku | Penerima tidak dapat mendekripsi isi pesan. Mitra dagang mengembalikan MDN ke Transfer Family dengan [pengubah disposisi Error: authentication-failed](https://datatracker.ietf.org/doc/html/rfc4130#section-7.5.4). |
| MDN\$1RESPONSE\$1INDICATES\$1INSUFFICIENT\$1MESSAGE\$1SECURITY | Tidak berlaku | Penerima mengharapkan pesan ditandatangani atau dienkripsi, tetapi sebenarnya tidak. Mitra dagang mengembalikan MDN ke Transfer Family dengan [pengubah disposisi](https://datatracker.ietf.org/doc/html/rfc4130#section-7.5.4) Kesalahan:. insufficient-message-securityAktifkan and/or enkripsi penandatanganan pada konektor agar sesuai dengan harapan mitra dagang. |
| MDN\$1RESPONSE\$1INDICATES\$1INTEGRITY\$1CHECK\$1FAILED | Tidak berlaku | Penerima tidak dapat memverifikasi integritas konten. Mitra dagang mengembalikan MDN ke Transfer Family dengan [pengubah disposisi](https://datatracker.ietf.org/doc/html/rfc4130#section-7.5.4) Kesalahan:. integrity-check-failed |
| PATH\$1NOT\$1FOUND | Tidak dapat membuat direktori*file-path*. Jalur induk tidak dapat ditemukan. | Transfer Family mencoba membuat direktori di bucket Amazon S3 pelanggan, tetapi bucket tidak ditemukan.Pastikan bahwa setiap jalur yang disebutkan dalam `StartFileTransfer` perintah berisi nama bucket yang ada. |
| SEND\$1FILE\$1NOT\$1FOUND | Jalur file file-path tidak ditemukan. | Transfer Family tidak dapat menemukan file dalam operasi kirim file. Periksa apakah direktori dan jalur home yang dikonfigurasi valid dan Transfer Family telah membaca izin untuk file tersebut. |
| SERVER\$1NOT\$1FOUND | Server yang terkait dengan pesan tidak dapat ditemukan. | Transfer Family tidak dapat menemukan server saat menerima pesan. Hal ini dapat terjadi jika server dihapus selama pemrosesan pesan masuk. |
| SERVER\$1NOT\$1ONLINE | Server server-ID tidak online. | Server Transfer Family sedang offline.Mulai server sehingga dapat menerima dan memproses pesan. |
| SIGNING\$1FAILED | Gagal menandatangani berkas. | File yang akan dikirim tidak tersedia untuk ditandatangani, atau penandatanganan tidak dapat dilakukan. Verifikasi bahwa file berada di AS2 lokasi yang diharapkan dan yang AWS Transfer Family memiliki izin untuk membaca file. |
| SIGNING\$1FAILED\$1NO\$1SIGNING\$1KEY\$1FOUND | Tidak ada sertifikat yang ditemukan untuk profil:local-profile-ID. | Mencoba menandatangani pesan keluar, tetapi tidak ada sertifikat penandatanganan yang ditemukan untuk profil lokal.Opsi resolusi:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/transfer/latest/userguide/as2-monitoring.html) |
| UNABLE\$1RESOLVE\$1HOST\$1TO\$1IP\$1ADDRESS | Tidak dapat menyelesaikan nama host ke alamat IP. | Transfer Family tidak dapat melakukan resolusi alamat DNS ke IP pada server DNS publik yang dikonfigurasi di AS2 konektor. Perbarui konektor untuk menunjuk ke URL mitra yang valid. |
| UNABLE\$1TO\$1CONNECT\$1TO\$1REMOTE\$1HOST\$1OR\$1IP | Koneksi ke titik akhir habis waktu. | Transfer Family tidak dapat membuat koneksi soket ke AS2 server mitra yang dikonfigurasi. Periksa apakah AS2 server mitra tersedia di alamat IP yang dikonfigurasi. |
| UNABLE\$1TO\$1RESOLVE\$1HOSTNAME | Tidak dapat menyelesaikan nama hosthostname. | Server Transfer Family tidak dapat menyelesaikan nama host mitra dengan menggunakan server DNS publik. Periksa apakah host yang dikonfigurasi terdaftar dan catatan DNS memiliki waktu untuk mempublikasikan. |
| VERIFICATION\$1FAILED | Verifikasi tanda tangan gagal untuk AS2 pesan message-ID atau kode MIC tidak cocok. | Periksa apakah sertifikat penandatanganan pengirim cocok dengan sertifikat penandatanganan untuk profil jarak jauh. Periksa juga apakah algoritma MIC kompatibel dengan AWS Transfer Family. |
| VERIFICATION\$1FAILED\$1NO\$1MATCHING\$1KEY\$1FOUND | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/transfer/latest/userguide/as2-monitoring.html) | AWS Transfer Family sedang mencoba memverifikasi tanda tangan untuk pesan yang diterima, tetapi tidak ada sertifikat penandatanganan yang cocok ditemukan untuk profil mitra. Opsi resolusi:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/transfer/latest/userguide/as2-monitoring.html) |
# Pemantauan kedaluwarsa sertifikat
AWS Transfer Family secara otomatis memantau tanggal kedaluwarsa AS2 sertifikat dan menerbitkan CloudWatch metrik Amazon untuk membantu Anda melacak kapan sertifikat mendekati kedaluwarsa. Ini memungkinkan Anda untuk secara proaktif mengelola perpanjangan sertifikat dan menghindari gangguan layanan.
## DaysUntilExpiry metrik
Saat Anda mengimpor sertifikat untuk AS2 digunakan, Transfer Family secara otomatis membuat CloudWatch metrik yang dipanggil`DaysUntilExpiry`. Metrik ini melacak jumlah hari yang tersisa hingga sertifikat kedaluwarsa berdasarkan yang `InactiveDate` Anda tentukan saat mengimpor sertifikat.
**Detail metrik:**
+ **Nama metrik:** `DaysUntilExpiry`
+ **Ruang nama:** `AWS/Transfer`
+ **Dimensi:** `CertificateId` (selalu ada), `Description` (jika disediakan selama impor sertifikat)
+ **Unit:** Hitung (hari)
+ **Frekuensi:** Diterbitkan setiap hari
**penting**
Diperlukan waktu hingga satu hari penuh setelah mengimpor sertifikat Transfer Family untuk memancarkan metrik ini ke akun Anda.
Nilai metrik berkurang satu per hari saat sertifikat mendekati tanggal tidak aktifnya. Misalnya, jika sertifikat memiliki 30 hari hingga kedaluwarsa, metrik akan menunjukkan 30, lalu 29 pada hari berikutnya, dan seterusnya.
## Praktik terbaik untuk pemantauan sertifikat
Ikuti praktik terbaik ini saat menyiapkan pemantauan kedaluwarsa sertifikat:
+ **Tetapkan beberapa ambang peringatan:** Buat alarm untuk periode waktu yang berbeda (misalnya, 30 hari, 14 hari, dan 7 hari sebelum kedaluwarsa) untuk memberikan waktu yang memadai untuk perpanjangan sertifikat.
+ **Gunakan statistik yang sesuai:** Gunakan `Maximum` statistik saat membuat alarm untuk memastikan Anda menangkap nilai metrik terbaru.
+ **Konfigurasikan tindakan alarm yang tepat:** Siapkan notifikasi untuk memberi tahu anggota tim yang sesuai yang dapat memperbarui sertifikat.
+ **Uji peringatan Anda:** Uji sistem notifikasi Anda secara teratur untuk memastikan peringatan dikirimkan dengan benar.
+ **Dokumentasikan proses Anda:** Menjaga dokumentasi tentang proses perpanjangan sertifikat Anda dan siapa yang bertanggung jawab atas sertifikat yang berbeda.
## Contoh konfigurasi alarm
Berikut adalah beberapa contoh konfigurasi alarm untuk skenario notifikasi yang berbeda:
### Peringatan kedaluwarsa 30 hari
Buat alarm yang memicu ketika sertifikat memiliki 30 hari atau kurang hingga kedaluwarsa:
+ **Metrik:** DaysUntilExpiry
+ **Statistik: **Maksimum
+ **Periode:** 1 hari
+ **Ambang batas:** 30
+ **Perbandingan:** Kurang dari atau sama dengan ambang
+ **Perlakuan data yang hilang:** Perlakukan data yang hilang sebagai hal yang baik (tidak melanggar)
### Peringatan kedaluwarsa 7 hari yang kritis
Buat alarm kritis yang memicu ketika sertifikat memiliki 7 hari atau kurang hingga kedaluwarsa:
+ **Metrik:** DaysUntilExpiry
+ **Statistik: **Maksimum
+ **Periode:** 1 hari
+ **Ambang:** 7
+ **Perbandingan:** Kurang dari atau sama dengan ambang
+ **Perlakuan data yang hilang:** Perlakukan data yang hilang sebagai hal yang baik (tidak melanggar)