Einen File Transfer Agent konfigurieren

Nachdem Sie einen File Transfer Agent installiert haben, gehen Sie wie folgt vor, um den Agenten zu konfigurieren. Wenn Sie einen neuen Agenten installieren müssen, folgen Sie den Anweisungen auf der Installieren Sie einen File Transfer Agent Seite.

Schritt 1: Berechtigungen konfigurieren und Task Control starten (STC)

1. Aktualisieren Sie eines der SYS2.AWS.M2.SAMPLIB(SEC#RACF) (zum Einrichten von RACF Berechtigungen) oder SYS2.AWS.M2.SAMPLIB(SEC#TSS) (zum Einrichten von TSS Berechtigungen) und reichen Sie es gemäß den jeweiligen Anweisungen ein. Diese Mitglieder wurden im vorherigen CPY#PDS Schritt erstellt.

   Anmerkung

   SYS2.AWS.M2ist der High-Level-Qualifier (HLQ), der bei der Installation ausgewählt wurde.

2. Aktualisieren Sie den PWD Export im SYS2.AWS.M2.SAMPLIB(M2AGENT) STCJCL, falls der Standard-Verzeichnispfad (/usr/lpp/aws/m2-agent) für den File Transfer Agent geändert wurde.

3. Aktualisieren und kopieren Sie den SYS2.AWS.M2.SAMPLIB(M2AGENT) JCL nachSYS1.PROCLIB.

4. Fügen SYS2.AWS.M2.LOADLIB Sie der APF Liste mit dem folgenden Befehl hinzu:

   SETPROG APF ADD DSNAME(SYS2.AWS.M2.LOADLIB) SMS

5. Legen Sie für die Gruppe logs und den Besitzer des Agenten und diag der Ordner den Agent-Benutzer/die Agentengruppe (M2 /M2) fest. USER GROUP Verwenden Sie den folgenden Befehl:

   chown -R M2USER:M2GROUP $AGENT_DIR/current-version/logs
   chown -R M2USER:M2GROUP $AGENT_DIR/current-version/diag

Schritt 2: Amazon S3 S3-Buckets erstellen

AWSMainframe Modernization File Transfer erfordert einen Amazon S3 S3-Zwischenspeicher als Arbeitsbereich. Wir empfehlen, speziell dafür einen Bucket zu erstellen.

Erstellen Sie optional einen neuen Amazon S3 S3-Ziel-Bucket für die übertragenen Datensätze. Andernfalls können Sie auch Ihren vorhandenen Amazon S3 S3-Bucket verwenden. Weitere Informationen zum Erstellen von Amazon S3 S3-Buckets finden Sie unter Bucket erstellen.

Schritt 3: Erstellen Sie einen vom AWS KMS Kunden verwalteten Schlüssel für die Verschlüsselung

So erstellen Sie einen vom Kunden verwalteten Schlüssel in AWS KMS

1. Öffnen Sie die AWS KMS Konsole unterhttps://console.aws.amazon.com/kms.

2. Wählen Sie im linken Navigationsbereich vom Kunden verwaltete Schlüssel aus.

3. Klicken Sie auf Create key.

4. Wählen Sie unter Schlüssel konfigurieren die Option Schlüsseltyp als Symmetrisch und Schlüsselverwendung als Verschlüsseln und Entschlüsseln aus. Verwenden Sie andere Standardkonfigurationen.

5. Fügen Sie unter Labels hinzufügen einen Alias und eine Beschreibung für Ihren Schlüssel hinzu.

6. Wählen Sie Weiter.

7. Wählen Sie unter Wichtige Administratorberechtigungen definieren mindestens einen IAM Benutzer und eine Rolle aus, die diesen Schlüssel verwalten.

8. Wählen Sie Weiter.

9. Fügen Sie auf der Seite Überprüfen der Schlüsselrichtlinie die folgende Syntax hinzu. Dadurch kann der AWS Mainframe Modernization Service diese Schlüssel lesen und für die Verschlüsselung/Entschlüsselung verwenden.

   Wichtig

   Fügen Sie die Anweisung zu den vorhandenen Anweisungen hinzu. Ersetzen Sie nicht, was bereits in der Richtlinie enthalten ist.

   {
       "Sid" : "Enable AWS M2 File Transfer Permissions",
       "Effect" : "Allow",
       "Principal" : {
           "Service" : "m2.amazonaws.com"
       },
       "Action" : [
           "kms:Encrypt",
           "kms:Decrypt"
       ],
      "Resource" : "*"
   },

Speichern Sie den ARN für den Kunden verwalteten Schlüssel, sobald er erstellt wurde. Er wird später in der Richtlinie verwendet.

Schritt 4: Erstellen Sie ein AWS Secrets Manager Geheimnis für die Mainframe-Anmeldeinformationen

Für den Zugriff auf die zu übertragenden Datensätze sind Mainframe-Anmeldeinformationen erforderlich, und diese müssen geheim gespeichert werden. AWS Secrets Manager

Um ein Geheimnis zu erstellen AWS Secrets Manager

1. Öffnen Sie die Secrets Manager-Konsole unterhttps://console.aws.amazon.com/secretsmanager.

2. Wählen Sie unter Geheimtyp auswählen die Option Anderer Geheimtyp aus.

3. Verwenden Sie den Schlüsselwert userId für den Mainframe userId , der Zugriff auf die Datensätze hat.

4. Verwenden Sie den Schlüsselwert password für das Passwortfeld.

5. Wählen Sie als Verschlüsselungsschlüssel den zuvor erstellten vom AWS Kunden verwalteten Schlüssel aus.

6. Wählen Sie Weiter.

7. Geben Sie auf der Seite „Geheimen Schlüssel konfigurieren“ einen Namen und eine Beschreibung ein.

8. Bearbeiten Sie auf derselben Seite die Ressourcenberechtigungen und verwenden Sie die folgende Ressourcenrichtlinie, damit der AWS Mainframe-Modernisierungsdienst darauf zugreifen kann.

   {
     "Version" : "2012-10-17",
     "Statement" : [ {
       "Effect" : "Allow",
       "Principal" : {
           "Service" : "m2.amazonaws.com"
       },
       "Action" : [ "secretsmanager:GetSecretValue", 
                    "secretsmanager:DescribeSecret" ],
       "Resource" : "*"
     } ]
   }

9. Wählen Sie Speichern, um die aktualisierten Berechtigungen zu speichern, bevor Sie Weiter wählen.

10. Gehen Sie zur Seite „Rotationen konfigurieren“ und wählen Sie „Weiter“.

11. Überprüfen Sie auf der Seite „Überprüfen“ alle Konfigurationen und wählen Sie „Speichern“, um das Geheimnis zu speichern.

Wichtig

Bei den userId und password geheimen Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden und sie müssen wie abgebildet eingegeben werden.

Schritt 5: Erstellen Sie eine Richtlinie IAM

Um eine neue Richtlinie mit den für den Agenten erforderlichen Berechtigungen zu erstellen

1. Wechseln Sie vom Visual Editor zum JSON Editor und ersetzen Sie den Inhalt durch die folgende Vorlage:

   {
   "Version": "2012-10-17",
       "Statement": [
           {
            "Sid": "FileTransferAgentSQSReceive",
               "Effect": "Allow",
               "Action": [
                   "sqs:DeleteMessage",
                   "sqs:ReceiveMessage"
               ],
               "Resource": "arn:aws:sqs:*:111122223333:m2-*-request-queue.fifo"
           },
           {
            "Sid": "FileTransferAgentSQSSend",
               "Effect": "Allow",
               "Action": "sqs:SendMessage",
               "Resource": "arn:aws:sqs:*:111122223333:m2-*-response-queue.fifo"
           },
           {
            "Sid": "FileTransferWorkingS3",
               "Effect": "Allow",
               "Action": "s3:PutObject",
               "Resource": "<file-transfer-endpoint-intermediate-bucket-arn>/*"
           },
           {
            "Sid": "FileTransferAgentKMSDecrypt",
               "Effect": "Allow",
               "Action": "kms:Decrypt",
               "Resource": "<kms-key-arn>"
           }
       ]
   }

2. Ersetzen Sie die Einträge 111122223333 in der Anfrage-Warteschlange und der Antwort-Warteschlange durch Ihr KontoARN.

   Anmerkung

   Dies sind PlatzhalterARN, die den beiden SQS Amazon-Warteschlangen entsprechen, die während der Initialisierung des Datenübertragungsendpunkts erstellt wurden. Nachdem Sie einen Dateiübertragungsendpunkt erstellt haben, können Sie diese ARN optional durch die tatsächlichen Werte von Amazon ersetzenSQS.

3. file-transfer-endpoint-intermediate-bucket-arnErsetzen Sie sie durch den ARN Wert des zuvor erstellten Transfer-Buckets. Lassen Sie den Platzhalter „/*“ am Ende stehen.

4. Ersetzen Sie ihn kms-key-arn durch den AWS KMS Schlüssel, ARN der zuvor erstellt wurde.

Schritt 6: Erstellen Sie einen IAM Benutzer mit langfristigen Zugangsdaten

Erstellen Sie einen IAM Benutzer, der es dem Mainframe-Agenten ermöglicht, eine Verbindung zu Ihrem AWS Konto herzustellen. Der Agent stellt eine Verbindung zu diesem Benutzer her und nimmt dann eine von Ihnen definierte Rolle an, mit der er berechtigt ist, SQS Amazon-Antwort- und Anforderungswarteschlangen zu verwenden und Datensätze in Amazon S3-Buckets zu speichern.

Um diesen Benutzer zu erstellen IAM

1. Navigieren Sie zur AWS IAM Konsole unterhttps://console.aws.amazon.com/iam.

2. Wählen Sie in den Berechtigungsoptionen die Option Richtlinien direkt anhängen aus, fügen Sie jedoch keine Berechtigungsrichtlinien an. Diese Berechtigungen werden von einer Rolle verwaltet, die angehängt wird.

3. Sobald der Benutzer erstellt wurde, wählen Sie den Benutzer aus und öffnen Sie die Registerkarte Sicherheitsanmeldeinformationen.

4. Wählen Sie unter Zugriffsschlüssel erstellen die Option Andere aus, wenn Sie nach Anwendungsfall gefragt werden.

5. Kopieren Sie den generierten Zugriffsschlüssel und den geheimen Zugriffsschlüssel und speichern Sie ihn sicher. Diese werden später verwendet.

Weitere Informationen zum Erstellen von IAM Zugriffsschlüsseln finden Sie unter Zugriffsschlüssel für IAM Benutzer verwalten.

Wichtig

Speichern Sie den Zugriffsschlüssel und den geheimen Zugriffsschlüssel, die auf der letzten Seite des Assistenten zur Erstellung des Zugriffsschlüssels angezeigt werden, bevor Sie Fertig wählen. Diese Schlüssel werden zur Konfiguration des Mainframe-Agenten verwendet.

Anmerkung

Speichern Sie den IAM Benutzer, der zum Einrichten einer Vertrauensstellung mit einer IAM Rolle ARN verwendet wurde.

Schritt 7: Erstellen Sie eine IAM Rolle, die der Agent übernehmen soll

Um eine neue IAM Rolle für den Agenten zu erstellen

1. Wählen Sie Rollen in der IAM Konsole unterhttps://console.aws.amazon.com/iam.

2. Wählen Sie Rolle erstellen.

3. Wählen Sie auf der Seite Vertrauenswürdige Entität auswählen die Option Benutzerdefinierte Vertrauensrichtlinie für den Entitätstyp Vertrauenswürdige aus.

4. Ersetzen Sie die benutzerdefinierte Vertrauensrichtlinie durch die folgende und <iam-user-arn> ersetzen Sie sie durch die ARN des zuvor erstellten Benutzers.

   {
       "Version": "2012-10-17",
       "Statement": [ {
            "Sid": "FileTransferAgent",
            "Effect": "Allow",
            "Principal": {
               "AWS": "<IAM-User-arn>"
            },
            "Action": "sts:AssumeRole"
       } ]
   }

5. Wählen Sie Weiter.

6. Filtern Sie unter Berechtigungen hinzufügen nach dem Namen der Richtlinie, den Sie zuvor erstellt haben, und wählen Sie ihn aus.

7. Wählen Sie Weiter.

8. Geben Sie der Rolle einen Namen und wählen Sie Rolle erstellen aus.

Anmerkung

Speichern Sie den Rollennamen, den Sie später zur Konfiguration des Mainframe-Agenten verwenden werden.

Schritt 8: Agentenkonfiguration

Um den File Transfer Agent zu konfigurieren

1. Navigieren Sie zu $AGENT_DIR/current-version/config.

2. Bearbeiten Sie die Konfigurationsdatei des Agentenappication.properties, um mit dem folgenden Befehl eine Umgebungskonfiguration hinzuzufügen:

   oedit $AGENT_DIR/current-version/config/application.properties

   Beispielsweise:

   agent.environments[0].account-id=<AWS_ACCOUNT_ID>
   agent.environments[0].agent-role-name=<AWS_IAM_ROLE_NAME>
   agent.environments[0].access-key-id=<AWS_IAM_ROLE_ACCESS_KEY>
   agent.environments[0].secret-access-id=<AWS_IAM_ROLE_SECRET_KEY>
   agent.environments[0].bucket-name=<AWS_S3_BUCKET_NAME>
   agent.environments[0].environment-name=<AWS_REGION>
   agent.environments[0].region=<AWS_REGION>
   zos.complex-name=<File_Transfer_Endpoint_Name>

   Wobei gilt:

   • AWS_ACCOUNT_IDist die ID des AWS Kontos.

   • AWS_IAM_ROLE_NAMEist der Name der IAM Rolle, die in der erstellt wurdeSchritt 7: Erstellen Sie eine IAM Rolle, die der Agent übernehmen soll.

   • AWS_IAM_ROLE_ACCESS_KEYist der Zugriffsschlüssel des IAM Benutzers, der in erstellt wurdeSchritt 6: Erstellen Sie einen IAM Benutzer mit langfristigen Zugangsdaten.

   • AWS_IAM_ROLE_SECRET_KEYist der geheime Zugriffsschlüssel für den IAM Benutzer, der in erstellt wurdeSchritt 6: Erstellen Sie einen IAM Benutzer mit langfristigen Zugangsdaten.

   • AWS_S3_BUCKET_NAMEist der Name des Transfer-Buckets, der mit dem Datenübertragungsendpunkt erstellt wurde.

   • AWS_REGIONist die Region, in der Sie den File Transfer Agent konfigurieren.

     Anmerkung

     Sie können den File Transfer Agent in mehrere Regionen und Konten übertragen lassen, AWS indem Sie mehrere Umgebungen definieren.

   • (Optional). zos.complex-nameist der komplexe Name, den Sie beim Erstellen eines Dateiübertragungsendpunkts erstellt haben.

     Anmerkung

     Dieses Feld ist nur erforderlich, wenn Sie den komplexen Namen (der standardmäßig Ihren Sysplex-Namen verwendet) anpassen möchten, der dem entspricht, den Sie bei der Erstellung Ihres Dateiübertragungsendpunkts definiert haben. Weitere Informationen finden Sie unter Datenübertragungsendpunkte für die Dateiübertragung erstellen.

   Wichtig

   Es kann mehrere solcher Abschnitte geben, sofern der Index in Klammern — [0] — für jeden Abschnitt inkrementiert wird.

Sie müssen den Agenten neu starten, damit die Änderungen wirksam werden.

Voraussetzungen

1. Wenn ein Parameter hinzugefügt oder entfernt wird, muss der Agent gestoppt und gestartet werden. Starten Sie den File Transfer Agent mit dem folgenden Befehl imCLI:

   /S M2AGENT

   Um den M2-Agenten zu beenden, verwenden Sie den folgenden Befehl inCLI:

   /P M2AGENT

2. Sie können den File Transfer Agent in mehrere Regionen und Konten übertragen lassen, AWS indem Sie mehrere Umgebungen definieren.

   Anmerkung

   Ersetzen Sie die Werte durch die Parameterwerte, die Sie zuvor erstellt und konfiguriert haben.

   #Region 1
   agent.environments[0].account-id=AWS_ACCOUNT_ID
   agent.environments[0].agent-role-name=AWS_IAM_ROLE_NAME
   agent.environments[0].access-key-id=AWS_IAM_ROLE_ACCESS_KEY
   agent.environments[0].secret-access-id=AWS_IAM_ROLE_SECRET_KEY
   agent.environments[0].bucket-name=AWS_S3_BUCKET_NAME
   agent.environments[0].environment-name=AWS_REGION
   agent.environments[0].region=AWS_REGION
   
   #Region 2
   agent.environments[1].account-id=AWS_ACCOUNT_ID
   agent.environments[1].agent-role-name=AWS_IAM_ROLE_NAME
   agent.environments[1].access-key-id=AWS_IAM_ROLE_ACCESS_KEY
   agent.environments[1].secret-access-id=AWS_IAM_ROLE_SECRET_KEY
   agent.environments[1].bucket-name=AWS_S3_BUCKET_NAME
   agent.environments[1].environment-name=AWS_REGION
   agent.environments[1].region=AWS_REGION