Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Einen File Transfer Agent konfigurieren
Nachdem Sie einen File Transfer Agent installiert haben, gehen Sie wie folgt vor, um den Agenten zu konfigurieren. Wenn Sie einen neuen Agenten installieren müssen, folgen Sie den Anweisungen auf der Installieren Sie einen File Transfer Agent Seite.
Themen
- Schritt 1: Berechtigungen konfigurieren und Task Control starten (STC)
- Schritt 2: Amazon S3 S3-Buckets erstellen
- Schritt 3: Erstellen Sie einen vom AWS KMS Kunden verwalteten Schlüssel für die Verschlüsselung
- Schritt 4: Erstellen Sie ein AWS Secrets Manager Geheimnis für die Mainframe-Anmeldeinformationen
- Schritt 5: Erstellen Sie eine Richtlinie IAM
- Schritt 6: Erstellen Sie einen IAM Benutzer mit langfristigen Zugangsdaten
- Schritt 7: Erstellen Sie eine IAM Rolle, die der Agent übernehmen soll
- Schritt 8: Agentenkonfiguration
Schritt 1: Berechtigungen konfigurieren und Task Control starten (STC)
-
Aktualisieren Sie eines der
SYS2.AWS.M2.SAMPLIB(SEC#RACF)
(zum Einrichten von RACF Berechtigungen) oderSYS2.AWS.M2.SAMPLIB(SEC#TSS)
(zum Einrichten von TSS Berechtigungen) und reichen Sie es gemäß den jeweiligen Anweisungen ein. Diese Mitglieder wurden im vorherigenCPY#PDS
Schritt erstellt.Anmerkung
SYS2.AWS.M2
ist der High-Level-Qualifier (HLQ), der bei der Installation ausgewählt wurde. -
Aktualisieren Sie den PWD Export im
SYS2.AWS.M2.SAMPLIB(M2AGENT)
STCJCL, falls der Standard-Verzeichnispfad (/usr/lpp/aws/m2-agent
) für den File Transfer Agent geändert wurde. -
Aktualisieren und kopieren Sie den
SYS2.AWS.M2.SAMPLIB(M2AGENT)
JCL nachSYS1.PROCLIB
. -
Fügen
SYS2.AWS.M2.LOADLIB
Sie der APF Liste mit dem folgenden Befehl hinzu:SETPROG APF ADD DSNAME(SYS2.AWS.M2.LOADLIB) SMS
-
Legen Sie für die Gruppe
logs
und den Besitzer des Agenten unddiag
der Ordner den Agent-Benutzer/die Agentengruppe (M2 /M2) fest. USER GROUP Verwenden Sie den folgenden Befehl:chown -R M2USER:M2GROUP $AGENT_DIR/current-version/logs chown -R M2USER:M2GROUP $AGENT_DIR/current-version/diag
Schritt 2: Amazon S3 S3-Buckets erstellen
AWSMainframe Modernization File Transfer erfordert einen Amazon S3 S3-Zwischenspeicher als Arbeitsbereich. Wir empfehlen, speziell dafür einen Bucket zu erstellen.
Erstellen Sie optional einen neuen Amazon S3 S3-Ziel-Bucket für die übertragenen Datensätze. Andernfalls können Sie auch Ihren vorhandenen Amazon S3 S3-Bucket verwenden. Weitere Informationen zum Erstellen von Amazon S3 S3-Buckets finden Sie unter Bucket erstellen.
Schritt 3: Erstellen Sie einen vom AWS KMS Kunden verwalteten Schlüssel für die Verschlüsselung
So erstellen Sie einen vom Kunden verwalteten Schlüssel in AWS KMS
-
Öffnen Sie die AWS KMS Konsole unterhttps://console.aws.amazon.com/kms
. -
Wählen Sie im linken Navigationsbereich vom Kunden verwaltete Schlüssel aus.
-
Klicken Sie auf Create key.
-
Wählen Sie unter Schlüssel konfigurieren die Option Schlüsseltyp als Symmetrisch und Schlüsselverwendung als Verschlüsseln und Entschlüsseln aus. Verwenden Sie andere Standardkonfigurationen.
-
Fügen Sie unter Labels hinzufügen einen Alias und eine Beschreibung für Ihren Schlüssel hinzu.
-
Wählen Sie Weiter.
-
Wählen Sie unter Wichtige Administratorberechtigungen definieren mindestens einen IAM Benutzer und eine Rolle aus, die diesen Schlüssel verwalten.
-
Wählen Sie Weiter.
-
Fügen Sie auf der Seite Überprüfen der Schlüsselrichtlinie die folgende Syntax hinzu. Dadurch kann der AWS Mainframe Modernization Service diese Schlüssel lesen und für die Verschlüsselung/Entschlüsselung verwenden.
Wichtig
Fügen Sie die Anweisung zu den vorhandenen Anweisungen hinzu. Ersetzen Sie nicht, was bereits in der Richtlinie enthalten ist.
{ "Sid" : "Enable AWS M2 File Transfer Permissions", "Effect" : "Allow", "Principal" : { "Service" : "m2.amazonaws.com" }, "Action" : [ "kms:Encrypt", "kms:Decrypt" ], "Resource" : "*" },
Speichern Sie den ARN für den Kunden verwalteten Schlüssel, sobald er erstellt wurde. Er wird später in der Richtlinie verwendet.
Schritt 4: Erstellen Sie ein AWS Secrets Manager Geheimnis für die Mainframe-Anmeldeinformationen
Für den Zugriff auf die zu übertragenden Datensätze sind Mainframe-Anmeldeinformationen erforderlich, und diese müssen geheim gespeichert werden. AWS Secrets Manager
Um ein Geheimnis zu erstellen AWS Secrets Manager
-
Öffnen Sie die Secrets Manager-Konsole unterhttps://console.aws.amazon.com/secretsmanager
. -
Wählen Sie unter Geheimtyp auswählen die Option Anderer Geheimtyp aus.
-
Verwenden Sie den Schlüsselwert
userId
für den Mainframe userId , der Zugriff auf die Datensätze hat. -
Verwenden Sie den Schlüsselwert
password
für das Passwortfeld. -
Wählen Sie als Verschlüsselungsschlüssel den zuvor erstellten vom AWS Kunden verwalteten Schlüssel aus.
-
Wählen Sie Weiter.
-
Geben Sie auf der Seite „Geheimen Schlüssel konfigurieren“ einen Namen und eine Beschreibung ein.
-
Bearbeiten Sie auf derselben Seite die Ressourcenberechtigungen und verwenden Sie die folgende Ressourcenrichtlinie, damit der AWS Mainframe-Modernisierungsdienst darauf zugreifen kann.
{ "Version" : "2012-10-17", "Statement" : [ { "Effect" : "Allow", "Principal" : { "Service" : "m2.amazonaws.com" }, "Action" : [ "secretsmanager:GetSecretValue", "secretsmanager:DescribeSecret" ], "Resource" : "*" } ] }
-
Wählen Sie Speichern, um die aktualisierten Berechtigungen zu speichern, bevor Sie Weiter wählen.
-
Gehen Sie zur Seite „Rotationen konfigurieren“ und wählen Sie „Weiter“.
-
Überprüfen Sie auf der Seite „Überprüfen“ alle Konfigurationen und wählen Sie „Speichern“, um das Geheimnis zu speichern.
Wichtig
Bei den userId
und password
geheimen Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden und sie müssen wie abgebildet eingegeben werden.
Schritt 5: Erstellen Sie eine Richtlinie IAM
Um eine neue Richtlinie mit den für den Agenten erforderlichen Berechtigungen zu erstellen
-
Wechseln Sie vom Visual Editor zum JSON Editor und ersetzen Sie den Inhalt durch die folgende Vorlage:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "FileTransferAgentSQSReceive", "Effect": "Allow", "Action": [ "sqs:DeleteMessage", "sqs:ReceiveMessage" ], "Resource": "arn:aws:sqs:*:111122223333:m2-*-request-queue.fifo" }, { "Sid": "FileTransferAgentSQSSend", "Effect": "Allow", "Action": "sqs:SendMessage", "Resource": "arn:aws:sqs:*:111122223333:m2-*-response-queue.fifo" }, { "Sid": "FileTransferWorkingS3", "Effect": "Allow", "Action": "s3:PutObject", "Resource": "<file-transfer-endpoint-intermediate-bucket-arn>/*" }, { "Sid": "FileTransferAgentKMSDecrypt", "Effect": "Allow", "Action": "kms:Decrypt", "Resource": "<kms-key-arn>" } ] }
-
Ersetzen Sie die Einträge
111122223333
in der Anfrage-Warteschlange und der Antwort-Warteschlange durch Ihr KontoARN.Anmerkung
Dies sind PlatzhalterARN, die den beiden SQS Amazon-Warteschlangen entsprechen, die während der Initialisierung des Datenübertragungsendpunkts erstellt wurden. Nachdem Sie einen Dateiübertragungsendpunkt erstellt haben, können Sie diese ARN optional durch die tatsächlichen Werte von Amazon ersetzenSQS.
-
file-transfer-endpoint-intermediate-bucket-arn
Ersetzen Sie sie durch den ARN Wert des zuvor erstellten Transfer-Buckets. Lassen Sie den Platzhalter „/*“ am Ende stehen. -
Ersetzen Sie ihn
kms-key-arn
durch den AWS KMS Schlüssel, ARN der zuvor erstellt wurde.
Schritt 6: Erstellen Sie einen IAM Benutzer mit langfristigen Zugangsdaten
Erstellen Sie einen IAM Benutzer, der es dem Mainframe-Agenten ermöglicht, eine Verbindung zu Ihrem AWS Konto herzustellen. Der Agent stellt eine Verbindung zu diesem Benutzer her und nimmt dann eine von Ihnen definierte Rolle an, mit der er berechtigt ist, SQS Amazon-Antwort- und Anforderungswarteschlangen zu verwenden und Datensätze in Amazon S3-Buckets zu speichern.
Um diesen Benutzer zu erstellen IAM
-
Navigieren Sie zur AWS IAM Konsole unterhttps://console.aws.amazon.com/iam
. -
Wählen Sie in den Berechtigungsoptionen die Option Richtlinien direkt anhängen aus, fügen Sie jedoch keine Berechtigungsrichtlinien an. Diese Berechtigungen werden von einer Rolle verwaltet, die angehängt wird.
-
Sobald der Benutzer erstellt wurde, wählen Sie den Benutzer aus und öffnen Sie die Registerkarte Sicherheitsanmeldeinformationen.
-
Wählen Sie unter Zugriffsschlüssel erstellen die Option Andere aus, wenn Sie nach Anwendungsfall gefragt werden.
-
Kopieren Sie den generierten Zugriffsschlüssel und den geheimen Zugriffsschlüssel und speichern Sie ihn sicher. Diese werden später verwendet.
Weitere Informationen zum Erstellen von IAM Zugriffsschlüsseln finden Sie unter Zugriffsschlüssel für IAM Benutzer verwalten.
Wichtig
Speichern Sie den Zugriffsschlüssel und den geheimen Zugriffsschlüssel, die auf der letzten Seite des Assistenten zur Erstellung des Zugriffsschlüssels angezeigt werden, bevor Sie Fertig wählen. Diese Schlüssel werden zur Konfiguration des Mainframe-Agenten verwendet.
Anmerkung
Speichern Sie den IAM Benutzer, der zum Einrichten einer Vertrauensstellung mit einer IAM Rolle ARN verwendet wurde.
Schritt 7: Erstellen Sie eine IAM Rolle, die der Agent übernehmen soll
Um eine neue IAM Rolle für den Agenten zu erstellen
-
Wählen Sie Rollen in der IAM Konsole unterhttps://console.aws.amazon.com/iam
. -
Wählen Sie Rolle erstellen.
-
Wählen Sie auf der Seite Vertrauenswürdige Entität auswählen die Option Benutzerdefinierte Vertrauensrichtlinie für den Entitätstyp Vertrauenswürdige aus.
-
Ersetzen Sie die benutzerdefinierte Vertrauensrichtlinie durch die folgende und
<iam-user-arn>
ersetzen Sie sie durch die ARN des zuvor erstellten Benutzers.{ "Version": "2012-10-17", "Statement": [ { "Sid": "FileTransferAgent", "Effect": "Allow", "Principal": { "AWS": "<IAM-User-arn>" }, "Action": "sts:AssumeRole" } ] }
-
Wählen Sie Weiter.
-
Filtern Sie unter Berechtigungen hinzufügen nach dem Namen der Richtlinie, den Sie zuvor erstellt haben, und wählen Sie ihn aus.
-
Wählen Sie Weiter.
-
Geben Sie der Rolle einen Namen und wählen Sie Rolle erstellen aus.
Anmerkung
Speichern Sie den Rollennamen, den Sie später zur Konfiguration des Mainframe-Agenten verwenden werden.
Schritt 8: Agentenkonfiguration
Um den File Transfer Agent zu konfigurieren
-
Navigieren Sie zu
$AGENT_DIR/current-version/config
. -
Bearbeiten Sie die Konfigurationsdatei des Agenten
appication.properties
, um mit dem folgenden Befehl eine Umgebungskonfiguration hinzuzufügen:oedit $AGENT_DIR/current-version/config/application.properties
Beispielsweise:
agent.environments[0].account-id=<AWS_ACCOUNT_ID> agent.environments[0].agent-role-name=<AWS_IAM_ROLE_NAME> agent.environments[0].access-key-id=<AWS_IAM_ROLE_ACCESS_KEY> agent.environments[0].secret-access-id=<AWS_IAM_ROLE_SECRET_KEY> agent.environments[0].bucket-name=<AWS_S3_BUCKET_NAME> agent.environments[0].environment-name=<AWS_REGION> agent.environments[0].region=<AWS_REGION> zos.complex-name=<File_Transfer_Endpoint_Name>
Wobei gilt:
-
AWS_ACCOUNT_ID
ist die ID des AWS Kontos. -
AWS_IAM_ROLE_NAME
ist der Name der IAM Rolle, die in der erstellt wurdeSchritt 7: Erstellen Sie eine IAM Rolle, die der Agent übernehmen soll. -
AWS_IAM_ROLE_ACCESS_KEY
ist der Zugriffsschlüssel des IAM Benutzers, der in erstellt wurdeSchritt 6: Erstellen Sie einen IAM Benutzer mit langfristigen Zugangsdaten. -
AWS_IAM_ROLE_SECRET_KEY
ist der geheime Zugriffsschlüssel für den IAM Benutzer, der in erstellt wurdeSchritt 6: Erstellen Sie einen IAM Benutzer mit langfristigen Zugangsdaten. -
AWS_S3_BUCKET_NAME
ist der Name des Transfer-Buckets, der mit dem Datenübertragungsendpunkt erstellt wurde. -
AWS_REGION
ist die Region, in der Sie den File Transfer Agent konfigurieren.Anmerkung
Sie können den File Transfer Agent in mehrere Regionen und Konten übertragen lassen, AWS indem Sie mehrere Umgebungen definieren.
-
(Optional).
zos.complex-name
ist der komplexe Name, den Sie beim Erstellen eines Dateiübertragungsendpunkts erstellt haben.Anmerkung
Dieses Feld ist nur erforderlich, wenn Sie den komplexen Namen (der standardmäßig Ihren Sysplex-Namen verwendet) anpassen möchten, der dem entspricht, den Sie bei der Erstellung Ihres Dateiübertragungsendpunkts definiert haben. Weitere Informationen finden Sie unter Datenübertragungsendpunkte für die Dateiübertragung erstellen.
Wichtig
Es kann mehrere solcher Abschnitte geben, sofern der Index in Klammern —
[0]
— für jeden Abschnitt inkrementiert wird. -
Sie müssen den Agenten neu starten, damit die Änderungen wirksam werden.
Voraussetzungen
-
Wenn ein Parameter hinzugefügt oder entfernt wird, muss der Agent gestoppt und gestartet werden. Starten Sie den File Transfer Agent mit dem folgenden Befehl imCLI:
/S M2AGENT
Um den M2-Agenten zu beenden, verwenden Sie den folgenden Befehl inCLI:
/P M2AGENT
-
Sie können den File Transfer Agent in mehrere Regionen und Konten übertragen lassen, AWS indem Sie mehrere Umgebungen definieren.
Anmerkung
Ersetzen Sie die Werte durch die Parameterwerte, die Sie zuvor erstellt und konfiguriert haben.
#Region 1 agent.environments[0].account-id=AWS_ACCOUNT_ID agent.environments[0].agent-role-name=AWS_IAM_ROLE_NAME agent.environments[0].access-key-id=AWS_IAM_ROLE_ACCESS_KEY agent.environments[0].secret-access-id=AWS_IAM_ROLE_SECRET_KEY agent.environments[0].bucket-name=AWS_S3_BUCKET_NAME agent.environments[0].environment-name=AWS_REGION agent.environments[0].region=AWS_REGION #Region 2 agent.environments[1].account-id=AWS_ACCOUNT_ID agent.environments[1].agent-role-name=AWS_IAM_ROLE_NAME agent.environments[1].access-key-id=AWS_IAM_ROLE_ACCESS_KEY agent.environments[1].secret-access-id=AWS_IAM_ROLE_SECRET_KEY agent.environments[1].bucket-name=AWS_S3_BUCKET_NAME agent.environments[1].environment-name=AWS_REGION agent.environments[1].region=AWS_REGION