Configurar un agente de transferencia de archivos - AWS Modernización de mainframe
Paso 1: Configurar los permisos e iniciar el control de tareas (STC)Paso 2: Crear buckets de Amazon S3Paso 3: Cree una clave de AWS KMS cifrado gestionada por el clientePaso 4: Cree un AWS Secrets Manager secreto para las credenciales del mainframePaso 5: Crear una política IAMPaso 6: Cree un IAM usuario con credenciales de acceso a largo plazoPaso 7: Cree un IAM rol para que lo asuma el agentePaso 8: Configuración del agente

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configurar un agente de transferencia de archivos

Una vez que haya instalado un agente de transferencia de archivos, siga estos pasos para configurarlo. Si necesita instalar un agente nuevo, siga las instrucciones de la Instalación de un agente de File Transfer página.

Paso 1: Configurar los permisos e iniciar el control de tareas (STC)

  1. Actualice y envíe uno de SYS2.AWS.M2.SAMPLIB(SEC#RACF) (para configurar RACF los permisos) o SYS2.AWS.M2.SAMPLIB(SEC#TSS) (para configurar TSS los permisos) de acuerdo con sus instrucciones. Estos miembros se crearon en el paso CPY#PDS anterior.

    nota

    SYS2.AWS.M2es el calificador de alto nivel (HLQ) que se eligió durante la instalación.

  2. Actualice la PWD exportación en el SYS2.AWS.M2.SAMPLIB(M2AGENT) STCJCL, si se ha cambiado la ruta de directorio predeterminada del agente de transferencia de archivos (/usr/lpp/aws/m2-agent).

  3. Actualice y copie el archivo SYS2.AWS.M2.SAMPLIB(M2AGENT) JCL aSYS1.PROCLIB.

  4. SYS2.AWS.M2.LOADLIBAñádalo a la APF lista mediante el siguiente comando:

    SETPROG APF ADD DSNAME(SYS2.AWS.M2.LOADLIB) SMS

  5. Defina el grupo y el propietario del agente logs y diag de las carpetas en el usuario/grupo del agente (M2 /M2). USER GROUP Utilice el siguiente comando:

    chown -R M2USER:M2GROUP $AGENT_DIR/current-version/logs
chown -R M2USER:M2GROUP $AGENT_DIR/current-version/diag

Paso 2: Crear buckets de Amazon S3

AWSLa transferencia de archivos de modernización del mainframe requiere un bucket intermedio de Amazon S3 como área de trabajo. Recomendamos crear un bucket específico para ello.

Si lo desea, cree un nuevo bucket de Amazon S3 de destino para los conjuntos de datos transferidos. De lo contrario, también puede utilizar su bucket de Amazon S3 existente. Para obtener más información sobre la creación de buckets de Amazon S3, consulte Creación de un bucket.

Paso 3: Cree una clave de AWS KMS cifrado gestionada por el cliente

Para crear una clave gestionada por el cliente en AWS KMS

  1. Abra la AWS KMS consola enhttps://console.aws.amazon.com/kms.

  2. Seleccione Claves administradas por el cliente en el panel de navegación izquierdo.

  3. Elija Create key.

  4. En Configurar clave, seleccione Tipo de clave como simétrico y Uso de clave como cifrado y descifrado. Utilice otras configuraciones predeterminadas.

  5. En Añadir etiquetas, añade el alias y la descripción de la clave.

  6. Elija Next (Siguiente).

  7. En Definir permisos administrativos clave, elige al menos un IAM usuario y un rol que administre esta clave.

  8. Elija Next (Siguiente).

  9. En la página de revisión, añada la siguiente sintaxis a la política clave. Esto permite que el servicio de modernización del AWS mainframe lea y utilice estas claves para el cifrado y el descifrado.

    importante

    Añada la declaración a las declaraciones existentes. No sustituyas lo que ya está en la política.

    {
    "Sid" : "Enable AWS M2 File Transfer Permissions",
    "Effect" : "Allow",
    "Principal" : {
        "Service" : "m2.amazonaws.com"
    },
    "Action" : [
        "kms:Encrypt",
        "kms:Decrypt"
    ],
   "Resource" : "*"
},

Guarde la clave gestionada ARN por el cliente una vez creada. Se usará en la política más adelante.

Paso 4: Cree un AWS Secrets Manager secreto para las credenciales del mainframe

Las credenciales del mainframe son necesarias para acceder a los conjuntos de datos que se van a transferir y estas deben almacenarse en secreto. AWS Secrets Manager

Para crear un secreto AWS Secrets Manager

  1. Abre la consola del administrador de Secrets enhttps://console.aws.amazon.com/secretsmanager.

  2. En Elegir tipo de secreto, selecciona Otro tipo de secreto.

  3. Utilice el valor userId clave del ordenador central userId que tiene acceso a los conjuntos de datos.

  4. Utilice el valor clave password para el campo de contraseña.

  5. En Clave de cifrado, elija la clave gestionada por el AWS cliente que se creó anteriormente.

  6. Elija Next (Siguiente).

  7. En la página Configurar el secreto, proporcione un nombre y una descripción.

  8. En la misma página, edite los permisos de los recursos y utilice la siguiente política de recursos para que el servicio de modernización del AWS mainframe pueda acceder a ellos.

    {
  "Version" : "2012-10-17",
  "Statement" : [ {
    "Effect" : "Allow",
    "Principal" : {
        "Service" : "m2.amazonaws.com"
    },
    "Action" : [ "secretsmanager:GetSecretValue", 
                 "secretsmanager:DescribeSecret" ],
    "Resource" : "*"
  } ]
}

  9. Seleccione Guardar para guardar los permisos actualizados antes de elegir Siguiente.

  10. Vaya a la página Configurar rotaciones y seleccione Siguiente.

  11. En la página de revisión, compruebe todas las configuraciones y seleccione Guardar para guardar el secreto.

importante

La clave password secreta userId y la clave distinguen mayúsculas de minúsculas y se deben introducir tal y como se muestra.

Paso 5: Crear una política IAM

Para crear una nueva política con los permisos necesarios para el agente

  1. Cambie del editor visual al JSON editor y sustituya el contenido por la siguiente plantilla:

    {
"Version": "2012-10-17",
    "Statement": [
        {
         "Sid": "FileTransferAgentSQSReceive",
            "Effect": "Allow",
            "Action": [
                "sqs:DeleteMessage",
                "sqs:ReceiveMessage"
            ],
            "Resource": "arn:aws:sqs:*:111122223333:m2-*-request-queue.fifo"
        },
        {
         "Sid": "FileTransferAgentSQSSend",
            "Effect": "Allow",
            "Action": "sqs:SendMessage",
            "Resource": "arn:aws:sqs:*:111122223333:m2-*-response-queue.fifo"
        },
        {
         "Sid": "FileTransferWorkingS3",
            "Effect": "Allow",
            "Action": "s3:PutObject",
            "Resource": "<file-transfer-endpoint-intermediate-bucket-arn>/*"
        },
        {
         "Sid": "FileTransferAgentKMSDecrypt",
            "Effect": "Allow",
            "Action": "kms:Decrypt",
            "Resource": "<kms-key-arn>"
        }
    ]
}

  2. Sustituya las 111122223333 de la cola de solicitudes y las de la cola de respuestas por su cuentaARN.

    nota

    Se trata ARN de caracteres comodín que coinciden con las dos SQS colas de Amazon creadas durante la inicialización del punto final de transferencia de datos. Tras crear un punto final de transferencia de archivos, si lo desea, sustituya estos ARN valores por los valores reales de AmazonSQS.

  3. file-transfer-endpoint-intermediate-bucket-arnARNSustitúyalos por el del depósito de transferencia creado anteriormente. Deje el comodín «/*» al final.

  4. kms-key-arnSustitúyala ARN por la AWS KMS clave creada anteriormente.

Paso 6: Cree un IAM usuario con credenciales de acceso a largo plazo

Cree un IAM usuario que permita que el agente de mainframe se conecte a su AWS cuenta. El agente se conectará con este usuario y, a continuación, asumirá una función que usted defina con permisos para usar las colas de SQS respuestas y solicitudes de Amazon y para guardar conjuntos de datos en los buckets de Amazon S3.

Para crear este usuario IAM

  1. Navegue a AWS IAM la consola enhttps://console.aws.amazon.com/iam.

  2. En las opciones de permisos, elija la opción Adjuntar políticas directamente, pero no adjunte ninguna política de permisos. Estos permisos los administrará un rol que se adjuntará.

  3. Una vez creado el usuario, selecciónelo y abra la pestaña de credenciales de seguridad.

  4. En Crear clave de acceso, selecciona Otra cuando se te pregunte en Caso de uso.

  5. Copie y guarde de forma segura la clave de acceso y la clave de acceso secreta generadas. Se usarán más adelante.

Para obtener más información sobre la creación de claves de IAM acceso, consulte Administrar las claves de acceso para IAM los usuarios.

importante

Guarde la Clave de acceso y la Clave de acceso secreta que aparecen en la última página del asistente de creación de claves de acceso antes de seleccionar Listo. Estas claves se utilizan para configurar el agente de mainframe.

nota

Guarde el IAM usuario ARN utilizado para establecer una relación de confianza con un IAM rol.

Paso 7: Cree un IAM rol para que lo asuma el agente

Para crear un nuevo IAM rol para el agente

  1. Elija Roles en la IAM consola enhttps://console.aws.amazon.com/iam.

  2. Elija Crear rol.

  3. En la página Seleccionar entidad de confianza, elija Política de confianza personalizada para el tipo de entidad de confianza.

  4. Sustituya la política de confianza personalizada por la siguiente y <iam-user-arn> sustitúyala por la ARN del usuario creado anteriormente.

    {
    "Version": "2012-10-17",
    "Statement": [ {
         "Sid": "FileTransferAgent",
         "Effect": "Allow",
         "Principal": {
            "AWS": "<IAM-User-arn>"
         },
         "Action": "sts:AssumeRole"
    } ]
}

  5. Elija Next (Siguiente).

  6. En Agregar permisos, filtre por el nombre de la política que creó anteriormente y elíjalo.

  7. Elija Next (Siguiente).

  8. Asigne un nombre al rol y elija Crear rol.

nota

Guarde el nombre de rol, que utilizará más adelante para configurar el agente de mainframe.

Paso 8: Configuración del agente

Para configurar el agente de transferencia de archivos

  1. Vaya a $AGENT_DIR/current-version/config.

  2. Edite el archivo de configuración del agente appication.properties para agregar una configuración de entorno mediante el siguiente comando:

    oedit $AGENT_DIR/current-version/config/application.properties

    Por ejemplo:

    agent.environments[0].account-id=<AWS_ACCOUNT_ID>
agent.environments[0].agent-role-name=<AWS_IAM_ROLE_NAME>
agent.environments[0].access-key-id=<AWS_IAM_ROLE_ACCESS_KEY>
agent.environments[0].secret-access-id=<AWS_IAM_ROLE_SECRET_KEY>
agent.environments[0].bucket-name=<AWS_S3_BUCKET_NAME>
agent.environments[0].environment-name=<AWS_REGION>
agent.environments[0].region=<AWS_REGION>
zos.complex-name=<File_Transfer_Endpoint_Name>

    Donde:

    importante

    Puede haber varias secciones de este tipo, siempre que el índice entre corchetes, [0], se incremente para cada una de ellas.

Debe reiniciar el agente para que los cambios surtan efecto.

Requisitos

  1. Cuando se agrega o elimina un parámetro, hay que detener e iniciar el agente. Inicie el agente de transferencia de archivos mediante el siguiente comando en: CLI

    /S M2AGENT

    Para detener el agente M2, utilice el siguiente comando enCLI:

    /P M2AGENT

  2. Puede hacer que el agente de transferencia de archivos se transfiera a varias regiones y cuentas AWS definiendo varios entornos.

    nota

    Sustituya los valores por los valores de los parámetros que creó y configuró anteriormente.

    #Region 1
agent.environments[0].account-id=AWS_ACCOUNT_ID
agent.environments[0].agent-role-name=AWS_IAM_ROLE_NAME
agent.environments[0].access-key-id=AWS_IAM_ROLE_ACCESS_KEY
agent.environments[0].secret-access-id=AWS_IAM_ROLE_SECRET_KEY
agent.environments[0].bucket-name=AWS_S3_BUCKET_NAME
agent.environments[0].environment-name=AWS_REGION
agent.environments[0].region=AWS_REGION

#Region 2
agent.environments[1].account-id=AWS_ACCOUNT_ID
agent.environments[1].agent-role-name=AWS_IAM_ROLE_NAME
agent.environments[1].access-key-id=AWS_IAM_ROLE_ACCESS_KEY
agent.environments[1].secret-access-id=AWS_IAM_ROLE_SECRET_KEY
agent.environments[1].bucket-name=AWS_S3_BUCKET_NAME
agent.environments[1].environment-name=AWS_REGION
agent.environments[1].region=AWS_REGION