Configuration d'un agent de transfert de fichiers

Une fois que vous avez installé un agent de transfert de fichiers, procédez comme suit pour configurer l'agent. Si vous devez installer un nouvel agent, suivez les instructions de la Installation d'un agent de transfert de fichiers page.

Étape 1 : configurer les autorisations et démarrer le contrôle des tâches (STC)

1. Mettez à jour et soumettez l'un des SYS2.AWS.M2.SAMPLIB(SEC#RACF) (pour configurer RACF les autorisations) ou SYS2.AWS.M2.SAMPLIB(SEC#TSS) (pour configurer TSS les autorisations) conformément à leurs instructions. Ces membres ont été créés à l'CPY#PDSétape précédente.

   Note

   SYS2.AWS.M2est le qualificatif de haut niveau (HLQ) qui a été choisi lors de l'installation.

2. Mettez à jour l'PWDexportation dans le SYS2.AWS.M2.SAMPLIB(M2AGENT) STCJCL, si le chemin de répertoire par défaut de l'agent de transfert de fichiers (/usr/lpp/aws/m2-agent) a été modifié.

3. Mettez à jour et SYS2.AWS.M2.SAMPLIB(M2AGENT) JCL copiez-le dansSYS1.PROCLIB.

4. Ajoutez SYS2.AWS.M2.LOADLIB à la APF liste à l'aide de la commande suivante :

   SETPROG APF ADD DSNAME(SYS2.AWS.M2.LOADLIB) SMS

5. Définissez le groupe et le propriétaire de l'agent logs et diag des dossiers sur l'utilisateur/le groupe de l'agent (M2/M2). USER GROUP Utilisez la commande suivante :

   chown -R M2USER:M2GROUP $AGENT_DIR/current-version/logs
   chown -R M2USER:M2GROUP $AGENT_DIR/current-version/diag

Étape 2 : créer des compartiments Amazon S3

AWSModernisation du mainframe Le transfert de fichiers nécessite un compartiment Amazon S3 intermédiaire comme zone de travail. Nous vous recommandons de créer un bucket spécialement pour cela.

Vous pouvez éventuellement créer un nouveau compartiment Amazon S3 cible pour les ensembles de données transférés. Sinon, vous pouvez également utiliser votre compartiment Amazon S3 existant. Pour plus d'informations sur la création de compartiments Amazon S3, consultez Création d'un compartiment.

Étape 3 : Création d'une clé gérée par AWS KMS le client pour le chiffrement

Pour créer une clé gérée par le client dans AWS KMS

1. Ouvrez la AWS KMS console à l'adressehttps://console.aws.amazon.com/kms.

2. Choisissez Clés gérées par le client dans le volet de navigation de gauche.

3. Choisissez Create key.

4. Sous Configurer la clé, choisissez le type de clé symétrique et l'utilisation de la clé comme chiffrement et déchiffrement. Utilisez d'autres configurations par défaut.

5. Dans Ajouter des étiquettes, ajoutez un alias et une description pour votre clé.

6. Choisissez Suivant.

7. Sous Définir les autorisations administratives clés, choisissez au moins un IAM utilisateur et un rôle qui administrent cette clé.

8. Choisissez Suivant.

9. Sur la page Révision, ajoutez la syntaxe suivante à la politique clé. Cela permet au service de modernisation du AWS mainframe de lire et d'utiliser ces clés pour le chiffrement/déchiffrement.

   Important

   Ajoutez l'instruction aux instructions existantes. Ne remplacez pas ce qui figure déjà dans la politique.

   {
       "Sid" : "Enable AWS M2 File Transfer Permissions",
       "Effect" : "Allow",
       "Principal" : {
           "Service" : "m2.amazonaws.com"
       },
       "Action" : [
           "kms:Encrypt",
           "kms:Decrypt"
       ],
      "Resource" : "*"
   },

Enregistrez la ARN clé gérée par le client une fois qu'elle est créée. Il sera utilisé ultérieurement dans la politique.

Étape 4 : Création d'un AWS Secrets Manager secret pour les informations d'identification du mainframe

Les informations d'identification du mainframe sont nécessaires pour accéder aux ensembles de données à transférer et elles doivent être conservées en AWS Secrets Manager secret.

Pour créer un AWS Secrets Manager secret

1. Ouvrez la console du gestionnaire de secrets à l'adressehttps://console.aws.amazon.com/secretsmanager.

2. Dans Choisir le type de secret, choisissez Autre type de secret.

3. Utilisez la valeur clé userId pour le mainframe userId qui a accès aux ensembles de données.

4. Utilisez la valeur clé password pour le champ du mot de passe.

5. Pour la clé de chiffrement, choisissez la clé gérée par le AWS client créée précédemment.

6. Choisissez Suivant.

7. Sur la page Configurer le secret, saisissez un nom et une description.

8. Sur la même page, modifiez les autorisations relatives aux ressources et utilisez la politique de ressources suivante afin que le service de modernisation du AWS mainframe puisse y accéder.

   {
     "Version" : "2012-10-17",
     "Statement" : [ {
       "Effect" : "Allow",
       "Principal" : {
           "Service" : "m2.amazonaws.com"
       },
       "Action" : [ "secretsmanager:GetSecretValue", 
                    "secretsmanager:DescribeSecret" ],
       "Resource" : "*"
     } ]
   }

9. Choisissez Enregistrer pour enregistrer les autorisations mises à jour avant de choisir Suivant.

10. Passez par la page Configurer les rotations, puis choisissez Next.

11. Sur la page de révision, vérifiez toutes les configurations et choisissez Store pour enregistrer le secret.

Important

Les clés password secrètes userId et majuscules distinguent les majuscules des minuscules et doivent être saisies comme indiqué.

Étape 5 : Création d'une IAM politique

Pour créer une nouvelle politique avec les autorisations requises pour l'agent

1. Passez de l'éditeur visuel à l'JSONéditeur et remplacez le contenu par le modèle suivant :

   {
   "Version": "2012-10-17",
       "Statement": [
           {
            "Sid": "FileTransferAgentSQSReceive",
               "Effect": "Allow",
               "Action": [
                   "sqs:DeleteMessage",
                   "sqs:ReceiveMessage"
               ],
               "Resource": "arn:aws:sqs:*:111122223333:m2-*-request-queue.fifo"
           },
           {
            "Sid": "FileTransferAgentSQSSend",
               "Effect": "Allow",
               "Action": "sqs:SendMessage",
               "Resource": "arn:aws:sqs:*:111122223333:m2-*-response-queue.fifo"
           },
           {
            "Sid": "FileTransferWorkingS3",
               "Effect": "Allow",
               "Action": "s3:PutObject",
               "Resource": "<file-transfer-endpoint-intermediate-bucket-arn>/*"
           },
           {
            "Sid": "FileTransferAgentKMSDecrypt",
               "Effect": "Allow",
               "Action": "kms:Decrypt",
               "Resource": "<kms-key-arn>"
           }
       ]
   }

2. Remplacez ceux de 111122223333 la file d'attente des demandes et des files de réponse par votre compteARN.

   Note

   Il s'agit ARN de caractères génériques qui correspondent aux deux SQS files d'attente Amazon créées lors de l'initialisation du point de terminaison de transfert de données. Après avoir créé un point de terminaison de transfert ARN de fichiers, remplacez-le éventuellement par les valeurs réelles d'AmazonSQS.

3. file-transfer-endpoint-intermediate-bucket-arnRemplacez-le par le bucket ARN de transfert créé précédemment. Laissez le caractère générique « /* » à la fin.

4. Remplacez kms-key-arn par ARN la AWS KMS clé créée précédemment.

Étape 6 : Création d'un IAM utilisateur avec des identifiants d'accès à long terme

Créez un IAM utilisateur qui autorise l'agent du mainframe à se connecter à votre AWS compte. L'agent se connectera à cet utilisateur, puis assumera un rôle que vous définissez avec les autorisations nécessaires pour utiliser les files d'attente de SQS réponse et de demande Amazon et pour enregistrer des ensembles de données dans des compartiments Amazon S3.

Pour créer cet IAM utilisateur

1. Accédez à la AWS IAM console à l'adressehttps://console.aws.amazon.com/iam.

2. Dans les options d'autorisations, choisissez l'option Joindre directement les politiques, mais n'attachez aucune politique d'autorisation. Ces autorisations seront gérées par un rôle qui y sera rattaché.

3. Une fois l'utilisateur créé, choisissez-le et ouvrez l'onglet Informations d'identification de sécurité.

4. Dans Créer une clé d'accès, choisissez Autre lorsque vous êtes invité à saisir Cas d'utilisation.

5. Copiez et enregistrez en toute sécurité la clé d'accès et la clé d'accès secrète générées. Ils seront utilisés ultérieurement.

Pour plus d'informations sur la création de clés IAM d'accès, consultez la section Gestion des clés d'accès pour IAM les utilisateurs.

Important

Enregistrez la clé d'accès et la clé d'accès secrète affichées sur la dernière page de l'assistant de création de clé d'accès, avant de choisir OK. Ces clés sont utilisées pour configurer l'agent mainframe.

Note

Enregistrez l'IAMutilisateur ARN utilisé pour établir une relation de confiance avec un IAM rôle.

Étape 7 : Création d'un IAM rôle à assumer par l'agent

Pour créer un nouveau IAM rôle pour l'agent

1. Choisissez Rôles dans la IAM console à l'adressehttps://console.aws.amazon.com/iam.

2. Sélectionnez Créer un rôle.

3. Sur la page Sélectionner une entité de confiance, choisissez Politique de confiance personnalisée pour le type d'entité de confiance.

4. Remplacez la politique de confiance personnalisée par la suivante et <iam-user-arn> remplacez-la par ARN celle de l'utilisateur créé précédemment.

   {
       "Version": "2012-10-17",
       "Statement": [ {
            "Sid": "FileTransferAgent",
            "Effect": "Allow",
            "Principal": {
               "AWS": "<IAM-User-arn>"
            },
            "Action": "sts:AssumeRole"
       } ]
   }

5. Choisissez Suivant.

6. Dans Ajouter des autorisations, filtrez le nom de la politique que vous avez créé précédemment et choisissez-le.

7. Choisissez Suivant.

8. Nommez le rôle, puis choisissez Create Role.

Note

Enregistrez le nom du rôle, que vous utiliserez ultérieurement pour configurer l'agent mainframe.

Étape 8 : Configuration de l'agent

Pour configurer l'agent de transfert de fichiers

1. Accédez à $AGENT_DIR/current-version/config.

2. Modifiez le fichier de configuration de l'agent appication.properties pour ajouter une configuration d'environnement à l'aide de la commande suivante :

   oedit $AGENT_DIR/current-version/config/application.properties

   Par exemple :

   agent.environments[0].account-id=<AWS_ACCOUNT_ID>
   agent.environments[0].agent-role-name=<AWS_IAM_ROLE_NAME>
   agent.environments[0].access-key-id=<AWS_IAM_ROLE_ACCESS_KEY>
   agent.environments[0].secret-access-id=<AWS_IAM_ROLE_SECRET_KEY>
   agent.environments[0].bucket-name=<AWS_S3_BUCKET_NAME>
   agent.environments[0].environment-name=<AWS_REGION>
   agent.environments[0].region=<AWS_REGION>
   zos.complex-name=<File_Transfer_Endpoint_Name>

   Où :

   • AWS_ACCOUNT_IDest l'identifiant du AWS compte.

   • AWS_IAM_ROLE_NAMEest le nom du IAM rôle créé dans leÉtape 7 : Création d'un IAM rôle à assumer par l'agent.

   • AWS_IAM_ROLE_ACCESS_KEYest la clé d'accès de l'IAMutilisateur créé dansÉtape 6 : Création d'un IAM utilisateur avec des identifiants d'accès à long terme.

   • AWS_IAM_ROLE_SECRET_KEYest la clé secrète d'accès de l'IAMutilisateur créé dansÉtape 6 : Création d'un IAM utilisateur avec des identifiants d'accès à long terme.

   • AWS_S3_BUCKET_NAMEest le nom du compartiment de transfert créé avec le point de terminaison du transfert de données.

   • AWS_REGIONest la région dans laquelle vous configurez l'agent de transfert de fichiers.

     Note

     Vous pouvez transférer l'agent de transfert de fichiers vers plusieurs régions et comptes en AWS définissant plusieurs environnements.

   • (Facultatif). zos.complex-nameest le nom complexe que vous avez créé lors de la création d'un point de terminaison de transfert de fichiers.

     Note

     Ce champ n'est nécessaire que si vous souhaitez personnaliser le nom du complexe (qui est par défaut votre nom sysplex) identique à celui que vous avez défini lors de la création de votre point de terminaison de transfert de fichiers. Pour de plus amples informations, veuillez consulter Création de points de terminaison de transfert de données pour le transfert de fichiers.

   Important

   Il peut y avoir plusieurs sections de ce type, à condition que l'index entre crochets — [0] — soit incrémenté pour chacune d'entre elles.

Vous devez redémarrer l'agent pour que les modifications soient prises en compte.

Prérequis

1. Lorsqu'un paramètre est ajouté ou supprimé, l'agent doit être arrêté et démarré. Démarrez l'agent de transfert de fichiers à l'aide de la commande suivante dans le CLI :

   /S M2AGENT

   Pour arrêter l'agent M2, utilisez la commande suivante dans CLI :

   /P M2AGENT

2. Vous pouvez transférer l'agent de transfert de fichiers vers plusieurs régions et comptes en AWS définissant plusieurs environnements.

   Note

   Remplacez les valeurs par les valeurs de paramètres que vous avez créées et configurées précédemment.

   #Region 1
   agent.environments[0].account-id=AWS_ACCOUNT_ID
   agent.environments[0].agent-role-name=AWS_IAM_ROLE_NAME
   agent.environments[0].access-key-id=AWS_IAM_ROLE_ACCESS_KEY
   agent.environments[0].secret-access-id=AWS_IAM_ROLE_SECRET_KEY
   agent.environments[0].bucket-name=AWS_S3_BUCKET_NAME
   agent.environments[0].environment-name=AWS_REGION
   agent.environments[0].region=AWS_REGION
   
   #Region 2
   agent.environments[1].account-id=AWS_ACCOUNT_ID
   agent.environments[1].agent-role-name=AWS_IAM_ROLE_NAME
   agent.environments[1].access-key-id=AWS_IAM_ROLE_ACCESS_KEY
   agent.environments[1].secret-access-id=AWS_IAM_ROLE_SECRET_KEY
   agent.environments[1].bucket-name=AWS_S3_BUCKET_NAME
   agent.environments[1].environment-name=AWS_REGION
   agent.environments[1].region=AWS_REGION