Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Konfigurasikan agen Transfer File
Setelah Anda menginstal agen transfer file, ikuti langkah-langkah ini untuk mengonfigurasi agen. Jika Anda perlu menginstal agen baru, ikuti instruksi di Instal agen Transfer File halaman.
Topik
- Langkah 1: Konfigurasikan izin dan Mulai Kontrol Tugas (STC)
- Langkah 2: Buat ember Amazon S3
- Langkah 3: Buat kunci yang dikelola AWS KMS pelanggan untuk enkripsi
- Langkah 4: Buat AWS Secrets Manager rahasia untuk kredensi mainframe
- Langkah 5: Buat kebijakan IAM
- Langkah 6: Buat pengguna IAM dengan kredensi akses jangka panjang
- Langkah 7: Buat peran IAM untuk diasumsikan oleh agen
- Langkah 8: Konfigurasi agen
Langkah 1: Konfigurasikan izin dan Mulai Kontrol Tugas (STC)
-
Perbarui dan kirimkan salah satu
SYS2.AWS.M2.SAMPLIB(SEC#RACF)
(untuk menyiapkan izin RACF) atauSYS2.AWS.M2.SAMPLIB(SEC#TSS)
(untuk menyiapkan izin TSS) sesuai dengan instruksi mereka. Anggota ini diciptakan olehCPY#PDS
langkah sebelumnya.catatan
SYS2.AWS.M2
harus diganti dengan kualifikasi tingkat tinggi (HLQ) yang dipilih selama instalasi. -
Perbarui ekspor PWD di
SYS2.AWS.M2.SAMPLIB(M2AGENT)
STC JCL, jika jalur direktori agen Transfer File default ()/usr/lpp/aws/m2-agent
diubah. -
Perbarui PROC sesuai dengan standar situs Anda:
-
Perbarui kartu PROC sesuai kebutuhan instalasi Anda.
-
Perbarui STEPLIB dengan.
M2 LOADLIB PDSE ALIAS
-
Edit PWD untuk mengarahkan jalur instalasi agen (hanya ini yang disertakan).
-
Perbarui
JAVA_HOME
jika diperlukan.
-
-
Perbarui dan salin
SYS2.AWS.M2.SAMPLIB(M2AGENT)
JCL keSYS1.PROCLIB
atau salah satu dari PROCLIBs rangkaian AndaPROCLIB
. -
Tambahkan
SYS2.AWS.M2.LOADLIB
ke daftar APF menggunakan perintah berikut:SETPROG APF ADD DSNAME(SYS2.AWS.M2.LOADLIB) SMS
-
Atur grup agen dan pemilik ke agen user/group (M2USER/M 2GROUP). Gunakan perintah berikut di OMVS:
chown -R
M2USER:M2GROUP
$AGENT_DIR/current-versioncatatan
Edit M2USER dan M2GROUP dengan nama yang Anda gunakan dalam pekerjaan definisi keamanan.
Langkah 2: Buat ember Amazon S3
Transfer File Modernisasi AWS Mainframe memerlukan bucket Amazon S3 perantara sebagai area kerja. Kami merekomendasikan membuat ember khusus untuk ini.
Secara opsional, buat bucket Amazon S3 target baru untuk kumpulan data yang ditransfer. Jika tidak, Anda juga dapat menggunakan bucket Amazon S3 yang ada. Untuk informasi selengkapnya tentang membuat bucket Amazon S3, lihat Membuat bucket.
Langkah 3: Buat kunci yang dikelola AWS KMS pelanggan untuk enkripsi
Untuk membuat kunci terkelola pelanggan di AWS KMS
-
Buka AWS KMS konsol dihttps://console.aws.amazon.com/kms
. -
Pilih Kunci terkelola pelanggan di panel navigasi kiri.
-
Pilih Buat kunci.
-
Di bawah tombol Configure, pilih Key type as Symmetric, dan Key usage as Encrypt and decrypt. Gunakan konfigurasi default lainnya.
-
Pilih Berikutnya.
-
Di Tambahkan label, tambahkan Alias dan deskripsi untuk kunci Anda.
-
Pilih Berikutnya.
-
Di bawah Tentukan izin administratif utama, pilih setidaknya satu pengguna IAM dan peran yang mengelola kunci ini.
-
Pilih Berikutnya.
-
Secara opsional, di bawah Tentukan izin administratif kunci, pilih setidaknya satu pengguna IAM dan peran yang dapat menggunakan kunci ini.
-
Pilih Berikutnya.
-
Di bagian Edit kebijakan kunci, pilih Edit, dan tambahkan sintaks berikut ke kebijakan Kunci. Hal ini memungkinkan layanan Modernisasi AWS Mainframe untuk membaca dan menggunakan kunci ini untuk enkripsi/dekripsi.
penting
Tambahkan pernyataan ke pernyataan yang ada. Jangan mengganti apa yang sudah ada dalam kebijakan.
{ "Sid" : "Enable AWS M2 File Transfer Permissions", "Effect" : "Allow", "Principal" : { "Service" : "m2.amazonaws.com" }, "Action" : [ "kms:Encrypt", "kms:Decrypt" ], "Resource" : "*" },
-
Pilih Berikutnya.
-
Pada halaman Ulasan, periksa semua detailnya, dan pilih Selesai.
Salin dan simpan ARN untuk kunci yang dikelola pelanggan dengan membuka kunci KMS yang baru dibuat. Ini akan digunakan dalam kebijakan nanti.
Langkah 4: Buat AWS Secrets Manager rahasia untuk kredensi mainframe
Kredensi mainframe diperlukan untuk mengakses kumpulan data yang akan ditransfer dan ini harus disimpan sebagai rahasia. AWS Secrets Manager
Untuk membuat AWS Secrets Manager rahasia
-
Buka konsol manajer Rahasia dihttps://console.aws.amazon.com/secretsmanager
. -
Pilih Simpan rahasia baru.
-
Di Pilih jenis Rahasia, pilih Jenis rahasia lainnya.
-
Gunakan nilai kunci
userId
untuk userID mainframe yang memiliki akses ke kumpulan data.. Gunakan nilai kuncipassword
untuk bidang kata sandi. -
Untuk Kunci Enkripsi, pilih kunci terkelola AWS pelanggan yang dibuat sebelumnya.
-
Pilih Berikutnya.
-
Pada halaman Konfigurasi rahasia, berikan nama dan deskripsi.
-
Pada halaman yang sama, edit izin Sumber Daya, dan gunakan kebijakan sumber daya berikut sehingga layanan Modernisasi AWS Mainframe dapat mengaksesnya.
{ "Version" : "2012-10-17", "Statement" : [ { "Effect" : "Allow", "Principal" : { "Service" : "m2.amazonaws.com" }, "Action" : [ "secretsmanager:GetSecretValue", "secretsmanager:DescribeSecret" ], "Resource" : "*" } ] }
-
Pilih Simpan untuk menyimpan izin yang diperbarui.
-
Pilih Berikutnya.
-
Lewati halaman Konfigurasi rotasi, dan pilih Berikutnya.
-
Pada halaman Review, periksa semua konfigurasi dan pilih Store untuk menyimpan rahasia.
penting
Kunci userId
dan password
rahasia peka huruf besar/kecil dan harus dimasukkan seperti yang ditunjukkan.
Langkah 5: Buat kebijakan IAM
Untuk membuat kebijakan baru dengan izin yang diperlukan untuk agen
-
Buka konsol IAM di https://console.aws.amazon.com/iam
. -
Pilih Kebijakan di bawah Manajemen akses.
-
Pilih Buat kebijakan.
-
Pada halaman Tentukan izin, di bawah Editor kebijakan, beralih dari editor Visual ke editor JSON dan ganti konten dengan templat berikut:
-
{ "Version": "2012-10-17", "Statement": [ { "Sid": "FileTransferAgentSQSReceive", "Effect": "Allow", "Action": [ "sqs:DeleteMessage", "sqs:ReceiveMessage" ], "Resource": "arn:aws:sqs:*:111122223333:m2-*-request-queue.fifo" }, { "Sid": "FileTransferAgentSQSSend", "Effect": "Allow", "Action": "sqs:SendMessage", "Resource": "arn:aws:sqs:*:111122223333:m2-*-response-queue.fifo" }, { "Sid": "FileTransferWorkingS3", "Effect": "Allow", "Action": "s3:PutObject", "Resource": "<file-transfer-endpoint-intermediate-bucket-arn>/*" }, { "Sid": "FileTransferAgentKMSDecrypt", "Effect": "Allow", "Action": "kms:Decrypt", "Resource": "<kms-key-arn>" } ] }
-
Ganti
111122223333
ARN di antrean permintaan dan antrean respons dengan akun Anda.catatan
Ini adalah ARN wildcard yang cocok dengan dua antrian Amazon SQS yang dibuat selama inisialisasi titik akhir transfer data. Setelah membuat titik akhir Transfer File, secara opsional ganti ARN ini dengan nilai aktual dari Amazon SQS.
-
Ganti
file-transfer-endpoint-intermediate-bucket-arn
dengan ARN dari bucket transfer yang dibuat sebelumnya. Tinggalkan wildcard “/*” di akhir. -
Ganti
kms-key-arn
dengan ARN dari AWS KMS kunci yang dibuat sebelumnya. -
Pilih Berikutnya.
-
Pada halaman Tinjau dan buat, tambahkan nama dan deskripsi Kebijakan.
-
Pilih Buat kebijakan.
Langkah 6: Buat pengguna IAM dengan kredensi akses jangka panjang
Buat pengguna IAM yang memungkinkan agen mainframe terhubung ke akun Anda AWS . Agen akan terhubung dengan pengguna ini dan kemudian mengambil peran yang Anda tentukan dengan izin untuk menggunakan respons Amazon SQS dan antrian permintaan dan untuk menyimpan kumpulan data ke bucket Amazon S3.
Untuk membuat pengguna IAM ini
-
Arahkan ke konsol IAM dihttps://console.aws.amazon.com/iam
. -
Pilih Pengguna di bawah Manajemen akses.
-
Pilih Create user (Buat pengguna).
-
Tambahkan nama Pengguna yang berarti di bawah Detail pengguna. Misalnya,
Configure-ft-agent
. -
Pilih Berikutnya.
-
Di opsi Izin, pilih opsi Lampirkan kebijakan secara langsung tetapi jangan lampirkan kebijakan izin apa pun. Izin ini akan dikelola oleh peran yang akan dilampirkan.
-
Pilih Berikutnya.
-
Tinjau detailnya, dan pilih Buat pengguna.
-
Setelah pengguna dibuat, pilih user dan buka tab Security credentials.
-
Di bawah tombol Access, pilih Create Access Key.
-
Kemudian, pilih Lainnya saat diminta untuk Kasus penggunaan.
-
Pilih Berikutnya.
-
Secara opsional, Anda dapat mengatur tag deskripsi seperti,
Access key for configuring file transfer agent
. -
Pilih Buat access key.
-
Salin, dan simpan kunci Akses yang dihasilkan, dan kunci akses Rahasia dengan aman. Ini akan digunakan nanti.
Untuk informasi selengkapnya tentang membuat kunci akses IAM, lihat Mengelola kunci akses untuk pengguna IAM.
penting
Simpan tombol Akses dan kunci akses Rahasia yang ditampilkan di halaman terakhir panduan pembuatan kunci akses, sebelum memilih Selesai. Kunci ini digunakan untuk mengkonfigurasi agen mainframe, dan tidak dapat diambil nanti.
catatan
Simpan ARN pengguna IAM yang digunakan untuk mengatur hubungan kepercayaan dengan peran IAM.
Langkah 7: Buat peran IAM untuk diasumsikan oleh agen
Untuk membuat peran IAM baru untuk agen
-
Pilih Peran di konsol IAM dihttps://console.aws.amazon.com/iam
. -
Pilih Buat peran.
-
Pada halaman Pilih entitas tepercaya, pilih Kebijakan kepercayaan khusus untuk jenis entitas Tepercaya.
-
Ganti kebijakan kepercayaan kustom dengan yang berikut ini dan ganti
<iam-user-arn>
dengan ARN pengguna yang dibuat sebelumnya.{ "Version": "2012-10-17", "Statement": [ { "Sid": "FileTransferAgent", "Effect": "Allow", "Principal": { "AWS": "<IAM-User-arn>" }, "Action": "sts:AssumeRole" } ] }
-
Pilih Berikutnya.
-
Di Tambahkan Izin, filter untuk nama Kebijakan yang Anda buat sebelumnya dan pilih.
-
Pilih Berikutnya.
-
Beri nama peran, dan pilih Buat Peran.
catatan
Simpan nama peran, yang akan Anda gunakan nanti untuk mengonfigurasi agen mainframe.
Langkah 8: Konfigurasi agen
Untuk mengkonfigurasi agen Transfer File
-
Navigasi ke
$AGENT_DIR/current-version/config
. -
Edit file konfigurasi agen
appication.properties
untuk menambahkan konfigurasi lingkungan menggunakan perintah berikut:oedit $AGENT_DIR/current-version/config/application.properties
Sebagai contoh:
agent.environments[0].account-id=<AWS_ACCOUNT_ID> agent.environments[0].agent-role-name=<AWS_IAM_ROLE_NAME> agent.environments[0].access-key-id=<AWS_IAM_ROLE_ACCESS_KEY> agent.environments[0].secret-access-id=<AWS_IAM_ROLE_SECRET_KEY> agent.environments[0].bucket-name=<AWS_S3_BUCKET_NAME> agent.environments[0].environment-name=<AWS_REGION> agent.environments[0].region=<AWS_REGION> zos.complex-name=<File_Transfer_Endpoint_Name>
Di mana:
-
AWS_ACCOUNT_ID
adalah ID AWS akun. -
AWS_IAM_ROLE_NAME
adalah nama peran IAM yang dibuat di. Langkah 7: Buat peran IAM untuk diasumsikan oleh agen -
AWS_IAM_ROLE_ACCESS_KEY
adalah kunci akses pengguna IAM yang dibuat diLangkah 6: Buat pengguna IAM dengan kredensi akses jangka panjang. -
AWS_IAM_ROLE_SECRET_KEY
adalah kunci rahasia akses untuk pengguna IAM yang dibuat diLangkah 6: Buat pengguna IAM dengan kredensi akses jangka panjang. -
AWS_S3_BUCKET_NAME
adalah nama bucket transfer yang dibuat dengan titik akhir transfer data. -
AWS_REGION
adalah wilayah di mana Anda mengkonfigurasi agen Transfer File.catatan
Anda dapat meminta transfer agen Transfer File ke beberapa wilayah dan akun AWS dengan mendefinisikan beberapa lingkungan.
-
(Opsional).
zos.complex-name
adalah nama kompleks yang Anda buat saat membuat titik akhir Transfer File.catatan
Bidang ini diperlukan hanya jika Anda ingin menyesuaikan nama kompleks (yang default ke nama sysplex Anda) yang sama seperti yang Anda tentukan saat membuat titik akhir Transfer File Anda. Untuk informasi selengkapnya, lihat Buat titik akhir transfer data untuk Transfer File.
penting
Mungkin ada beberapa bagian seperti itu, selama indeks dalam tanda kurung —
[0]
— bertambah untuk masing-masing. -
Anda harus me-restart agen agar perubahan diterapkan.
Persyaratan
-
Ketika parameter ditambahkan atau dihapus, agen harus dihentikan dan dimulai. Mulai agen transfer File menggunakan perintah berikut di CLI:
/S M2AGENT
Untuk menghentikan agen M2, gunakan perintah berikut di CLI:
/P M2AGENT
-
Anda dapat memiliki agen Transfer File yang dikonfigurasi untuk mentransfer data ke beberapa wilayah dan akun AWS dengan menentukan entri lingkungan.
catatan
Ganti nilai dengan nilai parameter yang Anda buat dan konfigurasikan sebelumnya.
#Region 1 agent.environments[0].account-id=AWS_ACCOUNT_ID agent.environments[0].agent-role-name=AWS_IAM_ROLE_NAME agent.environments[0].access-key-id=AWS_IAM_ROLE_ACCESS_KEY agent.environments[0].secret-access-id=AWS_IAM_ROLE_SECRET_KEY agent.environments[0].bucket-name=AWS_S3_BUCKET_NAME agent.environments[0].environment-name=AWS_REGION agent.environments[0].region=AWS_REGION #Region 2 agent.environments[1].account-id=AWS_ACCOUNT_ID agent.environments[1].agent-role-name=AWS_IAM_ROLE_NAME agent.environments[1].access-key-id=AWS_IAM_ROLE_ACCESS_KEY agent.environments[1].secret-access-id=AWS_IAM_ROLE_SECRET_KEY agent.environments[1].bucket-name=AWS_S3_BUCKET_NAME agent.environments[1].environment-name=AWS_REGION agent.environments[1].region=AWS_REGION