Konfigurasikan agen Transfer File - AWS Modernisasi Mainframe

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Konfigurasikan agen Transfer File

Setelah Anda menginstal agen transfer file, ikuti langkah-langkah ini untuk mengonfigurasi agen. Jika Anda perlu menginstal agen baru, ikuti instruksi di Instal agen Transfer File halaman.

Langkah 1: Konfigurasikan izin dan Mulai Kontrol Tugas (STC)

  1. Perbarui dan kirimkan salah satu SYS2.AWS.M2.SAMPLIB(SEC#RACF) (untuk menyiapkan izin RACF) atau SYS2.AWS.M2.SAMPLIB(SEC#TSS) (untuk menyiapkan izin TSS) sesuai dengan instruksi mereka. Anggota ini diciptakan oleh CPY#PDS langkah sebelumnya.

    catatan

    SYS2.AWS.M2harus diganti dengan kualifikasi tingkat tinggi (HLQ) yang dipilih selama instalasi.

  2. Perbarui ekspor PWD di SYS2.AWS.M2.SAMPLIB(M2AGENT) STC JCL, jika jalur direktori agen Transfer File default () /usr/lpp/aws/m2-agent diubah.

  3. Perbarui PROC sesuai dengan standar situs Anda:

    1. Perbarui kartu PROC sesuai kebutuhan instalasi Anda.

    2. Perbarui STEPLIB dengan. M2 LOADLIB PDSE ALIAS

    3. Edit PWD untuk mengarahkan jalur instalasi agen (hanya ini yang disertakan).

    4. Perbarui JAVA_HOME jika diperlukan.

  4. Perbarui dan salin SYS2.AWS.M2.SAMPLIB(M2AGENT) JCL ke SYS1.PROCLIB atau salah satu dari PROCLIBs rangkaian AndaPROCLIB.

  5. Tambahkan SYS2.AWS.M2.LOADLIB ke daftar APF menggunakan perintah berikut:

    SETPROG APF ADD DSNAME(SYS2.AWS.M2.LOADLIB) SMS
  6. Atur grup agen dan pemilik ke agen user/group (M2USER/M 2GROUP). Gunakan perintah berikut di OMVS:

    chown -R M2USER:M2GROUP $AGENT_DIR/current-version
    catatan

    Edit M2USER dan M2GROUP dengan nama yang Anda gunakan dalam pekerjaan definisi keamanan.

Langkah 2: Buat ember Amazon S3

Transfer File Modernisasi AWS Mainframe memerlukan bucket Amazon S3 perantara sebagai area kerja. Kami merekomendasikan membuat ember khusus untuk ini.

Secara opsional, buat bucket Amazon S3 target baru untuk kumpulan data yang ditransfer. Jika tidak, Anda juga dapat menggunakan bucket Amazon S3 yang ada. Untuk informasi selengkapnya tentang membuat bucket Amazon S3, lihat Membuat bucket.

Langkah 3: Buat kunci yang dikelola AWS KMS pelanggan untuk enkripsi

Untuk membuat kunci terkelola pelanggan di AWS KMS
  1. Buka AWS KMS konsol dihttps://console.aws.amazon.com/kms.

  2. Pilih Kunci terkelola pelanggan di panel navigasi kiri.

  3. Pilih Buat kunci.

  4. Di bawah tombol Configure, pilih Key type as Symmetric, dan Key usage as Encrypt and decrypt. Gunakan konfigurasi default lainnya.

  5. Pilih Berikutnya.

  6. Di Tambahkan label, tambahkan Alias dan deskripsi untuk kunci Anda.

  7. Pilih Berikutnya.

  8. Di bawah Tentukan izin administratif utama, pilih setidaknya satu pengguna IAM dan peran yang mengelola kunci ini.

  9. Pilih Berikutnya.

  10. Secara opsional, di bawah Tentukan izin administratif kunci, pilih setidaknya satu pengguna IAM dan peran yang dapat menggunakan kunci ini.

  11. Pilih Berikutnya.

  12. Di bagian Edit kebijakan kunci, pilih Edit, dan tambahkan sintaks berikut ke kebijakan Kunci. Hal ini memungkinkan layanan Modernisasi AWS Mainframe untuk membaca dan menggunakan kunci ini untuk enkripsi/dekripsi.

    penting

    Tambahkan pernyataan ke pernyataan yang ada. Jangan mengganti apa yang sudah ada dalam kebijakan.

    { "Sid" : "Enable AWS M2 File Transfer Permissions", "Effect" : "Allow", "Principal" : { "Service" : "m2.amazonaws.com" }, "Action" : [ "kms:Encrypt", "kms:Decrypt" ], "Resource" : "*" },
  13. Pilih Berikutnya.

  14. Pada halaman Ulasan, periksa semua detailnya, dan pilih Selesai.

Salin dan simpan ARN untuk kunci yang dikelola pelanggan dengan membuka kunci KMS yang baru dibuat. Ini akan digunakan dalam kebijakan nanti.

Langkah 4: Buat AWS Secrets Manager rahasia untuk kredensi mainframe

Kredensi mainframe diperlukan untuk mengakses kumpulan data yang akan ditransfer dan ini harus disimpan sebagai rahasia. AWS Secrets Manager

Untuk membuat AWS Secrets Manager rahasia
  1. Buka konsol manajer Rahasia dihttps://console.aws.amazon.com/secretsmanager.

  2. Pilih Simpan rahasia baru.

  3. Di Pilih jenis Rahasia, pilih Jenis rahasia lainnya.

  4. Gunakan nilai kunci userId untuk userID mainframe yang memiliki akses ke kumpulan data.. Gunakan nilai kunci password untuk bidang kata sandi.

  5. Untuk Kunci Enkripsi, pilih kunci terkelola AWS pelanggan yang dibuat sebelumnya.

  6. Pilih Berikutnya.

  7. Pada halaman Konfigurasi rahasia, berikan nama dan deskripsi.

  8. Pada halaman yang sama, edit izin Sumber Daya, dan gunakan kebijakan sumber daya berikut sehingga layanan Modernisasi AWS Mainframe dapat mengaksesnya.

    { "Version" : "2012-10-17", "Statement" : [ { "Effect" : "Allow", "Principal" : { "Service" : "m2.amazonaws.com" }, "Action" : [ "secretsmanager:GetSecretValue", "secretsmanager:DescribeSecret" ], "Resource" : "*" } ] }
  9. Pilih Simpan untuk menyimpan izin yang diperbarui.

  10. Pilih Berikutnya.

  11. Lewati halaman Konfigurasi rotasi, dan pilih Berikutnya.

  12. Pada halaman Review, periksa semua konfigurasi dan pilih Store untuk menyimpan rahasia.

penting

Kunci userId dan password rahasia peka huruf besar/kecil dan harus dimasukkan seperti yang ditunjukkan.

Langkah 5: Buat kebijakan IAM

Untuk membuat kebijakan baru dengan izin yang diperlukan untuk agen
  1. Buka konsol IAM di https://console.aws.amazon.com/iam.

  2. Pilih Kebijakan di bawah Manajemen akses.

  3. Pilih Buat kebijakan.

  4. Pada halaman Tentukan izin, di bawah Editor kebijakan, beralih dari editor Visual ke editor JSON dan ganti konten dengan templat berikut:

  5. { "Version": "2012-10-17", "Statement": [ { "Sid": "FileTransferAgentSQSReceive", "Effect": "Allow", "Action": [ "sqs:DeleteMessage", "sqs:ReceiveMessage" ], "Resource": "arn:aws:sqs:*:111122223333:m2-*-request-queue.fifo" }, { "Sid": "FileTransferAgentSQSSend", "Effect": "Allow", "Action": "sqs:SendMessage", "Resource": "arn:aws:sqs:*:111122223333:m2-*-response-queue.fifo" }, { "Sid": "FileTransferWorkingS3", "Effect": "Allow", "Action": "s3:PutObject", "Resource": "<file-transfer-endpoint-intermediate-bucket-arn>/*" }, { "Sid": "FileTransferAgentKMSDecrypt", "Effect": "Allow", "Action": "kms:Decrypt", "Resource": "<kms-key-arn>" } ] }
  6. Ganti 111122223333 ARN di antrean permintaan dan antrean respons dengan akun Anda.

    catatan

    Ini adalah ARN wildcard yang cocok dengan dua antrian Amazon SQS yang dibuat selama inisialisasi titik akhir transfer data. Setelah membuat titik akhir Transfer File, secara opsional ganti ARN ini dengan nilai aktual dari Amazon SQS.

  7. Ganti file-transfer-endpoint-intermediate-bucket-arn dengan ARN dari bucket transfer yang dibuat sebelumnya. Tinggalkan wildcard “/*” di akhir.

  8. Ganti kms-key-arn dengan ARN dari AWS KMS kunci yang dibuat sebelumnya.

  9. Pilih Berikutnya.

  10. Pada halaman Tinjau dan buat, tambahkan nama dan deskripsi Kebijakan.

  11. Pilih Buat kebijakan.

Langkah 6: Buat pengguna IAM dengan kredensi akses jangka panjang

Buat pengguna IAM yang memungkinkan agen mainframe terhubung ke akun Anda AWS . Agen akan terhubung dengan pengguna ini dan kemudian mengambil peran yang Anda tentukan dengan izin untuk menggunakan respons Amazon SQS dan antrian permintaan dan untuk menyimpan kumpulan data ke bucket Amazon S3.

Untuk membuat pengguna IAM ini
  1. Arahkan ke konsol IAM dihttps://console.aws.amazon.com/iam.

  2. Pilih Pengguna di bawah Manajemen akses.

  3. Pilih Create user (Buat pengguna).

  4. Tambahkan nama Pengguna yang berarti di bawah Detail pengguna. Misalnya, Configure-ft-agent.

  5. Pilih Berikutnya.

  6. Di opsi Izin, pilih opsi Lampirkan kebijakan secara langsung tetapi jangan lampirkan kebijakan izin apa pun. Izin ini akan dikelola oleh peran yang akan dilampirkan.

  7. Pilih Berikutnya.

  8. Tinjau detailnya, dan pilih Buat pengguna.

  9. Setelah pengguna dibuat, pilih user dan buka tab Security credentials.

  10. Di bawah tombol Access, pilih Create Access Key.

  11. Kemudian, pilih Lainnya saat diminta untuk Kasus penggunaan.

  12. Pilih Berikutnya.

  13. Secara opsional, Anda dapat mengatur tag deskripsi seperti,Access key for configuring file transfer agent.

  14. Pilih Buat access key.

  15. Salin, dan simpan kunci Akses yang dihasilkan, dan kunci akses Rahasia dengan aman. Ini akan digunakan nanti.

Untuk informasi selengkapnya tentang membuat kunci akses IAM, lihat Mengelola kunci akses untuk pengguna IAM.

penting

Simpan tombol Akses dan kunci akses Rahasia yang ditampilkan di halaman terakhir panduan pembuatan kunci akses, sebelum memilih Selesai. Kunci ini digunakan untuk mengkonfigurasi agen mainframe, dan tidak dapat diambil nanti.

catatan

Simpan ARN pengguna IAM yang digunakan untuk mengatur hubungan kepercayaan dengan peran IAM.

Langkah 7: Buat peran IAM untuk diasumsikan oleh agen

Untuk membuat peran IAM baru untuk agen
  1. Pilih Peran di konsol IAM dihttps://console.aws.amazon.com/iam.

  2. Pilih Buat peran.

  3. Pada halaman Pilih entitas tepercaya, pilih Kebijakan kepercayaan khusus untuk jenis entitas Tepercaya.

  4. Ganti kebijakan kepercayaan kustom dengan yang berikut ini dan ganti <iam-user-arn> dengan ARN pengguna yang dibuat sebelumnya.

    { "Version": "2012-10-17", "Statement": [ { "Sid": "FileTransferAgent", "Effect": "Allow", "Principal": { "AWS": "<IAM-User-arn>" }, "Action": "sts:AssumeRole" } ] }
  5. Pilih Berikutnya.

  6. Di Tambahkan Izin, filter untuk nama Kebijakan yang Anda buat sebelumnya dan pilih.

  7. Pilih Berikutnya.

  8. Beri nama peran, dan pilih Buat Peran.

catatan

Simpan nama peran, yang akan Anda gunakan nanti untuk mengonfigurasi agen mainframe.

Langkah 8: Konfigurasi agen

Untuk mengkonfigurasi agen Transfer File
  1. Navigasi ke $AGENT_DIR/current-version/config.

  2. Edit file konfigurasi agen appication.properties untuk menambahkan konfigurasi lingkungan menggunakan perintah berikut:

    oedit $AGENT_DIR/current-version/config/application.properties

    Sebagai contoh:

    agent.environments[0].account-id=<AWS_ACCOUNT_ID> agent.environments[0].agent-role-name=<AWS_IAM_ROLE_NAME> agent.environments[0].access-key-id=<AWS_IAM_ROLE_ACCESS_KEY> agent.environments[0].secret-access-id=<AWS_IAM_ROLE_SECRET_KEY> agent.environments[0].bucket-name=<AWS_S3_BUCKET_NAME> agent.environments[0].environment-name=<AWS_REGION> agent.environments[0].region=<AWS_REGION> zos.complex-name=<File_Transfer_Endpoint_Name>

    Di mana:

    penting

    Mungkin ada beberapa bagian seperti itu, selama indeks dalam tanda kurung — [0] — bertambah untuk masing-masing.

Anda harus me-restart agen agar perubahan diterapkan.

Persyaratan

  1. Ketika parameter ditambahkan atau dihapus, agen harus dihentikan dan dimulai. Mulai agen transfer File menggunakan perintah berikut di CLI:

    /S M2AGENT

    Untuk menghentikan agen M2, gunakan perintah berikut di CLI:

    /P M2AGENT
  2. Anda dapat memiliki agen Transfer File yang dikonfigurasi untuk mentransfer data ke beberapa wilayah dan akun AWS dengan menentukan entri lingkungan.

    catatan

    Ganti nilai dengan nilai parameter yang Anda buat dan konfigurasikan sebelumnya.

    #Region 1 agent.environments[0].account-id=AWS_ACCOUNT_ID agent.environments[0].agent-role-name=AWS_IAM_ROLE_NAME agent.environments[0].access-key-id=AWS_IAM_ROLE_ACCESS_KEY agent.environments[0].secret-access-id=AWS_IAM_ROLE_SECRET_KEY agent.environments[0].bucket-name=AWS_S3_BUCKET_NAME agent.environments[0].environment-name=AWS_REGION agent.environments[0].region=AWS_REGION #Region 2 agent.environments[1].account-id=AWS_ACCOUNT_ID agent.environments[1].agent-role-name=AWS_IAM_ROLE_NAME agent.environments[1].access-key-id=AWS_IAM_ROLE_ACCESS_KEY agent.environments[1].secret-access-id=AWS_IAM_ROLE_SECRET_KEY agent.environments[1].bucket-name=AWS_S3_BUCKET_NAME agent.environments[1].environment-name=AWS_REGION agent.environments[1].region=AWS_REGION