Konfigurasikan agen Transfer File

Setelah Anda menginstal agen transfer file, ikuti langkah-langkah ini untuk mengonfigurasi agen. Jika Anda perlu menginstal agen baru, ikuti instruksi di Instal agen Transfer File halaman.

Langkah 1: Konfigurasikan izin dan Mulai Kontrol Tugas () STC

1. Perbarui dan kirimkan salah satu SYS2.AWS.M2.SAMPLIB(SEC#RACF) (untuk menyiapkan RACF izin) atau SYS2.AWS.M2.SAMPLIB(SEC#TSS) (untuk menyiapkan TSS izin) sesuai dengan instruksi mereka. Anggota ini diciptakan oleh CPY#PDS langkah sebelumnya.

   catatan

   SYS2.AWS.M2adalah kualifikasi tingkat tinggi (HLQ) yang dipilih selama penginstalan.

2. Perbarui PWD ekspor di SYS2.AWS.M2.SAMPLIB(M2AGENT) STCJCL, jika jalur direktori agen Transfer File default (/usr/lpp/aws/m2-agent) diubah.

3. Perbarui dan salin SYS2.AWS.M2.SAMPLIB(M2AGENT) JCL keSYS1.PROCLIB.

4. Tambahkan SYS2.AWS.M2.LOADLIB ke APF daftar menggunakan perintah berikut:

   SETPROG APF ADD DSNAME(SYS2.AWS.M2.LOADLIB) SMS

5. Atur grup dan pemilik agen logs dan diag folder ke pengguna/grup agen (M2 /M2). USER GROUP Gunakan perintah berikut ini.

   chown -R M2USER:M2GROUP $AGENT_DIR/current-version/logs
   chown -R M2USER:M2GROUP $AGENT_DIR/current-version/diag

Langkah 2: Buat ember Amazon S3

AWSTransfer File Modernisasi Mainframe memerlukan bucket Amazon S3 perantara sebagai area kerja. Kami merekomendasikan membuat ember khusus untuk ini.

Secara opsional, buat bucket Amazon S3 target baru untuk kumpulan data yang ditransfer. Jika tidak, Anda juga dapat menggunakan bucket Amazon S3 yang ada. Untuk informasi selengkapnya tentang membuat bucket Amazon S3, lihat Membuat bucket.

Langkah 3: Buat kunci yang dikelola AWS KMS pelanggan untuk enkripsi

Untuk membuat kunci yang dikelola pelanggan di AWS KMS

1. Buka AWS KMS konsol dihttps://console.aws.amazon.com/kms.

2. Pilih Kunci terkelola pelanggan di panel navigasi kiri.

3. Pilih Buat kunci.

4. Di bawah tombol Configure, pilih Key type as Symmetric, dan Key usage as encrypt and decrypt. Gunakan konfigurasi default lainnya.

5. Di Tambahkan label, tambahkan Alias dan deskripsi untuk kunci Anda.

6. Pilih Berikutnya.

7. Di bawah Tentukan izin administratif utama, pilih setidaknya satu IAM pengguna dan peran yang mengelola kunci ini.

8. Pilih Berikutnya.

9. Pada halaman Tinjauan, tambahkan sintaks berikut ke kebijakan Kunci. Hal ini memungkinkan layanan Modernisasi AWS Mainframe untuk membaca dan menggunakan kunci ini untuk enkripsi/dekripsi.

   penting

   Tambahkan pernyataan ke pernyataan yang ada. Jangan mengganti apa yang sudah ada dalam kebijakan.

   {
       "Sid" : "Enable AWS M2 File Transfer Permissions",
       "Effect" : "Allow",
       "Principal" : {
           "Service" : "m2.amazonaws.com"
       },
       "Action" : [
           "kms:Encrypt",
           "kms:Decrypt"
       ],
      "Resource" : "*"
   },

Simpan ARN untuk kunci yang dikelola pelanggan setelah dibuat. Ini akan digunakan dalam kebijakan nanti.

Langkah 4: Buat AWS Secrets Manager rahasia untuk kredensi mainframe

Kredensi mainframe diperlukan untuk mengakses kumpulan data yang akan ditransfer dan ini harus disimpan sebagai rahasia. AWS Secrets Manager

Untuk membuat AWS Secrets Manager rahasia

1. Buka konsol manajer Rahasia dihttps://console.aws.amazon.com/secretsmanager.

2. Di Pilih jenis Rahasia, pilih Jenis rahasia lainnya.

3. Gunakan nilai kunci userId untuk mainframe userId yang memiliki akses ke kumpulan data.

4. Gunakan nilai kunci password untuk bidang kata sandi.

5. Untuk Kunci Enkripsi, pilih kunci terkelola AWS pelanggan yang dibuat sebelumnya.

6. Pilih Berikutnya.

7. Pada halaman Konfigurasi rahasia, berikan nama dan deskripsi.

8. Pada halaman yang sama, edit izin Sumber Daya, dan gunakan kebijakan sumber daya berikut sehingga layanan Modernisasi AWS Mainframe dapat mengaksesnya.

   {
     "Version" : "2012-10-17",
     "Statement" : [ {
       "Effect" : "Allow",
       "Principal" : {
           "Service" : "m2.amazonaws.com"
       },
       "Action" : [ "secretsmanager:GetSecretValue", 
                    "secretsmanager:DescribeSecret" ],
       "Resource" : "*"
     } ]
   }

9. Pilih Simpan untuk menyimpan izin yang diperbarui sebelum memilih Berikutnya.

10. Lewati halaman Konfigurasi rotasi, dan pilih Berikutnya.

11. Pada halaman Review, periksa semua konfigurasi dan pilih Store untuk menyimpan rahasia.

penting

Kunci userId dan password rahasia peka huruf besar/kecil dan harus dimasukkan seperti yang ditunjukkan.

Langkah 5: Buat IAM kebijakan

Untuk membuat kebijakan baru dengan izin yang diperlukan untuk agen

1. Beralih dari editor Visual ke JSON editor dan ganti konten dengan template berikut:

   {
   "Version": "2012-10-17",
       "Statement": [
           {
            "Sid": "FileTransferAgentSQSReceive",
               "Effect": "Allow",
               "Action": [
                   "sqs:DeleteMessage",
                   "sqs:ReceiveMessage"
               ],
               "Resource": "arn:aws:sqs:*:111122223333:m2-*-request-queue.fifo"
           },
           {
            "Sid": "FileTransferAgentSQSSend",
               "Effect": "Allow",
               "Action": "sqs:SendMessage",
               "Resource": "arn:aws:sqs:*:111122223333:m2-*-response-queue.fifo"
           },
           {
            "Sid": "FileTransferWorkingS3",
               "Effect": "Allow",
               "Action": "s3:PutObject",
               "Resource": "<file-transfer-endpoint-intermediate-bucket-arn>/*"
           },
           {
            "Sid": "FileTransferAgentKMSDecrypt",
               "Effect": "Allow",
               "Action": "kms:Decrypt",
               "Resource": "<kms-key-arn>"
           }
       ]
   }

2. Ganti 111122223333 antrean permintaan dan antrean respons ARN dengan akun Anda.

   catatan

   Ini adalah wildcard ARN yang cocok dengan dua SQS antrian Amazon yang dibuat selama inisialisasi titik akhir transfer data. Setelah membuat titik akhir Transfer File, secara opsional ganti ini ARN dengan nilai aktual dari Amazon. SQS

3. Ganti file-transfer-endpoint-intermediate-bucket-arn dengan ARN bucket transfer yang dibuat sebelumnya. Tinggalkan wildcard “/*” di akhir.

4. Ganti kms-key-arn dengan ARN AWS KMS kunci yang dibuat sebelumnya.

Langkah 6: Buat IAM pengguna dengan kredensi akses jangka panjang

Buat IAM pengguna yang memungkinkan agen mainframe terhubung ke AWS akun Anda. Agen akan terhubung dengan pengguna ini dan kemudian mengambil peran yang Anda tentukan dengan izin untuk menggunakan SQS respons Amazon dan antrian permintaan dan untuk menyimpan kumpulan data ke bucket Amazon S3.

Untuk membuat IAM pengguna ini

1. Arahkan ke AWS IAM konsol dihttps://console.aws.amazon.com/iam.

2. Di opsi Izin, pilih opsi Lampirkan kebijakan secara langsung tetapi jangan lampirkan kebijakan izin apa pun. Izin ini akan dikelola oleh peran yang akan dilampirkan.

3. Setelah pengguna dibuat, pilih user dan buka tab Security credentials.

4. Di tombol Buat akses, pilih Lainnya saat diminta untuk Kasus penggunaan.

5. Salin dan simpan kunci Akses yang dihasilkan dan kunci akses Rahasia dengan aman. Ini akan digunakan nanti.

Untuk informasi selengkapnya tentang membuat kunci IAM akses, lihat Mengelola kunci akses untuk IAM pengguna.

penting

Simpan tombol Akses dan kunci akses Rahasia yang ditampilkan di halaman terakhir panduan pembuatan kunci akses, sebelum memilih Selesai. Tombol ini digunakan untuk mengkonfigurasi agen mainframe.

catatan

Simpan IAM pengguna yang ARN digunakan untuk mengatur hubungan kepercayaan dengan IAM peran.

Langkah 7: Buat IAM peran bagi agen untuk berasumsi

Untuk menciptakan IAM peran baru bagi agen

1. Pilih Peran di IAM konsol dihttps://console.aws.amazon.com/iam.

2. Pilih Buat peran.

3. Pada halaman Pilih entitas tepercaya, pilih Kebijakan kepercayaan khusus untuk jenis entitas Tepercaya.

4. Ganti kebijakan kepercayaan kustom dengan yang berikut ini dan ganti <iam-user-arn> dengan pengguna yang dibuat sebelumnya. ARN

   {
       "Version": "2012-10-17",
       "Statement": [ {
            "Sid": "FileTransferAgent",
            "Effect": "Allow",
            "Principal": {
               "AWS": "<IAM-User-arn>"
            },
            "Action": "sts:AssumeRole"
       } ]
   }

5. Pilih Berikutnya.

6. Di Tambahkan Izin, filter untuk nama Kebijakan yang Anda buat sebelumnya dan pilih.

7. Pilih Berikutnya.

8. Beri nama peran, dan pilih Buat Peran.

catatan

Simpan nama peran, yang akan Anda gunakan nanti untuk mengonfigurasi agen mainframe.

Langkah 8: Konfigurasi agen

Untuk mengkonfigurasi agen Transfer File

1. Navigasi ke $AGENT_DIR/current-version/config.

2. Edit file konfigurasi agen appication.properties untuk menambahkan konfigurasi lingkungan menggunakan perintah berikut:

   oedit $AGENT_DIR/current-version/config/application.properties

   Sebagai contoh:

   agent.environments[0].account-id=<AWS_ACCOUNT_ID>
   agent.environments[0].agent-role-name=<AWS_IAM_ROLE_NAME>
   agent.environments[0].access-key-id=<AWS_IAM_ROLE_ACCESS_KEY>
   agent.environments[0].secret-access-id=<AWS_IAM_ROLE_SECRET_KEY>
   agent.environments[0].bucket-name=<AWS_S3_BUCKET_NAME>
   agent.environments[0].environment-name=<AWS_REGION>
   agent.environments[0].region=<AWS_REGION>
   zos.complex-name=<File_Transfer_Endpoint_Name>

   Di mana:

   • AWS_ACCOUNT_IDadalah ID AWS akun.

   • AWS_IAM_ROLE_NAMEadalah nama IAM peran yang dibuat dalamLangkah 7: Buat IAM peran bagi agen untuk berasumsi.

   • AWS_IAM_ROLE_ACCESS_KEYadalah kunci akses IAM pengguna yang dibuat diLangkah 6: Buat IAM pengguna dengan kredensi akses jangka panjang.

   • AWS_IAM_ROLE_SECRET_KEYadalah kunci rahasia akses untuk IAM pengguna yang dibuat diLangkah 6: Buat IAM pengguna dengan kredensi akses jangka panjang.

   • AWS_S3_BUCKET_NAMEadalah nama bucket transfer yang dibuat dengan titik akhir transfer data.

   • AWS_REGIONadalah wilayah di mana Anda mengkonfigurasi agen Transfer File.

     catatan

     Anda dapat meminta transfer agen Transfer File ke beberapa wilayah dan akun AWS dengan mendefinisikan beberapa lingkungan.

   • (Opsional). zos.complex-nameadalah nama kompleks yang Anda buat saat membuat titik akhir Transfer File.

     catatan

     Bidang ini diperlukan hanya jika Anda ingin menyesuaikan nama kompleks (yang default ke nama sysplex Anda) yang sama seperti yang Anda tentukan saat membuat titik akhir Transfer File Anda. Untuk informasi selengkapnya, lihat Buat titik akhir transfer data untuk Transfer File.

   penting

   Mungkin ada beberapa bagian seperti itu, selama indeks dalam tanda kurung — [0] — bertambah untuk masing-masing.

Anda harus me-restart agen agar perubahan diterapkan.

Persyaratan

1. Ketika parameter ditambahkan atau dihapus, agen harus dihentikan dan dimulai. Mulai agen transfer File menggunakan perintah berikut diCLI:

   /S M2AGENT

   Untuk menghentikan agen M2, gunakan perintah berikut diCLI:

   /P M2AGENT

2. Anda dapat meminta transfer agen Transfer File ke beberapa wilayah dan akun AWS dengan mendefinisikan beberapa lingkungan.

   catatan

   Ganti nilai dengan nilai parameter yang Anda buat dan konfigurasikan sebelumnya.

   #Region 1
   agent.environments[0].account-id=AWS_ACCOUNT_ID
   agent.environments[0].agent-role-name=AWS_IAM_ROLE_NAME
   agent.environments[0].access-key-id=AWS_IAM_ROLE_ACCESS_KEY
   agent.environments[0].secret-access-id=AWS_IAM_ROLE_SECRET_KEY
   agent.environments[0].bucket-name=AWS_S3_BUCKET_NAME
   agent.environments[0].environment-name=AWS_REGION
   agent.environments[0].region=AWS_REGION
   
   #Region 2
   agent.environments[1].account-id=AWS_ACCOUNT_ID
   agent.environments[1].agent-role-name=AWS_IAM_ROLE_NAME
   agent.environments[1].access-key-id=AWS_IAM_ROLE_ACCESS_KEY
   agent.environments[1].secret-access-id=AWS_IAM_ROLE_SECRET_KEY
   agent.environments[1].bucket-name=AWS_S3_BUCKET_NAME
   agent.environments[1].environment-name=AWS_REGION
   agent.environments[1].region=AWS_REGION