Langkah 1: Konfigurasikan izin dan Mulai Kontrol Tugas (STC)Langkah 2: Buat ember Amazon S3 Langkah 3: Buat kunci yang dikelola AWS KMS pelanggan untuk enkripsi Langkah 4: Buat AWS Secrets Manager rahasia untuk kredensi mainframe Langkah 5: Buat kebijakan IAM Langkah 6: Buat pengguna IAM dengan kredensi akses jangka panjang Langkah 7: Buat peran IAM untuk diasumsikan oleh agen Langkah 8: Konfigurasi agen

Konfigurasikan agen Transfer File

Setelah Anda menginstal agen transfer file, ikuti langkah-langkah ini untuk mengonfigurasi agen. Jika Anda perlu menginstal agen baru, ikuti instruksi di Instal agen Transfer File halaman.

Topik

Langkah 1: Konfigurasikan izin dan Mulai Kontrol Tugas (STC)
Langkah 2: Buat ember Amazon S3
Langkah 3: Buat kunci yang dikelola AWS KMS pelanggan untuk enkripsi
Langkah 4: Buat AWS Secrets Manager rahasia untuk kredensi mainframe
Langkah 5: Buat kebijakan IAM
Langkah 6: Buat pengguna IAM dengan kredensi akses jangka panjang
Langkah 7: Buat peran IAM untuk diasumsikan oleh agen
Langkah 8: Konfigurasi agen

Langkah 1: Konfigurasikan izin dan Mulai Kontrol Tugas (STC)

Perbarui dan kirimkan salah satu SYS2.AWS.M2.SAMPLIB(SEC#RACF) (untuk menyiapkan izin RACF) atau SYS2.AWS.M2.SAMPLIB(SEC#TSS) (untuk menyiapkan izin TSS) sesuai dengan instruksi mereka. Anggota ini diciptakan oleh CPY#PDS langkah sebelumnya.

catatan
SYS2.AWS.M2harus diganti dengan kualifikasi tingkat tinggi (HLQ) yang dipilih selama instalasi.
Perbarui ekspor PWD di SYS2.AWS.M2.SAMPLIB(M2AGENT) STC JCL, jika jalur direktori agen Transfer File default () /usr/lpp/aws/m2-agent diubah.
Perbarui PROC sesuai dengan standar situs Anda:
1. Perbarui kartu PROC sesuai kebutuhan instalasi Anda.
2. Perbarui STEPLIB dengan. M2 LOADLIB PDSE ALIAS
3. Edit PWD untuk mengarahkan jalur instalasi agen (hanya ini yang disertakan).
4. Perbarui JAVA_HOME jika diperlukan.
Perbarui dan salin SYS2.AWS.M2.SAMPLIB(M2AGENT) JCL ke SYS1.PROCLIB atau salah satu dari PROCLIBs rangkaian AndaPROCLIB.
Tambahkan SYS2.AWS.M2.LOADLIB ke daftar APF menggunakan perintah berikut:
```
SETPROG APF ADD DSNAME(SYS2.AWS.M2.LOADLIB) SMS
```
Atur grup agen dan pemilik ke agen user/group (M2USER/M 2GROUP). Gunakan perintah berikut di OMVS:
```
chown -R M2USER:M2GROUP $AGENT_DIR/current-version
```
catatan
Edit M2USER dan M2GROUP dengan nama yang Anda gunakan dalam pekerjaan definisi keamanan.

Langkah 2: Buat ember Amazon S3

Transfer File Modernisasi AWS Mainframe memerlukan bucket Amazon S3 perantara sebagai area kerja. Kami merekomendasikan membuat ember khusus untuk ini.

Secara opsional, buat bucket Amazon S3 target baru untuk kumpulan data yang ditransfer. Jika tidak, Anda juga dapat menggunakan bucket Amazon S3 yang ada. Untuk informasi selengkapnya tentang membuat bucket Amazon S3, lihat Membuat bucket.

Langkah 3: Buat kunci yang dikelola AWS KMS pelanggan untuk enkripsi

Untuk membuat kunci terkelola pelanggan di AWS KMS

Buka AWS KMS konsol dihttps://console.aws.amazon.com/kms.
Pilih Kunci terkelola pelanggan di panel navigasi kiri.
Pilih Buat kunci.
Di bawah tombol Configure, pilih Key type as Symmetric, dan Key usage as Encrypt and decrypt. Gunakan konfigurasi default lainnya.
Pilih Berikutnya.
Di Tambahkan label, tambahkan Alias dan deskripsi untuk kunci Anda.
Pilih Berikutnya.
Di bawah Tentukan izin administratif utama, pilih setidaknya satu pengguna IAM dan peran yang mengelola kunci ini.
Pilih Berikutnya.
Secara opsional, di bawah Tentukan izin administratif kunci, pilih setidaknya satu pengguna IAM dan peran yang dapat menggunakan kunci ini.
Pilih Berikutnya.
Di bagian Edit kebijakan kunci, pilih Edit, dan tambahkan sintaks berikut ke kebijakan Kunci. Hal ini memungkinkan layanan Modernisasi AWS Mainframe untuk membaca dan menggunakan kunci ini untuk enkripsi/dekripsi.

penting
Tambahkan pernyataan ke pernyataan yang ada. Jangan mengganti apa yang sudah ada dalam kebijakan.
```
{
    "Sid" : "Enable AWS M2 File Transfer Permissions",
    "Effect" : "Allow",
    "Principal" : {
        "Service" : "m2.amazonaws.com"
    },
    "Action" : [
        "kms:Encrypt",
        "kms:Decrypt"
    ],
   "Resource" : "*"
},
```
Pilih Berikutnya.
Pada halaman Ulasan, periksa semua detailnya, dan pilih Selesai.

Salin dan simpan ARN untuk kunci yang dikelola pelanggan dengan membuka kunci KMS yang baru dibuat. Ini akan digunakan dalam kebijakan nanti.

Langkah 4: Buat AWS Secrets Manager rahasia untuk kredensi mainframe

Kredensi mainframe diperlukan untuk mengakses kumpulan data yang akan ditransfer dan ini harus disimpan sebagai rahasia. AWS Secrets Manager

Untuk membuat AWS Secrets Manager rahasia

Buka konsol manajer Rahasia dihttps://console.aws.amazon.com/secretsmanager.
Pilih Simpan rahasia baru.
Di Pilih jenis Rahasia, pilih Jenis rahasia lainnya.
Gunakan nilai kunci userId untuk userID mainframe yang memiliki akses ke kumpulan data.. Gunakan nilai kunci password untuk bidang kata sandi.
Untuk Kunci Enkripsi, pilih kunci terkelola AWS pelanggan yang dibuat sebelumnya.
Pilih Berikutnya.
Pada halaman Konfigurasi rahasia, berikan nama dan deskripsi.

Pada halaman yang sama, edit izin Sumber Daya, dan gunakan kebijakan sumber daya berikut sehingga layanan Modernisasi AWS Mainframe dapat mengaksesnya.


{
  "Version" : "2012-10-17",
  "Statement" : [ {
    "Effect" : "Allow",
    "Principal" : {
        "Service" : "m2.amazonaws.com"
    },
    "Action" : [ "secretsmanager:GetSecretValue", 
                 "secretsmanager:DescribeSecret" ],
    "Resource" : "*"
  } ]
}

Pilih Simpan untuk menyimpan izin yang diperbarui.
Pilih Berikutnya.
Lewati halaman Konfigurasi rotasi, dan pilih Berikutnya.
Pada halaman Review, periksa semua konfigurasi dan pilih Store untuk menyimpan rahasia.

penting

Kunci userId dan password rahasia peka huruf besar/kecil dan harus dimasukkan seperti yang ditunjukkan.

Langkah 5: Buat kebijakan IAM

Untuk membuat kebijakan baru dengan izin yang diperlukan untuk agen

Buka konsol IAM di https://console.aws.amazon.com/iam.
Pilih Kebijakan di bawah Manajemen akses.
Pilih Buat kebijakan.
Pada halaman Tentukan izin, di bawah Editor kebijakan, beralih dari editor Visual ke editor JSON dan ganti konten dengan templat berikut:


{
"Version": "2012-10-17",
    "Statement": [
        {
         "Sid": "FileTransferAgentSQSReceive",
            "Effect": "Allow",
            "Action": [
                "sqs:DeleteMessage",
                "sqs:ReceiveMessage"
            ],
            "Resource": "arn:aws:sqs:*:111122223333:m2-*-request-queue.fifo"
        },
        {
         "Sid": "FileTransferAgentSQSSend",
            "Effect": "Allow",
            "Action": "sqs:SendMessage",
            "Resource": "arn:aws:sqs:*:111122223333:m2-*-response-queue.fifo"
        },
        {
         "Sid": "FileTransferWorkingS3",
            "Effect": "Allow",
            "Action": "s3:PutObject",
            "Resource": "<file-transfer-endpoint-intermediate-bucket-arn>/*"
        },
        {
         "Sid": "FileTransferAgentKMSDecrypt",
            "Effect": "Allow",
            "Action": "kms:Decrypt",
            "Resource": "<kms-key-arn>"
        }
    ]
}

Ganti 111122223333 ARN di antrean permintaan dan antrean respons dengan akun Anda.

catatan
Ini adalah ARN wildcard yang cocok dengan dua antrian Amazon SQS yang dibuat selama inisialisasi titik akhir transfer data. Setelah membuat titik akhir Transfer File, secara opsional ganti ARN ini dengan nilai aktual dari Amazon SQS.
Ganti file-transfer-endpoint-intermediate-bucket-arn dengan ARN dari bucket transfer yang dibuat sebelumnya. Tinggalkan wildcard “/*” di akhir.
Ganti kms-key-arn dengan ARN dari AWS KMS kunci yang dibuat sebelumnya.
Pilih Berikutnya.
Pada halaman Tinjau dan buat, tambahkan nama dan deskripsi Kebijakan.
Pilih Buat kebijakan.

Langkah 6: Buat pengguna IAM dengan kredensi akses jangka panjang

Buat pengguna IAM yang memungkinkan agen mainframe terhubung ke akun Anda AWS . Agen akan terhubung dengan pengguna ini dan kemudian mengambil peran yang Anda tentukan dengan izin untuk menggunakan respons Amazon SQS dan antrian permintaan dan untuk menyimpan kumpulan data ke bucket Amazon S3.

Untuk membuat pengguna IAM ini

Arahkan ke konsol IAM dihttps://console.aws.amazon.com/iam.
Pilih Pengguna di bawah Manajemen akses.
Pilih Create user (Buat pengguna).
Tambahkan nama Pengguna yang berarti di bawah Detail pengguna. Misalnya, Configure-ft-agent.
Pilih Berikutnya.
Di opsi Izin, pilih opsi Lampirkan kebijakan secara langsung tetapi jangan lampirkan kebijakan izin apa pun. Izin ini akan dikelola oleh peran yang akan dilampirkan.
Pilih Berikutnya.
Tinjau detailnya, dan pilih Buat pengguna.
Setelah pengguna dibuat, pilih user dan buka tab Security credentials.
Di bawah tombol Access, pilih Create Access Key.
Kemudian, pilih Lainnya saat diminta untuk Kasus penggunaan.
Pilih Berikutnya.
Secara opsional, Anda dapat mengatur tag deskripsi seperti,Access key for configuring file transfer agent.
Pilih Buat access key.
Salin, dan simpan kunci Akses yang dihasilkan, dan kunci akses Rahasia dengan aman. Ini akan digunakan nanti.

Untuk informasi selengkapnya tentang membuat kunci akses IAM, lihat Mengelola kunci akses untuk pengguna IAM.

penting

Simpan tombol Akses dan kunci akses Rahasia yang ditampilkan di halaman terakhir panduan pembuatan kunci akses, sebelum memilih Selesai. Kunci ini digunakan untuk mengkonfigurasi agen mainframe, dan tidak dapat diambil nanti.

catatan

Simpan ARN pengguna IAM yang digunakan untuk mengatur hubungan kepercayaan dengan peran IAM.

Langkah 7: Buat peran IAM untuk diasumsikan oleh agen

Untuk membuat peran IAM baru untuk agen

Pilih Peran di konsol IAM dihttps://console.aws.amazon.com/iam.
Pilih Buat peran.
Pada halaman Pilih entitas tepercaya, pilih Kebijakan kepercayaan khusus untuk jenis entitas Tepercaya.

Ganti kebijakan kepercayaan kustom dengan yang berikut ini dan ganti <iam-user-arn> dengan ARN pengguna yang dibuat sebelumnya.


{
    "Version": "2012-10-17",
    "Statement": [ {
         "Sid": "FileTransferAgent",
         "Effect": "Allow",
         "Principal": {
            "AWS": "<IAM-User-arn>"
         },
         "Action": "sts:AssumeRole"
    } ]
}

Pilih Berikutnya.
Di Tambahkan Izin, filter untuk nama Kebijakan yang Anda buat sebelumnya dan pilih.
Pilih Berikutnya.
Beri nama peran, dan pilih Buat Peran.

catatan

Simpan nama peran, yang akan Anda gunakan nanti untuk mengonfigurasi agen mainframe.

Langkah 8: Konfigurasi agen

Untuk mengkonfigurasi agen Transfer File

Navigasi ke $AGENT_DIR/current-version/config.
Edit file konfigurasi agen appication.properties untuk menambahkan konfigurasi lingkungan menggunakan perintah berikut:
```
oedit $AGENT_DIR/current-version/config/application.properties
```
Sebagai contoh:
```
agent.environments[0].account-id=<AWS_ACCOUNT_ID>
agent.environments[0].agent-role-name=<AWS_IAM_ROLE_NAME>
agent.environments[0].access-key-id=<AWS_IAM_ROLE_ACCESS_KEY>
agent.environments[0].secret-access-id=<AWS_IAM_ROLE_SECRET_KEY>
agent.environments[0].bucket-name=<AWS_S3_BUCKET_NAME>
agent.environments[0].environment-name=<AWS_REGION>
agent.environments[0].region=<AWS_REGION>
zos.complex-name=<File_Transfer_Endpoint_Name>
```
Di mana:
- AWS_ACCOUNT_IDadalah ID AWS akun.
- AWS_IAM_ROLE_NAMEadalah nama peran IAM yang dibuat di. Langkah 7: Buat peran IAM untuk diasumsikan oleh agen
- AWS_IAM_ROLE_ACCESS_KEYadalah kunci akses pengguna IAM yang dibuat diLangkah 6: Buat pengguna IAM dengan kredensi akses jangka panjang.
- AWS_IAM_ROLE_SECRET_KEYadalah kunci rahasia akses untuk pengguna IAM yang dibuat diLangkah 6: Buat pengguna IAM dengan kredensi akses jangka panjang.
- AWS_S3_BUCKET_NAMEadalah nama bucket transfer yang dibuat dengan titik akhir transfer data.
- AWS_REGIONadalah wilayah di mana Anda mengkonfigurasi agen Transfer File.
  
  catatan
  Anda dapat meminta transfer agen Transfer File ke beberapa wilayah dan akun AWS dengan mendefinisikan beberapa lingkungan.
- (Opsional). zos.complex-nameadalah nama kompleks yang Anda buat saat membuat titik akhir Transfer File.
  
  catatan
  Bidang ini diperlukan hanya jika Anda ingin menyesuaikan nama kompleks (yang default ke nama sysplex Anda) yang sama seperti yang Anda tentukan saat membuat titik akhir Transfer File Anda. Untuk informasi selengkapnya, lihat Buat titik akhir transfer data untuk Transfer File.
penting
Mungkin ada beberapa bagian seperti itu, selama indeks dalam tanda kurung — [0] — bertambah untuk masing-masing.

Anda harus me-restart agen agar perubahan diterapkan.

Persyaratan

Ketika parameter ditambahkan atau dihapus, agen harus dihentikan dan dimulai. Mulai agen transfer File menggunakan perintah berikut di CLI:
```
/S M2AGENT
```
Untuk menghentikan agen M2, gunakan perintah berikut di CLI:
```
/P M2AGENT
```

Anda dapat memiliki agen Transfer File yang dikonfigurasi untuk mentransfer data ke beberapa wilayah dan akun AWS dengan menentukan entri lingkungan.

catatan

Ganti nilai dengan nilai parameter yang Anda buat dan konfigurasikan sebelumnya.


#Region 1
agent.environments[0].account-id=AWS_ACCOUNT_ID
agent.environments[0].agent-role-name=AWS_IAM_ROLE_NAME
agent.environments[0].access-key-id=AWS_IAM_ROLE_ACCESS_KEY
agent.environments[0].secret-access-id=AWS_IAM_ROLE_SECRET_KEY
agent.environments[0].bucket-name=AWS_S3_BUCKET_NAME
agent.environments[0].environment-name=AWS_REGION
agent.environments[0].region=AWS_REGION

#Region 2
agent.environments[1].account-id=AWS_ACCOUNT_ID
agent.environments[1].agent-role-name=AWS_IAM_ROLE_NAME
agent.environments[1].access-key-id=AWS_IAM_ROLE_ACCESS_KEY
agent.environments[1].secret-access-id=AWS_IAM_ROLE_SECRET_KEY
agent.environments[1].bucket-name=AWS_S3_BUCKET_NAME
agent.environments[1].environment-name=AWS_REGION
agent.environments[1].region=AWS_REGION

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Instal agen Transfer File

Buat titik akhir transfer data