Passaggio 1: Configurazione delle autorizzazioni e avvio di Task Control () STC Fase 2: creazione di bucket Amazon S3 Fase 3: Creare una chiave di crittografia gestita AWS KMS dal cliente Fase 4: Creare un AWS Secrets Manager segreto per le credenziali del mainframe Fase 5: Creare una politica IAM Passaggio 6: Creare un IAM utente con credenziali di accesso a lungo termine Fase 7: Creare un IAM ruolo che l'agente deve assumere Fase 8: Configurazione dell'agente

Configurare un agente di trasferimento file

Dopo aver installato un agente di trasferimento file, segui questi passaggi per configurare l'agente. Se devi installare un nuovo agente, segui le istruzioni riportate nella Installare un agente di trasferimento file pagina.

Argomenti

Passaggio 1: Configurazione delle autorizzazioni e avvio di Task Control () STC
Fase 2: creazione di bucket Amazon S3
Fase 3: Creare una chiave di crittografia gestita AWS KMS dal cliente
Fase 4: Creare un AWS Secrets Manager segreto per le credenziali del mainframe
Fase 5: Creare una politica IAM
Passaggio 6: Creare un IAM utente con credenziali di accesso a lungo termine
Fase 7: Creare un IAM ruolo che l'agente deve assumere
Fase 8: Configurazione dell'agente

Passaggio 1: Configurazione delle autorizzazioni e avvio di Task Control () STC

Aggiorna e invia uno dei seguenti SYS2.AWS.M2.SAMPLIB(SEC#RACF) (per la configurazione delle RACF autorizzazioni) o SYS2.AWS.M2.SAMPLIB(SEC#TSS) (per l'impostazione TSS delle autorizzazioni) in base alle relative istruzioni. Questi membri sono stati creati nel passaggio precedenteCPY#PDS.

Nota
SYS2.AWS.M2è il qualificatore di alto livello (HLQ) scelto durante l'installazione.
Aggiorna l'PWDesportazione in SYS2.AWS.M2.SAMPLIB(M2AGENT) STCJCL, se il percorso di directory predefinito dell'agente File Transfer (/usr/lpp/aws/m2-agent) è stato modificato.
Aggiorna e copia il file SYS2.AWS.M2.SAMPLIB(M2AGENT) JCL inSYS1.PROCLIB.
Aggiungete SYS2.AWS.M2.LOADLIB all'APFelenco utilizzando il seguente comando:
```
SETPROG APF ADD DSNAME(SYS2.AWS.M2.LOADLIB) SMS
```
Imposta il gruppo logs e il proprietario dell'agente e diag delle cartelle sull'utente/gruppo dell'agente (M2/M2). USER GROUP Utilizza il seguente comando:
```
chown -R M2USER:M2GROUP $AGENT_DIR/current-version/logs
chown -R M2USER:M2GROUP $AGENT_DIR/current-version/diag
```

Fase 2: creazione di bucket Amazon S3

AWSIl trasferimento di file per la modernizzazione del mainframe richiede un bucket Amazon S3 intermedio come area di lavoro. Ti consigliamo di creare un bucket specifico per questo scopo.

Facoltativamente, crea un nuovo bucket Amazon S3 di destinazione per i set di dati trasferiti. Altrimenti puoi anche usare il tuo bucket Amazon S3 esistente. Per ulteriori informazioni sulla creazione di bucket Amazon S3, consulta Creazione di un bucket.

Fase 3: Creare una chiave di crittografia gestita AWS KMS dal cliente

Per creare una chiave gestita dal cliente in AWS KMS

Apri la AWS KMS console all'indirizzohttps://console.aws.amazon.com/kms.
Scegli Customer managed keys nel riquadro di navigazione a sinistra.
Scegliere Create key (Crea chiave).
In Configura chiave, scegli Tipo di chiave come simmetrico e Utilizzo della chiave come crittografia e decrittografia. Usa altre configurazioni predefinite.
In Aggiungi etichette, aggiungi alias e descrizione per la tua chiave.
Scegli Next (Successivo).
In Definisci le autorizzazioni amministrative chiave, scegli almeno un IAM utente e un ruolo che amministra questa chiave.
Scegli Next (Successivo).
Nella pagina Revisione, aggiungi la seguente sintassi alla politica Key. Ciò consente al servizio AWS Mainframe Modernization di leggere e utilizzare queste chiavi per la crittografia/decrittografia.

Importante
Aggiungere l'istruzione alle istruzioni esistenti. Non sostituire ciò che è già contenuto nella politica.
```
{
    "Sid" : "Enable AWS M2 File Transfer Permissions",
    "Effect" : "Allow",
    "Principal" : {
        "Service" : "m2.amazonaws.com"
    },
    "Action" : [
        "kms:Encrypt",
        "kms:Decrypt"
    ],
   "Resource" : "*"
},
```

Salva la chiave ARN per la chiave gestita dal cliente una volta creata. Verrà utilizzata nella politica in un secondo momento.

Fase 4: Creare un AWS Secrets Manager segreto per le credenziali del mainframe

Le credenziali del mainframe sono necessarie per accedere ai set di dati da trasferire e queste devono essere archiviate come segrete. AWS Secrets Manager

Per creare un segreto AWS Secrets Manager

Apri la console di gestione di Secrets all'indirizzohttps://console.aws.amazon.com/secretsmanager.
In Scegli il tipo di segreto, scegli Altro tipo di segreto.
Usa il valore chiave userId per il mainframe userId che ha accesso ai set di dati.
Utilizzate il valore chiave password per il campo della password.
Per la chiave di crittografia, scegli la chiave gestita AWS dal cliente creata in precedenza.
Scegli Next (Successivo).
Nella pagina Configura segreto, fornisci un nome e una descrizione.

Nella stessa pagina, modifica le autorizzazioni delle risorse e utilizza la seguente politica delle risorse in modo che il servizio di modernizzazione del AWS mainframe possa accedervi.


{
  "Version" : "2012-10-17",
  "Statement" : [ {
    "Effect" : "Allow",
    "Principal" : {
        "Service" : "m2.amazonaws.com"
    },
    "Action" : [ "secretsmanager:GetSecretValue", 
                 "secretsmanager:DescribeSecret" ],
    "Resource" : "*"
  } ]
}

Scegli Salva per salvare le autorizzazioni aggiornate prima di scegliere Avanti.
Passa alla pagina Configura le rotazioni e scegli Avanti.
Nella pagina Revisione, controlla tutte le configurazioni e scegli Store per salvare il segreto.

Importante

Le userId chiavi password segrete fanno distinzione tra maiuscole e minuscole e devono essere immesse come mostrato.

Fase 5: Creare una politica IAM

Per creare una nuova politica con le autorizzazioni richieste per l'agente

Passa dall'editor visuale all'JSONeditor e sostituisci i contenuti con il seguente modello:


{
"Version": "2012-10-17",
    "Statement": [
        {
         "Sid": "FileTransferAgentSQSReceive",
            "Effect": "Allow",
            "Action": [
                "sqs:DeleteMessage",
                "sqs:ReceiveMessage"
            ],
            "Resource": "arn:aws:sqs:*:111122223333:m2-*-request-queue.fifo"
        },
        {
         "Sid": "FileTransferAgentSQSSend",
            "Effect": "Allow",
            "Action": "sqs:SendMessage",
            "Resource": "arn:aws:sqs:*:111122223333:m2-*-response-queue.fifo"
        },
        {
         "Sid": "FileTransferWorkingS3",
            "Effect": "Allow",
            "Action": "s3:PutObject",
            "Resource": "<file-transfer-endpoint-intermediate-bucket-arn>/*"
        },
        {
         "Sid": "FileTransferAgentKMSDecrypt",
            "Effect": "Allow",
            "Action": "kms:Decrypt",
            "Resource": "<kms-key-arn>"
        }
    ]
}

Sostituisci 111122223333 quelli presenti nella coda di richiesta e nella coda di risposta con il tuo accountARN.

Nota
Si tratta di caratteri ARN jolly che corrispondono alle due SQS code Amazon create durante l'inizializzazione dell'endpoint di trasferimento dati. Dopo aver creato un endpoint File Transfer, puoi facoltativamente sostituirlo con i valori effettivi di Amazon. ARN SQS
Sostituisci file-transfer-endpoint-intermediate-bucket-arn con il bucket ARN di trasferimento creato in precedenza. Lascia il carattere jolly «/*» alla fine.
kms-key-arnSostituiscilo con quello ARN della AWS KMS chiave creata in precedenza.

Passaggio 6: Creare un IAM utente con credenziali di accesso a lungo termine

Crea un IAM utente che consenta all'agente mainframe di connettersi al tuo AWS account. L'agente si connetterà con questo utente e quindi assumerà un ruolo da te definito con le autorizzazioni per utilizzare le code di SQS risposta e richiesta di Amazon e per salvare i set di dati nei bucket Amazon S3.

Per creare questo utente IAM

Vai alla AWS IAM console all'indirizzohttps://console.aws.amazon.com/iam.
Nelle opzioni di autorizzazione, scegli l'opzione Allega direttamente le politiche ma non allegare alcuna politica di autorizzazione. Queste autorizzazioni saranno gestite da un ruolo che verrà allegato.
Una volta creato l'utente, scegli l'utente e apri la scheda Credenziali di sicurezza.
In Crea chiave di accesso, scegli Altro quando richiesto per il caso d'uso.
Copia e salva in modo sicuro la chiave di accesso generata e la chiave di accesso segreta. Queste verranno utilizzate in seguito.

Per ulteriori informazioni sulla creazione della chiave di IAM accesso, vedere Gestione delle chiavi di accesso per IAM gli utenti.

Importante

Salva la chiave di accesso e la chiave di accesso segreta visualizzate nell'ultima pagina della procedura guidata per la creazione delle chiavi di accesso, prima di scegliere Fine. Queste chiavi vengono utilizzate per configurare l'agente mainframe.

Nota

Salva l'IAMutente ARN utilizzato per impostare una relazione di fiducia con un IAM ruolo.

Fase 7: Creare un IAM ruolo che l'agente deve assumere

Per creare un nuovo IAM ruolo per l'agente

Scegli Ruoli nella IAM console all'indirizzohttps://console.aws.amazon.com/iam.
Scegliere Crea ruolo.
Nella pagina Seleziona entità attendibile, scegli Criteri di attendibilità personalizzati per il tipo di entità attendibile.

Sostituisci la politica di fiducia personalizzata con la seguente e sostituiscila <iam-user-arn> con quella ARN dell'utente creata in precedenza.


{
    "Version": "2012-10-17",
    "Statement": [ {
         "Sid": "FileTransferAgent",
         "Effect": "Allow",
         "Principal": {
            "AWS": "<IAM-User-arn>"
         },
         "Action": "sts:AssumeRole"
    } ]
}

Scegli Next (Successivo).
In Aggiungi autorizzazioni, filtra in base al nome della politica che hai creato in precedenza e selezionalo.
Scegli Next (Successivo).
Assegna un nome al ruolo e scegli Crea ruolo.

Nota

Salva il nome del ruolo, che utilizzerai in seguito per configurare l'agente mainframe.

Fase 8: Configurazione dell'agente

Per configurare l'agente File Transfer

Accedi a $AGENT_DIR/current-version/config.
Modifica il file di configurazione dell'agente appication.properties per aggiungere una configurazione degli ambienti utilizzando il seguente comando:
```
oedit $AGENT_DIR/current-version/config/application.properties
```
Per esempio:
```
agent.environments[0].account-id=<AWS_ACCOUNT_ID>
agent.environments[0].agent-role-name=<AWS_IAM_ROLE_NAME>
agent.environments[0].access-key-id=<AWS_IAM_ROLE_ACCESS_KEY>
agent.environments[0].secret-access-id=<AWS_IAM_ROLE_SECRET_KEY>
agent.environments[0].bucket-name=<AWS_S3_BUCKET_NAME>
agent.environments[0].environment-name=<AWS_REGION>
agent.environments[0].region=<AWS_REGION>
zos.complex-name=<File_Transfer_Endpoint_Name>
```
Dove:
- AWS_ACCOUNT_IDè l'ID dell' AWS account.
- AWS_IAM_ROLE_NAMEè il nome del IAM ruolo creato inFase 7: Creare un IAM ruolo che l'agente deve assumere.
- AWS_IAM_ROLE_ACCESS_KEYè la chiave di accesso dell'IAMutente creata inPassaggio 6: Creare un IAM utente con credenziali di accesso a lungo termine.
- AWS_IAM_ROLE_SECRET_KEYè la chiave segreta di accesso per l'IAMutente creata inPassaggio 6: Creare un IAM utente con credenziali di accesso a lungo termine.
- AWS_S3_BUCKET_NAMEè il nome del bucket di trasferimento creato con l'endpoint di trasferimento dati.
- AWS_REGIONè la regione in cui si configura l'agente File Transfer.
  
  Nota
  È possibile fare in modo che l'agente File Transfer venga trasferito su più regioni e account AWS definendo più ambienti.
- (Facoltativo). zos.complex-nameè il nome complesso che hai creato durante la creazione di un endpoint File Transfer.
  
  Nota
  Questo campo è necessario solo se desideri personalizzare il nome complesso (che per impostazione predefinita è il nome sysplex) che è lo stesso che hai definito durante la creazione dell'endpoint File Transfer. Per ulteriori informazioni, consulta Crea endpoint di trasferimento dati per File Transfer.
Importante
Possono esserci diverse sezioni di questo tipo, purché l'indice tra parentesi — [0] sia incrementato per ciascuna di esse.

È necessario riavviare l'agente per rendere effettive le modifiche.

Requisiti

Quando un parametro viene aggiunto o rimosso, l'agente deve essere arrestato e avviato. Avviate l'agente di trasferimento file utilizzando il seguente comando inCLI:
```
/S M2AGENT
```
Per arrestare l'agente M2, utilizzare il seguente comando inCLI:
```
/P M2AGENT
```

È possibile fare in modo che l'agente File Transfer venga trasferito su più regioni e account AWS definendo più ambienti.

Nota

Sostituisci i valori con i valori dei parametri che hai creato e configurato in precedenza.


#Region 1
agent.environments[0].account-id=AWS_ACCOUNT_ID
agent.environments[0].agent-role-name=AWS_IAM_ROLE_NAME
agent.environments[0].access-key-id=AWS_IAM_ROLE_ACCESS_KEY
agent.environments[0].secret-access-id=AWS_IAM_ROLE_SECRET_KEY
agent.environments[0].bucket-name=AWS_S3_BUCKET_NAME
agent.environments[0].environment-name=AWS_REGION
agent.environments[0].region=AWS_REGION

#Region 2
agent.environments[1].account-id=AWS_ACCOUNT_ID
agent.environments[1].agent-role-name=AWS_IAM_ROLE_NAME
agent.environments[1].access-key-id=AWS_IAM_ROLE_ACCESS_KEY
agent.environments[1].secret-access-id=AWS_IAM_ROLE_SECRET_KEY
agent.environments[1].bucket-name=AWS_S3_BUCKET_NAME
agent.environments[1].environment-name=AWS_REGION
agent.environments[1].region=AWS_REGION

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Installa un agente di trasferimento file

Crea endpoint per il trasferimento dei dati