ファイル転送エージェントを設定する - AWS メインフレームのモダナイゼーション
ステップ 1: アクセス許可と開始されたタスクコントロールを設定する (STC)ステップ 2: Amazon S3 バケットを作成するステップ 3: 暗号化用の AWS KMS カスタマーマネージドキーを作成するステップ 4: メインフレーム認証情報の AWS Secrets Manager シークレットを作成するステップ 5: IAMポリシーを作成するステップ 6: 長期的なアクセス認証情報を持つIAMユーザーを作成するステップ 7: エージェントが引き受ける IAMロールを作成するステップ 8: エージェント設定

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ファイル転送エージェントを設定する

ファイル転送エージェントをインストールしたら、次のステップに従ってエージェントを設定します。新しいエージェントをインストールする必要がある場合は、ファイル転送エージェントのインストール「」ページの手順に従ってください。

ステップ 1: アクセス許可と開始されたタスクコントロールを設定する (STC)

  1. 指示に従って、 SYS2.AWS.M2.SAMPLIB(SEC#RACF) (RACFアクセス許可の設定用) または SYS2.AWS.M2.SAMPLIB(SEC#TSS) (TSSアクセス許可の設定用) のいずれかを更新して送信します。これらのメンバーは前の CPY#PDS ステップで作成されたものです。

    注記

    SYS2.AWS.M2 は、インストール中に選択された高レベルの修飾子 (HLQ) です。

  2. デフォルトのファイル転送エージェントのディレクトリ path(/usr/lpp/aws/m2-agent) SYS2.AWS.M2.SAMPLIB(M2AGENT) STC が変更された場合はJCL、 でPWDエクスポートを更新します。

  3. を更新して にコピーSYS2.AWS.M2.SAMPLIB(M2AGENT)JCLしますSYS1.PROCLIB

  4. 次のコマンドを使用して をAPFリストSYS2.AWS.M2.LOADLIBに追加します。

    SETPROG APF ADD DSNAME(SYS2.AWS.M2.LOADLIB) SMS

  5. エージェントlogsdiagフォルダのグループと所有者をエージェントユーザー/グループ (M2USER/M2) に設定しますGROUP。以下のコマンドを使用します。

    chown -R M2USER:M2GROUP $AGENT_DIR/current-version/logs
chown -R M2USER:M2GROUP $AGENT_DIR/current-version/diag

ステップ 2: Amazon S3 バケットを作成する

AWS Mainframe Modernization ファイル転送には、作業領域として中間 Amazon S3 バケットが必要です。これ専用のバケットを作成することをお勧めします。

必要に応じて、転送されたデータセットの新しいターゲット Amazon S3 バケットを作成します。それ以外の場合は、既存の Amazon S3 バケットを使用することもできます。Amazon S3 バケットの作成の詳細については、「バケットの作成」を参照してください。

ステップ 3: 暗号化用の AWS KMS カスタマーマネージドキーを作成する

でカスタマーマネージドキーを作成するには AWS KMS

  1. で AWS KMS コンソールを開きますhttps://console.aws.amazon.com/kms

  2. 左のナビゲーションペインでカスタマーマネージドキーを選択します。

  3. [Create key] (キーの作成) を選択します。

  4. 「キーの設定」で、「キータイプ」を対称 として、「キーの使用法」を暗号化および復号 として選択します。他のデフォルト設定を使用します。

  5. 「ラベルの追加」で、キーのエイリアスと説明を追加します。

  6. [Next (次へ)] を選択します。

  7. 「キー管理アクセス許可の定義」で、このキーを管理するIAMユーザーとロールを少なくとも 1 人選択します。

  8. [Next (次へ)] を選択します。

  9. レビューページで、キーポリシー に次の構文を追加します。これにより、 AWS Mainframe Modernization サービスはこれらのキーを読み取って暗号化/復号化に使用できます。

    重要

    ステートメントを既存のステートメントに追加します。ポリシーにすでに存在するものを置き換えないでください。

    {
    "Sid" : "Enable AWS M2 File Transfer Permissions",
    "Effect" : "Allow",
    "Principal" : {
        "Service" : "m2.amazonaws.com"
    },
    "Action" : [
        "kms:Encrypt",
        "kms:Decrypt"
    ],
   "Resource" : "*"
},

作成したら、カスタマーマネージドキーARNの を保存します。これは後でポリシーで使用されます。

ステップ 4: メインフレーム認証情報の AWS Secrets Manager シークレットを作成する

転送するデータセットにアクセスするにはメインフレーム認証情報が必要であり、これらは AWS Secrets Manager シークレットとして保存する必要があります。

AWS Secrets Manager シークレットを作成するには

  1. で Secrets Manager コンソールを開きますhttps://console.aws.amazon.com/secretsmanager

  2. 「シークレットタイプを選択」で、「その他のタイプのシークレット」を選択します。

  3. データセット userId にアクセスできるメインフレームのキー値userIdを使用します。

  4. パスワードフィールドにキー値passwordを使用します。

  5. 暗号化キー で、前に作成した AWS カスタマーマネージドキーを選択します。

  6. [Next (次へ)] を選択します。

  7. シークレットの設定ページで、名前と説明を入力します。

  8. 同じページで、リソースアクセス許可 を編集し、 Mainframe Modernization AWS サービスがアクセスできるように次のリソースポリシーを使用します。

    {
  "Version" : "2012-10-17",
  "Statement" : [ {
    "Effect" : "Allow",
    "Principal" : {
        "Service" : "m2.amazonaws.com"
    },
    "Action" : [ "secretsmanager:GetSecretValue", 
                 "secretsmanager:DescribeSecret" ],
    "Resource" : "*"
  } ]
}

  9. 保存 を選択して更新されたアクセス許可を保存してから、次へ を選択します。

  10. 「ローテーションの設定」ページをスキップし、「次へ」を選択します。

  11. 確認ページで、すべての設定を確認し、保存を選択してシークレットを保存します。

重要

userId シーpasswordクレットキーと シークレットキーでは大文字と小文字が区別されるため、次のように入力する必要があります。

ステップ 5: IAMポリシーを作成する

エージェントに必要なアクセス許可を持つ新しいポリシーを作成するには

  1. ビジュアルエディタからJSONエディタに切り替え、内容を次のテンプレートに置き換えます。

    {
"Version": "2012-10-17",
    "Statement": [
        {
         "Sid": "FileTransferAgentSQSReceive",
            "Effect": "Allow",
            "Action": [
                "sqs:DeleteMessage",
                "sqs:ReceiveMessage"
            ],
            "Resource": "arn:aws:sqs:*:111122223333:m2-*-request-queue.fifo"
        },
        {
         "Sid": "FileTransferAgentSQSSend",
            "Effect": "Allow",
            "Action": "sqs:SendMessage",
            "Resource": "arn:aws:sqs:*:111122223333:m2-*-response-queue.fifo"
        },
        {
         "Sid": "FileTransferWorkingS3",
            "Effect": "Allow",
            "Action": "s3:PutObject",
            "Resource": "<file-transfer-endpoint-intermediate-bucket-arn>/*"
        },
        {
         "Sid": "FileTransferAgentKMSDecrypt",
            "Effect": "Allow",
            "Action": "kms:Decrypt",
            "Resource": "<kms-key-arn>"
        }
    ]
}

  2. request111122223333-queue と response-queue ARNの を自分のアカウントに置き換えます。

    注記

    これらは、データ転送エンドポイントの初期化中に作成された 2 つの Amazon SQSキューと一致するワイルドカード ARNの です。ファイル転送エンドポイントを作成したら、オプションでこれらの ARNの を Amazon の実際の値に置き換えますSQS。

  3. を、前に作成した転送バケットARNの file-transfer-endpoint-intermediate-bucket-arnに置き換えます。最後に「/*」ワイルドカードを残します。

  4. を、前に作成した AWS KMS キーARNの kms-key-arnに置き換えます。

ステップ 6: 長期的なアクセス認証情報を持つIAMユーザーを作成する

メインフレームエージェントが AWS アカウントに接続できるようにする IAM ユーザーを作成します。エージェントはこのユーザーに接続し、Amazon SQSレスポンスキューとリクエストキューを使用し、データセットを Amazon S3 バケットに保存するためのアクセス許可で定義したロールを引き受けます。

このIAMユーザーを作成するには

  1. AWS IAM でコンソールに移動しますhttps://console.aws.amazon.com/iam

  2. 「アクセス許可」オプションで、「ポリシーを直接アタッチする」オプションを選択します。ただし、アクセス許可ポリシーはアタッチしないでください。これらのアクセス許可は、アタッチされるロールによって管理されます。

  3. ユーザーを作成したら、ユーザーを選択し、セキュリティ認証情報タブを開きます。

  4. アクセスキーの作成 で、ユースケース の入力を求められたらその他を選択します。

  5. 生成されたアクセスキー シークレットアクセスキー をコピーして安全に保存します。これらは後で使用されます。

IAM アクセスキーの作成の詳細については、IAM「ユーザーのアクセスキーの管理」を参照してください。

重要

[完了] をクリックする前に、アクセスキー作成ウィザードの最後のページに表示されるアクセスキーシークレットアクセスキーを保存します。これらのキーはメインフレームエージェントの設定に使用されます。

注記

IAM ロールとの信頼関係の設定ARNに使用したIAMユーザーを保存します。

ステップ 7: エージェントが引き受ける IAMロールを作成する

エージェントの新しいIAMロールを作成するには

  1. でIAMコンソールでロールを選択しますhttps://console.aws.amazon.com/iam

  2. [ロールの作成] を選択します。

  3. 「信頼できるエンティティを選択」ページで、「信頼できるエンティティタイプ」のカスタム信頼ポリシーを選択します。

  4. カスタム信頼ポリシーを以下に置き換え、 を前に作成したユーザーの <iam-user-arn> に置き換えARNます。

    {
    "Version": "2012-10-17",
    "Statement": [ {
         "Sid": "FileTransferAgent",
         "Effect": "Allow",
         "Principal": {
            "AWS": "<IAM-User-arn>"
         },
         "Action": "sts:AssumeRole"
    } ]
}

  5. [Next (次へ)] を選択します。

  6. アクセス許可の追加 で、前に作成したポリシー名をフィルタリングして選択します。

  7. [Next (次へ)] を選択します。

  8. ロールに名前を付け、ロールの作成 を選択します。

注記

ロール名を保存します。この名前は後でメインフレームエージェントを設定するときに使用します。

ステップ 8: エージェント設定

ファイル転送エージェントを設定するには

  1. $AGENT_DIR/current-version/config に移動します。

  2. 以下のコマンドを使用して、エージェントの設定ファイル appication.properties を編集し、環境設定を追加します。

    oedit $AGENT_DIR/current-version/config/application.properties

    例:

    agent.environments[0].account-id=<AWS_ACCOUNT_ID>
agent.environments[0].agent-role-name=<AWS_IAM_ROLE_NAME>
agent.environments[0].access-key-id=<AWS_IAM_ROLE_ACCESS_KEY>
agent.environments[0].secret-access-id=<AWS_IAM_ROLE_SECRET_KEY>
agent.environments[0].bucket-name=<AWS_S3_BUCKET_NAME>
agent.environments[0].environment-name=<AWS_REGION>
agent.environments[0].region=<AWS_REGION>
zos.complex-name=<File_Transfer_Endpoint_Name>

    コードの説明は以下のとおりです。

    重要

    括弧 — [0] — 内のインデックスが 1 つずつ増えていれば、このようなセクションが複数あっても構いません。

変更を有効にするには、エージェントを再起動する必要があります。

要件

  1. パラメータを追加または削除したら、エージェントを停止して起動する必要があります。で次のコマンドを使用して、ファイル転送エージェントを起動しますCLI。

    /S M2AGENT

    M2 エージェントを停止するには、 で次のコマンドを使用しますCLI。

    /P M2AGENT

  2. 複数の環境を定義 AWS することで、ファイル転送エージェントを の複数のリージョンとアカウントに移管できます。

    注記

    値を、以前に作成して設定したパラメータ値に置き換えます。

    #Region 1
agent.environments[0].account-id=AWS_ACCOUNT_ID
agent.environments[0].agent-role-name=AWS_IAM_ROLE_NAME
agent.environments[0].access-key-id=AWS_IAM_ROLE_ACCESS_KEY
agent.environments[0].secret-access-id=AWS_IAM_ROLE_SECRET_KEY
agent.environments[0].bucket-name=AWS_S3_BUCKET_NAME
agent.environments[0].environment-name=AWS_REGION
agent.environments[0].region=AWS_REGION

#Region 2
agent.environments[1].account-id=AWS_ACCOUNT_ID
agent.environments[1].agent-role-name=AWS_IAM_ROLE_NAME
agent.environments[1].access-key-id=AWS_IAM_ROLE_ACCESS_KEY
agent.environments[1].secret-access-id=AWS_IAM_ROLE_SECRET_KEY
agent.environments[1].bucket-name=AWS_S3_BUCKET_NAME
agent.environments[1].environment-name=AWS_REGION
agent.environments[1].region=AWS_REGION