ファイル転送エージェントを設定する

フォーカスモード

ファイル転送エージェントを設定する - AWS Mainframe Modernization

ステップ 1: アクセス許可と開始タスクコントロール (STC) を設定するステップ 2: Amazon S3 バケットを作成するステップ 3: 暗号化用の AWS KMS カスタマーマネージドキーを作成するステップ 4: メインフレーム認証情報の AWS Secrets Manager シークレットを作成するステップ 5: IAM ポリシーを作成するステップ 6: 長期アクセス認証情報を使用して IAM ユーザーを作成するステップ 7: エージェントが引き受ける IAM ロールを作成するステップ 8: エージェントを設定する

ファイル転送エージェントをインストールしたら、次のステップに従ってエージェントを設定します。新しいエージェントをインストールする必要がある場合は、「ファイル転送エージェントのインストール」ページの手順に従ってください。

トピック

ステップ 1: アクセス許可と開始タスクコントロール (STC) を設定する
ステップ 2: Amazon S3 バケットを作成する
ステップ 3: 暗号化用の AWS KMS カスタマーマネージドキーを作成する
ステップ 4: メインフレーム認証情報の AWS Secrets Manager シークレットを作成する
ステップ 5: IAM ポリシーを作成する
ステップ 6: 長期アクセス認証情報を使用して IAM ユーザーを作成する
ステップ 7: エージェントが引き受ける IAM ロールを作成する
ステップ 8: エージェントを設定する

ステップ 1: アクセス許可と開始タスクコントロール (STC) を設定する

指示に従って SYS2.AWS.M2.SAMPLIB(SEC#RACF) (RACF アクセス許可の設定用) または SYS2.AWS.M2.SAMPLIB(SEC#TSS) (TSS アクセス許可の設定用) のいずれかを更新して送信します。これらのメンバーは前の CPY#PDS ステップで作成されたものです。

注記
SYS2.AWS.M2 は、インストール時に選択した高レベル修飾子 (HLQ) に置き換える必要があります。
デフォルトのファイル転送エージェントディレクトリパス (/usr/lpp/aws/m2-agent) が変更された場合は、SYS2.AWS.M2.SAMPLIB(M2AGENT) STC JCL の PWD エクスポートを更新します。
サイトの標準に従って PROC を更新します。
1. インストール要件に従って PROC カードを更新します。
2. で STEPLIB を更新しますM2 LOADLIB PDSE ALIAS。
3. PWD を編集して、エージェントのインストールパスをポイントします (これのみが含まれます）。
4. 必要に応じて更新JAVA_HOMEします。
SYS2.AWS.M2.SAMPLIB(M2AGENT) JCL を更新して、PROCLIB連結内の SYS1.PROCLIBまたは PROCLIBsのいずれかにコピーします。
以下のコマンドを使用して、APF リストに SYS2.AWS.M2.LOADLIB を追加します。
```
SETPROG APF ADD DSNAME(SYS2.AWS.M2.LOADLIB) SMS
```
エージェントのグループと所有者をエージェントユーザー/グループ (M2USER/M2GROUP) に設定します。OMVS で次のコマンドを使用します。
```
chown -R M2USER:M2GROUP $AGENT_DIR/current-version
```
注記
セキュリティ定義ジョブで使用した名前で M2USER と M2GROUP を編集します。

ステップ 2: Amazon S3 バケットを作成する

AWS Mainframe Modernization File Transfer には、作業領域として中間 Amazon S3 バケットが必要です。これ専用のバケットを作成することをお勧めします。

必要に応じて、転送されたデータセットの新しいターゲット Amazon S3 バケットを作成します。それ以外の場合は、既存の Amazon S3 バケットを使用することもできます。Amazon S3 バケットの作成については、「バケットを作成する」を参照してください。

ステップ 3: 暗号化用の AWS KMS カスタマーマネージドキーを作成する

でカスタマーマネージドキーを作成するには AWS KMS

で AWS KMS コンソールを開きますhttps://console.aws.amazon.com/kms。
左のナビゲーションペインで、[カスタマーマネージドキー] を選択します。
[Create key] (キーの作成) を選択します。
「キーの設定」で、キータイプを対称として、キーの使用法を暗号化および復号として選択します。他のデフォルト設定を使用します。
[Next (次へ)] を選択します。
[ラベルを追加] で、キーのエイリアスと説明を追加します。
[Next (次へ)] を選択します。
[キー管理アクセス許可の定義] で、このキーを管理する IAM ユーザーとロールを少なくとも 1 つ選択します。
[Next (次へ)] を選択します。
必要に応じて、キー管理アクセス許可の定義で、このキーを使用できる IAM ユーザーとロールを少なくとも 1 人選択します。
[Next (次へ)] を選択します。
「キーポリシーの編集」セクションで「編集」を選択し、キーポリシーに次の構文を追加します。これにより、 AWS Mainframe Modernization サービスはこれらのキーを読み取って暗号化/復号に使用できます。

重要
ステートメントを既存のステートメントに追加します。ポリシーにすでにあるものを置き換えないでください。
```
{
    "Sid" : "Enable AWS M2 File Transfer Permissions",
    "Effect" : "Allow",
    "Principal" : {
        "Service" : "m2.amazonaws.com"
    },
    "Action" : [
        "kms:Encrypt",
        "kms:Decrypt"
    ],
   "Resource" : "*"
},
```
[Next (次へ)] を選択します。
レビューページで、すべての詳細を確認し、完了を選択します。

新しく作成した KMS キーを開いて、カスタマーマネージドキーの ARN をコピーして保存します。これは後でポリシーで使用されます。

ステップ 4: メインフレーム認証情報の AWS Secrets Manager シークレットを作成する

メインフレーム認証情報は、転送するデータセットにアクセスするために必要であり、 AWS Secrets Manager シークレットとして保存する必要があります。

AWS Secrets Manager シークレットを作成するには

https://console.aws.amazon.com/secretsmanager で Secrets Manager コンソールを開きます。
[新しいシークレットを保存] を選択します。
[シークレットの種類を選択] で、[他の種類のシークレット] を選択します。
データセットにアクセスできるuserIdメインフレーム userId のキー値を使用します。パスワードフィールドにキー値「password」を使用します。
暗号化キー で、前に作成した AWS カスタマーマネージドキーを選択します。
[Next (次へ)] を選択します。
[ルールの設定] ページで、名前と説明を入力します。

同じページで、 リソースのアクセス許可を編集し、 Mainframe Modernization AWS サービスがアクセスできるように次のリソースポリシーを使用します。


{
  "Version" : "2012-10-17",
  "Statement" : [ {
    "Effect" : "Allow",
    "Principal" : {
        "Service" : "m2.amazonaws.com"
    },
    "Action" : [ "secretsmanager:GetSecretValue", 
                 "secretsmanager:DescribeSecret" ],
    "Resource" : "*"
  } ]
}

保存を選択して、更新されたアクセス許可を保存します。
[Next (次へ)] を選択します。
「ローテーションの設定」ページをスキップし、「次へ」を選択します。
[レビュー] ページで、すべての設定を確認し、[ストア] を選択してシークレットを保存します。

重要

userId および password シークレットキーは大文字と小文字が区別されるため、図のように入力する必要があります。

ステップ 5: IAM ポリシーを作成する

エージェントに必要なアクセス許可を持つ新しいポリシーを作成する方法

IAM コンソール (https://console.aws.amazon.com/iam) を開きます。
アクセス管理でポリシーを選択します。
[Create policy] を選択します。
アクセス許可の指定ページのポリシーエディタで、ビジュアルエディタから JSON エディタに切り替え、内容を次のテンプレートに置き換えます。


{
"Version": "2012-10-17",
    "Statement": [
        {
         "Sid": "FileTransferAgentSQSReceive",
            "Effect": "Allow",
            "Action": [
                "sqs:DeleteMessage",
                "sqs:ReceiveMessage"
            ],
            "Resource": "arn:aws:sqs:*:111122223333:m2-*-request-queue.fifo"
        },
        {
         "Sid": "FileTransferAgentSQSSend",
            "Effect": "Allow",
            "Action": "sqs:SendMessage",
            "Resource": "arn:aws:sqs:*:111122223333:m2-*-response-queue.fifo"
        },
        {
         "Sid": "FileTransferWorkingS3",
            "Effect": "Allow",
            "Action": "s3:PutObject",
            "Resource": "<file-transfer-endpoint-intermediate-bucket-arn>/*"
        },
        {
         "Sid": "FileTransferAgentKMSDecrypt",
            "Effect": "Allow",
            "Action": "kms:Decrypt",
            "Resource": "<kms-key-arn>"
        }
    ]
}

request-queue および response-queue ARN の 111122223333 をアカウントに置き換えます。

注記
これらは、データ転送エンドポイントの初期化中に作成された 2 つの Amazon SQS キューに一致するワイルドカード ARN です。ファイル転送エンドポイントを作成したら、オプションでこれらの ARN を Amazon SQS の実際の値に置き換えます。
file-transfer-endpoint-intermediate-bucket-arn を先ほど作成された転送バケットの ARN と置き換えます。最後に「/*」ワイルドカードを残します。
を、前に作成した AWS KMS キーの ARN kms-key-arnに置き換えます。
[Next (次へ)] を選択します。
確認と作成ページで、ポリシーの名前と説明を追加します。
[Create policy] を選択します。

ステップ 6: 長期アクセス認証情報を使用して IAM ユーザーを作成する

メインフレームエージェントが AWS アカウントに接続できるようにする IAM ユーザーを作成します。エージェントは、このユーザーに接続し、Amazon SQS レスポンスキューとリクエストキューを使用し、データセットを Amazon S3 バケットに保存するためのアクセス許可で定義したロールを引き受けます。

IAM ユーザーを作成する方法

https://console.aws.amazon.com/iam で IAM コンソールに移動します。
アクセス管理でユーザーを選択します。
[ユーザーの作成] を選択します。
ユーザーの詳細の下に意味のあるユーザー名を追加します。例えば、Configure-ft-agent と指定します。
[Next (次へ)] を選択します。
[許可オプション] で、[ポリシーを直接アタッチする] オプションを選択しますが、許可ポリシーはアタッチしません。これらの許可は、アタッチされるロールによって管理されます。
[Next (次へ)] を選択します。
詳細を確認し、ユーザーの作成を選択します。
ユーザーを作成したら、ユーザーを選択し、[セキュリティ認証情報] タブを開きます。
［アクセスキー］ の下で、［アクセスキーの作成］ を選択します。
次に、ユースケースの入力を求められたら、その他を選択します。
[Next (次へ)] を選択します。
必要に応じて、などの説明タグを設定できますAccess key for configuring file transfer agent。
[Create access key] (アクセスキーの作成) を選択します。
生成されたアクセスキーとシークレットアクセスキーをコピーして安全に保存します。これらは後で使用されます。

IAM アクセスキーの作成に関する詳細については、「IAM ユーザーのアクセスキーの管理」を参照してください。

重要

[完了] をクリックする前に、アクセスキー作成ウィザードの最後のページに表示されるアクセスキーとシークレットアクセスキーを保存します。これらのキーはメインフレームエージェントを設定するために使用され、後で取得することはできません。

注記

IAM ロールとの信頼関係を設定するために使用した IAM ユーザー ARN を保存します。

ステップ 7: エージェントが引き受ける IAM ロールを作成する

エージェントが引き受ける IAM ロールを作成する方法

https://console.aws.amazon.com/iam の IAM コンソールで、[ロール] を選択します。
[ロールの作成] を選択します。
[信頼されたエンティティを選択] ページで、[信頼されたエンティティタイプ] に [カスタム信頼ポリシー] を選択します。

カスタム信頼ポリシーを以下に置き換え、前に作成したユーザーの ARN に <iam-user-arn> を置き換えます。


{
    "Version": "2012-10-17",
    "Statement": [ {
         "Sid": "FileTransferAgent",
         "Effect": "Allow",
         "Principal": {
            "AWS": "<IAM-User-arn>"
         },
         "Action": "sts:AssumeRole"
    } ]
}

[Next (次へ)] を選択します。
[許可を追加] で、前に作成した [ポリシー名] でフィルタリングし、選択します。
[Next (次へ)] を選択します。
ロールに名前を付け、[ロールの作成] を選択します。

注記

ロール名を保存します。この名前は後でメインフレームエージェントを設定するときに使用します。

ステップ 8: エージェントを設定する

ファイル転送エージェントを設定する方法

$AGENT_DIR/current-version/config に移動します。
以下のコマンドを使用して、エージェントの設定ファイル appication.properties を編集し、環境設定を追加します。
```
oedit $AGENT_DIR/current-version/config/application.properties
```
以下に例を示します。
```
agent.environments[0].account-id=<AWS_ACCOUNT_ID>
agent.environments[0].agent-role-name=<AWS_IAM_ROLE_NAME>
agent.environments[0].access-key-id=<AWS_IAM_ROLE_ACCESS_KEY>
agent.environments[0].secret-access-id=<AWS_IAM_ROLE_SECRET_KEY>
agent.environments[0].bucket-name=<AWS_S3_BUCKET_NAME>
agent.environments[0].environment-name=<AWS_REGION>
agent.environments[0].region=<AWS_REGION>
zos.complex-name=<File_Transfer_Endpoint_Name>
```
コードの説明は以下のとおりです。
- AWS_ACCOUNT_ID は AWS アカウントの ID です。
- AWS_IAM_ROLE_NAME は、ステップ 7: エージェントが引き受ける IAM ロールを作成するで作成された IAM ロールの名前です。
- AWS_IAM_ROLE_ACCESS_KEY は、ステップ 6: 長期アクセス認証情報を使用して IAM ユーザーを作成するで作成された IAM ユーザーのアクセスキーです。
- AWS_IAM_ROLE_SECRET_KEY は、ステップ 6: 長期アクセス認証情報を使用して IAM ユーザーを作成するで作成された IAM ユーザーのアクセスシークレットキーです。
- AWS_S3_BUCKET_NAME は、データ転送エンドポイントで作成された転送バケットの名前です。
- AWS_REGION は、ファイル転送エージェントを設定するリージョンです。
  
  注記
  複数の環境を定義 AWS することで、ファイル転送エージェントをの複数のリージョンとアカウントに転送できます。
- (任意) zos.complex-name は、ファイル転送エンドポイントの作成時に作成した複雑な名前です。
  
  注記
  このフィールドは、ファイル転送エンドポイントの作成時に定義したものと同じ複雑な名前 (デフォルトでは sysplex 名) をカスタマイズする場合にのみ必要です。詳細については、「ファイル転送用のデータ転送エンドポイントを作成する」を参照してください。
重要
括弧 — [0] — 内のインデックスが 1 つずつ増えていれば、このようなセクションが複数あっても構いません。

変更を有効にするには、エージェントを再起動する必要があります。

要件

パラメータを追加または削除したら、エージェントを停止して起動する必要があります。CLI で以下のコマンドを使用してファイル転送エージェントを起動します。
```
/S M2AGENT
```
M2 エージェントを停止するには、CLI で以下のコマンドを実行します。
```
/P M2AGENT
```

環境エントリを定義 AWS することで、の複数のリージョンとアカウントにデータを転送するようにファイル転送エージェントを設定できます。

注記

値を、以前に作成および設定したパラメータ値に置き換えます。


#Region 1
agent.environments[0].account-id=AWS_ACCOUNT_ID
agent.environments[0].agent-role-name=AWS_IAM_ROLE_NAME
agent.environments[0].access-key-id=AWS_IAM_ROLE_ACCESS_KEY
agent.environments[0].secret-access-id=AWS_IAM_ROLE_SECRET_KEY
agent.environments[0].bucket-name=AWS_S3_BUCKET_NAME
agent.environments[0].environment-name=AWS_REGION
agent.environments[0].region=AWS_REGION

#Region 2
agent.environments[1].account-id=AWS_ACCOUNT_ID
agent.environments[1].agent-role-name=AWS_IAM_ROLE_NAME
agent.environments[1].access-key-id=AWS_IAM_ROLE_ACCESS_KEY
agent.environments[1].secret-access-id=AWS_IAM_ROLE_SECRET_KEY
agent.environments[1].bucket-name=AWS_S3_BUCKET_NAME
agent.environments[1].environment-name=AWS_REGION
agent.environments[1].region=AWS_REGION

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

ファイル転送エージェントのインストール

データ転送エンドポイントを作成する

このページの内容

Cookie の設定を選択する

Cookie の設定をカスタマイズする

Essential

Performance

Functional

Advertising

Cookie の設定を保存できません