파일 전송 에이전트 구성 - AWS 메인프레임 현대화
1단계: 권한 구성 및 작업 제어 시작 (STC)2단계: Amazon S3 버킷 생성3단계: 암호화를 위한 AWS KMS 고객 관리 키 생성4단계: 메인프레임 자격 AWS Secrets Manager 증명을 위한 시크릿 생성5단계: 정책 생성 IAM6단계: 장기 액세스 자격 증명을 가진 IAM 사용자 생성7단계: 상담원이 IAM 맡을 역할 만들기8단계: 에이전트 구성

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

파일 전송 에이전트 구성

파일 전송 에이전트를 설치했으면 다음 단계에 따라 에이전트를 구성하십시오. 새 에이전트를 설치해야 하는 경우 File Transfer 에이전트 설치 페이지의 지침을 따르십시오.

1단계: 권한 구성 및 작업 제어 시작 (STC)

  1. 지침에 따라 SYS2.AWS.M2.SAMPLIB(SEC#RACF) (RACF권한 설정용) 또는 SYS2.AWS.M2.SAMPLIB(SEC#TSS) (TSS권한 설정용) 중 하나를 업데이트하고 제출하십시오. 이러한 멤버는 이전 CPY#PDS 단계에서 생성되었습니다.

    참고

    SYS2.AWS.M2설치 중에 선택한 상위 수준 한정자 (HLQ) 입니다.

  2. 기본 파일 전송 에이전트 디렉터리 경로 (/usr/lpp/aws/m2-agent) 가 변경된 경우 에서 PWD 내보내기를 업데이트하십시오. SYS2.AWS.M2.SAMPLIB(M2AGENT) STC JCL

  3. 를 업데이트하고 SYS2.AWS.M2.SAMPLIB(M2AGENT) JCL 에 SYS1.PROCLIB 복사합니다.

  4. 다음 명령을 사용하여 APF 목록에 추가합니다SYS2.AWS.M2.LOADLIB.

    SETPROG APF ADD DSNAME(SYS2.AWS.M2.LOADLIB) SMS

  5. 상담원 logsdiag 폴더의 그룹과 소유자를 상담원 사용자/그룹 (M2/M2) 으로 설정합니다. USER GROUP 다음 명령을 사용합니다.

    chown -R M2USER:M2GROUP $AGENT_DIR/current-version/logs
chown -R M2USER:M2GROUP $AGENT_DIR/current-version/diag

2단계: Amazon S3 버킷 생성

AWS메인프레임 현대화 파일 전송에는 중간 Amazon S3 버킷이 작업 영역으로 필요합니다. 이를 위해 특별히 버킷을 생성하는 것이 좋습니다.

선택적으로 전송된 데이터 세트에 대한 새 대상 Amazon S3 버킷을 생성합니다. 그렇지 않으면 기존 Amazon S3 버킷을 사용할 수도 있습니다. Amazon S3 버킷 생성에 대한 자세한 내용은 버킷 생성을 참조하십시오.

3단계: 암호화를 위한 AWS KMS 고객 관리 키 생성

고객 관리 키를 만들려면 AWS KMS

  1. 에서 AWS KMS 콘솔을 엽니다https://console.aws.amazon.com/kms.

  2. 왼쪽 탐색 창에서 고객 관리 키를 선택합니다.

  3. 키 생성을 선택합니다.

  4. 키 구성에서 키 유형을 대칭으로 선택하고 키 사용을 암호화 및 암호 해독으로 선택합니다. 다른 기본 구성을 사용하세요.

  5. 레이블 추가에서 키의 별칭과 설명을 추가합니다.

  6. Next(다음)를 선택합니다.

  7. 키 관리 권한 정의에서 이 키를 관리하는 IAM 사용자 및 역할을 한 명 이상 선택합니다.

  8. Next(다음)를 선택합니다.

  9. 검토 페이지에서 키 정책에 다음 구문을 추가합니다. 이를 통해 AWS 메인프레임 현대화 서비스는 이러한 키를 읽고 암호화/복호화에 사용할 수 있습니다.

    중요

    명령문을 기존 명령문에 추가합니다. 정책에 이미 있는 내용을 바꾸지 마세요.

    {
    "Sid" : "Enable AWS M2 File Transfer Permissions",
    "Effect" : "Allow",
    "Principal" : {
        "Service" : "m2.amazonaws.com"
    },
    "Action" : [
        "kms:Encrypt",
        "kms:Decrypt"
    ],
   "Resource" : "*"
},

고객 관리 키가 생성되면 해당 키를 저장해 두세요. ARN 나중에 정책에서 사용될 것입니다.

4단계: 메인프레임 자격 AWS Secrets Manager 증명을 위한 시크릿 생성

전송할 데이터 세트에 액세스하려면 메인프레임 자격 증명이 필요하며 이러한 자격 증명은 비밀로 저장해야 합니다. AWS Secrets Manager

시크릿 생성하기 AWS Secrets Manager

  1. 에서 시크릿 매니저 콘솔을 엽니다https://console.aws.amazon.com/secretsmanager.

  2. 시크릿 유형 선택에서 기타 시크릿 유형을 선택합니다.

  3. 데이터 userId 세트에 액세스할 수 userId 있는 메인프레임의 키 값을 사용하십시오.

  4. 암호 필드에 키 password 값을 사용합니다.

  5. 암호화 키의 경우 이전에 생성한 AWS 고객 관리 키를 선택합니다.

  6. Next(다음)를 선택합니다.

  7. 암호 구성 페이지에서 이름과 설명을 입력합니다.

  8. 동일한 페이지에서 리소스 권한을 편집하고 AWS 메인프레임 현대화 서비스가 액세스할 수 있도록 다음 리소스 정책을 사용하십시오.

    {
  "Version" : "2012-10-17",
  "Statement" : [ {
    "Effect" : "Allow",
    "Principal" : {
        "Service" : "m2.amazonaws.com"
    },
    "Action" : [ "secretsmanager:GetSecretValue", 
                 "secretsmanager:DescribeSecret" ],
    "Resource" : "*"
  } ]
}

  9. 다음을 선택하기 전에 [Save] 를 선택하여 업데이트된 권한을 저장합니다.

  10. 순환 구성 페이지를 건너뛰고 다음을 선택합니다.

  11. 검토 페이지에서 모든 구성을 확인하고 Store를 선택하여 암호를 저장합니다.

중요

userIdpassword 비밀 키는 대소문자를 구분하므로 표시된 대로 입력해야 합니다.

5단계: 정책 생성 IAM

상담원에게 필요한 권한을 사용하여 새 정책을 만들려면

  1. 비주얼 편집기에서 편집기로 전환하고 내용을 다음 템플릿으로 바꿉니다. JSON 

    {
"Version": "2012-10-17",
    "Statement": [
        {
         "Sid": "FileTransferAgentSQSReceive",
            "Effect": "Allow",
            "Action": [
                "sqs:DeleteMessage",
                "sqs:ReceiveMessage"
            ],
            "Resource": "arn:aws:sqs:*:111122223333:m2-*-request-queue.fifo"
        },
        {
         "Sid": "FileTransferAgentSQSSend",
            "Effect": "Allow",
            "Action": "sqs:SendMessage",
            "Resource": "arn:aws:sqs:*:111122223333:m2-*-response-queue.fifo"
        },
        {
         "Sid": "FileTransferWorkingS3",
            "Effect": "Allow",
            "Action": "s3:PutObject",
            "Resource": "<file-transfer-endpoint-intermediate-bucket-arn>/*"
        },
        {
         "Sid": "FileTransferAgentKMSDecrypt",
            "Effect": "Allow",
            "Action": "kms:Decrypt",
            "Resource": "<kms-key-arn>"
        }
    ]
}

  2. 요청 대기열과 응답 ARN 대기열의 를 사용자 계정으로 바꾸십시오. 111122223333

    참고

    데이터 전송 엔드포인트 ARN 초기화 중에 생성된 두 개의 Amazon SQS 대기열과 일치하는 와일드카드입니다. 파일 전송 엔드포인트를 생성한 후 필요에 따라 이를 ARN Amazon의 실제 값으로 바꿀 수 SQS 있습니다.

  3. 이전에 생성한 전송 file-transfer-endpoint-intermediate-bucket-arn 버킷으로 교체하십시오. ARN 끝에 “/*” 와일드카드를 그대로 두십시오.

  4. 이전에 만든 kms-key-arn AWS KMS 키로 바꾸십시오ARN.

6단계: 장기 액세스 자격 증명을 가진 IAM 사용자 생성

메인프레임 에이전트가 계정에 연결할 수 있도록 허용하는 IAM 사용자를 생성하십시오. AWS 에이전트는 이 사용자와 연결한 다음 Amazon SQS 응답 및 요청 대기열을 사용하고 Amazon S3 버킷에 데이터 세트를 저장할 수 있는 권한으로 사용자가 정의한 역할을 맡습니다.

이 사용자를 만들려면 IAM

  1. 에서 AWS IAM 콘솔로 이동합니다https://console.aws.amazon.com/iam.

  2. 권한 옵션에서 정책 직접 연결 옵션을 선택합니다. 단, 권한 정책은 첨부하지 마십시오. 이러한 권한은 연결될 역할에 의해 관리됩니다.

  3. 사용자가 생성되면 해당 사용자를 선택하고 보안 자격 증명 탭을 엽니다.

  4. 액세스 키 생성에서 사용 사례를 묻는 메시지가 표시되면 기타를 선택합니다.

  5. 생성된 액세스 키와 비밀 액세스 키를 복사하고 안전하게 저장합니다. 나중에 사용할 예정입니다.

IAM액세스 키 생성에 대한 자세한 내용은 IAM사용자의 액세스 키 관리를 참조하십시오.

중요

완료를 선택하기 전에 액세스 키 생성 마법사의 마지막 페이지에 표시된 액세스 키비밀 액세스 키를 저장합니다. 이러한 키는 메인프레임 에이전트를 구성하는 데 사용됩니다.

참고

IAM역할과 신뢰 관계를 설정하는 ARN 데 사용한 IAM 사용자를 저장합니다.

7단계: 상담원이 IAM 맡을 역할 만들기

상담원의 새 IAM 역할을 만들려면

  1. IAM콘솔에서 역할을 선택합니다https://console.aws.amazon.com/iam.

  2. 역할 생성을 선택합니다.

  3. 신뢰할 수 있는 개체 선택 페이지에서 신뢰할 수 있는 개체 유형에 대한 사용자 지정 신뢰 정책을 선택합니다.

  4. 사용자 지정 신뢰 정책을 다음과 같이 바꾸고 이전에 만든 사용자의 <iam-user-arn> 정책으로 바꾸십시오. ARN 

    {
    "Version": "2012-10-17",
    "Statement": [ {
         "Sid": "FileTransferAgent",
         "Effect": "Allow",
         "Principal": {
            "AWS": "<IAM-User-arn>"
         },
         "Action": "sts:AssumeRole"
    } ]
}

  5. Next(다음)를 선택합니다.

  6. 권한 추가에서 이전에 만든 정책 이름을 필터링하고 선택합니다.

  7. Next(다음)를 선택합니다.

  8. 역할 이름을 지정하고 [Create Role] 을 선택합니다.

참고

나중에 메인프레임 에이전트를 구성할 때 사용할 역할 이름을 저장합니다.

8단계: 에이전트 구성

파일 전송 에이전트를 구성하려면

  1. $AGENT_DIR/current-version/config로 이동합니다.

  2. 다음 명령을 통해 에이전트의 구성 파일 appication.properties를 편집하여 환경 구성을 추가합니다.

    oedit $AGENT_DIR/current-version/config/application.properties

    예:

    agent.environments[0].account-id=<AWS_ACCOUNT_ID>
agent.environments[0].agent-role-name=<AWS_IAM_ROLE_NAME>
agent.environments[0].access-key-id=<AWS_IAM_ROLE_ACCESS_KEY>
agent.environments[0].secret-access-id=<AWS_IAM_ROLE_SECRET_KEY>
agent.environments[0].bucket-name=<AWS_S3_BUCKET_NAME>
agent.environments[0].environment-name=<AWS_REGION>
agent.environments[0].region=<AWS_REGION>
zos.complex-name=<File_Transfer_Endpoint_Name>

    위치:

    중요

    괄호 안의 인덱스([0])가 각각에 대해 증가하는 한, 이러한 섹션이 여러 개 있을 수 있습니다.

변경 사항을 적용하려면 에이전트를 다시 시작해야 합니다.

요구 사항

  1. 파라미터를 추가하거나 제거한 경우 에이전트를 중지하고 시작해야 합니다. 에서 다음 명령을 사용하여 파일 전송 에이전트를 시작합니다. CLI 

    /S M2AGENT

    M2 에이전트를 중지하려면 에서 CLI 다음 명령을 사용합니다.

    /P M2AGENT

  2. 여러 환경을 AWS 정의하여 파일 전송 에이전트가 여러 지역 및 계정으로 전송하도록 할 수 있습니다.

    참고

    값을 이전에 만들고 구성한 매개 변수 값으로 바꾸십시오.

    #Region 1
agent.environments[0].account-id=AWS_ACCOUNT_ID
agent.environments[0].agent-role-name=AWS_IAM_ROLE_NAME
agent.environments[0].access-key-id=AWS_IAM_ROLE_ACCESS_KEY
agent.environments[0].secret-access-id=AWS_IAM_ROLE_SECRET_KEY
agent.environments[0].bucket-name=AWS_S3_BUCKET_NAME
agent.environments[0].environment-name=AWS_REGION
agent.environments[0].region=AWS_REGION

#Region 2
agent.environments[1].account-id=AWS_ACCOUNT_ID
agent.environments[1].agent-role-name=AWS_IAM_ROLE_NAME
agent.environments[1].access-key-id=AWS_IAM_ROLE_ACCESS_KEY
agent.environments[1].secret-access-id=AWS_IAM_ROLE_SECRET_KEY
agent.environments[1].bucket-name=AWS_S3_BUCKET_NAME
agent.environments[1].environment-name=AWS_REGION
agent.environments[1].region=AWS_REGION