File Transfer 에이전트 구성

파일 전송 에이전트를 설치한 후 다음 단계에 따라 에이전트를 구성합니다. 새 에이전트를 설치해야 하는 경우 File Transfer 에이전트 설치 페이지의 지침을 따르세요.

1단계: 권한 및 시작된 태스크 제어(STC) 구성

1. 지침에 따라 SYS2.AWS.M2.SAMPLIB(SEC#RACF)(RACF 권한 설정용) 또는 SYS2.AWS.M2.SAMPLIB(SEC#TSS)(TSS 권한 설정용) 중 하나를 업데이트하고 제출합니다. 이러한 멤버는 이전 CPY#PDS 단계에서 생성되었습니다.

   참고

   SYS2.AWS.M2는 설치 중에 선택한 상위 수준 한정자(HLQ)로 대체되어야 합니다.

2. 기본 File Transfer 에이전트 디렉터리 경로(/usr/lpp/aws/m2-agent)가 변경된 경우 SYS2.AWS.M2.SAMPLIB(M2AGENT) STC JCL에서 PWD 내보내기를 업데이트합니다.

3. 사이트 표준에 따라 PROC를 업데이트합니다.

   1. 설치 요구 사항에 따라 PROC 카드를 업데이트합니다.

   2. 로 STEPLIB를 업데이트합니다M2 LOADLIB PDSE ALIAS.

   3. 에이전트 설치 경로를 가리키도록 PWD를 편집합니다(이 항목만 포함됨).

   4. 필요한 JAVA_HOME 경우 업데이트합니다.

4. PROCLIB SYS2.AWS.M2.SAMPLIB(M2AGENT)JCL을 업데이트하여 연결의 SYS1.PROCLIB 또는 PROCLIBs 중 하나로 복사합니다.

5. 다음 명령을 사용하여 APF 목록에 SYS2.AWS.M2.LOADLIB를 추가합니다.

   SETPROG APF ADD DSNAME(SYS2.AWS.M2.LOADLIB) SMS

6. 에이전트의 그룹과 소유자를 에이전트 사용자/그룹(M2USER/M2GROUP)으로 설정합니다. OMVS에서 다음 명령을 사용합니다.

   chown -R M2USER:M2GROUP $AGENT_DIR/current-version

   참고

   보안 정의 작업에 사용한 이름으로 M2USER 및 M2GROUP을 편집합니다.

2단계: Amazon S3 버킷 생성

AWS Mainframe Modernization File Transfer에는 중간 Amazon S3 버킷이 작업 영역으로 필요합니다. 이를 위해 특별히 버킷을 생성하는 것이 좋습니다.

선택적으로 전송된 데이터 세트에 대한 새 대상 Amazon S3 버킷을 생성합니다. 그러지 않으면 기존 Amazon S3 버킷을 사용할 수도 있습니다. Amazon S3 버킷 생성에 대한 자세한 내용은 버킷 생성을 참조하세요.

3단계: 암호화를 위한 AWS KMS 고객 관리형 키 생성

에서 고객 관리형 키를 생성하려면 AWS KMS

1. 에서 AWS KMS 콘솔을 엽니다https://console.aws.amazon.com/kms.

2. 탐색 창에서 고객 관리형 키를 선택합니다.

3. 키 생성을 선택합니다.

4. 키 구성에서 키 유형을 대칭으로 선택하고 키 사용량을 암호화 및 복호화로 선택합니다. 다른 기본 구성을 사용합니다.

5. Next(다음)를 선택합니다.

6. 레이블 추가에서 키에 대한 별칭 및 설명을 추가합니다.

7. Next(다음)를 선택합니다.

8. 키 관리 권한 정의에서 이 키를 관리하는 IAM 사용자 및 역할을 하나 이상 선택합니다.

9. Next(다음)를 선택합니다.

10. 선택적으로 키 관리 권한 정의에서이 키를 사용할 수 있는 IAM 사용자 및 역할을 하나 이상 선택합니다.

11. Next(다음)를 선택합니다.

12. 키 정책 편집 섹션에서 편집을 선택하고 키 정책에 다음 구문을 추가합니다. 이렇게 하면 AWS Mainframe Modernization 서비스가 암호화/복호화에 이러한 키를 읽고 사용할 수 있습니다.

    중요

    기존 문에 문을 추가합니다. 정책에 이미 있는 내용을 대체하지 마세요.

    {
        "Sid" : "Enable AWS M2 File Transfer Permissions",
        "Effect" : "Allow",
        "Principal" : {
            "Service" : "m2.amazonaws.com"
        },
        "Action" : [
            "kms:Encrypt",
            "kms:Decrypt"
        ],
       "Resource" : "*"
    },

13. Next(다음)를 선택합니다.

14. 검토 페이지에서 모든 세부 정보를 확인하고 완료를 선택합니다.

새로 생성된 KMS 키를 열어 고객 관리형 키의 ARN을 복사하고 저장합니다. 나중에 정책에서 사용됩니다.

4단계: 메인프레임 자격 증명에 대한 AWS Secrets Manager 보안 암호 생성

전송할 데이터 세트에 액세스하려면 메인프레임 자격 증명이 필요하며 이를 AWS Secrets Manager 보안 암호로 저장해야 합니다.

AWS Secrets Manager 보안 암호를 생성하려면

1. https://console.aws.amazon.com/secretsmanager에서 Secrets Manager 콘솔을 엽니다.

2. 새 암호 저장을 선택합니다.

3. 보안 암호 유형 선택에서 다른 보안 암호 유형을 선택합니다.

4. 데이터 세트에 액세스할 수 있는 userId 메인프레임 userId의 키 값을 사용합니다. 암호 필드에 키 값 password를 사용합니다.

5. 암호화 키에서 이전에 생성한 AWS 고객 관리형 키를 선택합니다.

6. Next(다음)를 선택합니다.

7. 보안 암호 구성 페이지에 이름과 설명을 입력합니다.

8. 동일한 페이지에서 리소스 권한을 편집하고 AWS Mainframe Modernization 서비스가 액세스할 수 있도록 다음 리소스 정책을 사용합니다.

   {
     "Version" : "2012-10-17",
     "Statement" : [ {
       "Effect" : "Allow",
       "Principal" : {
           "Service" : "m2.amazonaws.com"
       },
       "Action" : [ "secretsmanager:GetSecretValue", 
                    "secretsmanager:DescribeSecret" ],
       "Resource" : "*"
     } ]
   }

9. 저장을 선택하여 업데이트된 권한을 저장합니다.

10. Next(다음)를 선택합니다.

11. 교체 구성 페이지를 건너뛰고 다음을 선택합니다.

12. 검토 페이지에서 모든 구성을 확인하고 저장을 선택하여 보안 암호를 저장합니다.

중요

userId 및 password 보안 암호 키는 대/소문자를 구분하며 표시된 대로 입력해야 합니다.

5단계: IAM 정책 만들기

에이전트에 필요한 권한을 사용하여 새 정책을 생성하려면

1. https://console.aws.amazon.com/iam에서 IAM 콘솔을 엽니다.

2. 액세스 관리에서 정책을 선택합니다.

3. 정책 생성을 선택합니다.

4. 권한 지정 페이지의 정책 편집기에서 시각적 편집기에서 JSON 편집기로 전환하고 내용을 다음 템플릿으로 바꿉니다.

5. {
   "Version": "2012-10-17",
       "Statement": [
           {
            "Sid": "FileTransferAgentSQSReceive",
               "Effect": "Allow",
               "Action": [
                   "sqs:DeleteMessage",
                   "sqs:ReceiveMessage"
               ],
               "Resource": "arn:aws:sqs:*:111122223333:m2-*-request-queue.fifo"
           },
           {
            "Sid": "FileTransferAgentSQSSend",
               "Effect": "Allow",
               "Action": "sqs:SendMessage",
               "Resource": "arn:aws:sqs:*:111122223333:m2-*-response-queue.fifo"
           },
           {
            "Sid": "FileTransferWorkingS3",
               "Effect": "Allow",
               "Action": "s3:PutObject",
               "Resource": "<file-transfer-endpoint-intermediate-bucket-arn>/*"
           },
           {
            "Sid": "FileTransferAgentKMSDecrypt",
               "Effect": "Allow",
               "Action": "kms:Decrypt",
               "Resource": "<kms-key-arn>"
           }
       ]
   }

6. request-queue 및 response-queue ARN의 111122223333을 해당 계정으로 바꿉니다.

   참고

   이는 데이터 전송 엔드포인트 초기화 중에 생성된 두 Amazon SQS 대기열과 일치하는 와일드카드 ARN입니다. File Transfer 엔드포인트를 생성한 후 필요에 따라 이러한 ARN을 Amazon SQS의 실제 값으로 바꿉니다.

7. file-transfer-endpoint-intermediate-bucket-arn을 이전에 만든 전송 버킷의 ARN으로 바꿉니다. 끝에 ‘/*’ 와일드카드를 그대로 둡니다.

8. 를 이전에 생성된 AWS KMS 키의 ARNkms-key-arn으로 바꿉니다.

9. Next(다음)를 선택합니다.

10. 검토 및 생성 페이지에서 정책 이름과 설명을 추가합니다.

11. 정책 생성을 선택합니다.

6단계: 장기 액세스 자격 증명을 사용하여 IAM 사용자 생성

메인프레임 에이전트가 AWS 계정에 연결할 수 있도록 허용하는 IAM 사용자를 생성합니다. 에이전트는 이 사용자와 연결한 다음 Amazon SQS 응답 및 요청 대기열을 사용하고 Amazon S3 버킷에 데이터세트를 저장할 수 있는 권한을 가지고 정의한 역할을 수임합니다.

IAM 사용자를 만들려면

1. https://console.aws.amazon.com/iam에서 IAM 콘솔로 이동합니다.

2. 액세스 관리에서 사용자를 선택합니다.

3. 사용자 생성을 선택합니다.

4. 사용자 세부 정보 아래에 의미 있는 사용자 이름을 추가합니다. 예: Configure-ft-agent.

5. Next(다음)를 선택합니다.

6. 권한 옵션에서 정책 직접 연결 옵션을 선택하지만 권한 정책은 연결하지 않습니다. 이러한 권한은 연결될 역할에 의해 관리됩니다.

7. Next(다음)를 선택합니다.

8. 세부 정보를 검토하고 사용자 생성을 선택합니다.

9. 사용자가 생성되면 사용자를 선택하고 보안 자격 증명 탭을 엽니다.

10. 액세스 키에서 액세스 키 생성을 선택합니다.

11. 그런 다음 사용 사례에 대한 메시지가 표시되면 기타를 선택합니다.

12. Next(다음)를 선택합니다.

13. 선택적으로와 같은 설명 태그를 설정할 수 있습니다Access key for configuring file transfer agent.

14. 액세스 키 생성을 선택합니다.

15. 생성된 액세스 키와 보안 액세스 키를 복사하고 안전하게 저장합니다. 이는 나중에 사용됩니다.

IAM 액세스 키를 생성하는 방법에 대한 자세한 내용은 IAM 사용자의 액세스 키 관리를 참조하세요.

중요

완료를 선택하기 전에 액세스 키 생성 마법사의 마지막 페이지에 표시된 액세스 키와 비밀 액세스 키를 저장합니다. 이러한 키는 메인프레임 에이전트를 구성하는 데 사용되며 나중에 검색할 수 없습니다.

참고

IAM 역할과 신뢰 관계를 설정하는 데 사용되는 IAM 사용자 ARN을 저장합니다.

7단계: 에이전트가 수임할 IAM 역할 만들기

에이전트를 위한 IAM 역할 만들기

1. https://console.aws.amazon.com/iam의 IAM 콘솔에서 역할을 선택합니다.

2. 역할 생성을 선택합니다.

3. 신뢰할 수 있는 엔터티 선택 페이지에서 신뢰할 수 있는 엔터티 유형으로 사용자 지정 신뢰 정책을 선택합니다.

4. 사용자 지정 신뢰 정책을 다음으로 바꾸고 <iam-user-arn>을 이전에 만든 사용자의 ARN으로 바꿉니다.

   {
       "Version": "2012-10-17",
       "Statement": [ {
            "Sid": "FileTransferAgent",
            "Effect": "Allow",
            "Principal": {
               "AWS": "<IAM-User-arn>"
            },
            "Action": "sts:AssumeRole"
       } ]
   }

5. Next(다음)를 선택합니다.

6. 권한 추가 필터에서 이전에 생성한 정책 이름으로 필터링하고 이를 선택합니다.

7. Next(다음)를 선택합니다.

8. 역할 이름을 지정한 다음 역할 생성을 선택합니다.

참고

나중에 메인프레임 에이전트를 구성할 때 사용할 역할 이름을 저장합니다.

8단계: 에이전트 구성

File Transfer 에이전트를 구성하려면

1. $AGENT_DIR/current-version/config로 이동합니다.

2. 다음 명령을 통해 에이전트의 구성 파일 appication.properties를 편집하여 환경 구성을 추가합니다.

   oedit $AGENT_DIR/current-version/config/application.properties

   예시:

   agent.environments[0].account-id=<AWS_ACCOUNT_ID>
   agent.environments[0].agent-role-name=<AWS_IAM_ROLE_NAME>
   agent.environments[0].access-key-id=<AWS_IAM_ROLE_ACCESS_KEY>
   agent.environments[0].secret-access-id=<AWS_IAM_ROLE_SECRET_KEY>
   agent.environments[0].bucket-name=<AWS_S3_BUCKET_NAME>
   agent.environments[0].environment-name=<AWS_REGION>
   agent.environments[0].region=<AWS_REGION>
   zos.complex-name=<File_Transfer_Endpoint_Name>

   위치:

   • AWS_ACCOUNT_ID는 AWS 계정의 ID입니다.

   • AWS_IAM_ROLE_NAME은 7단계: 에이전트가 수임할 IAM 역할 만들기에서 생성한 IAM 역할의 이름입니다.

   • AWS_IAM_ROLE_ACCESS_KEY는 6단계: 장기 액세스 자격 증명을 사용하여 IAM 사용자 생성에서 생성한 IAM 사용자의 액세스 키입니다.

   • AWS_IAM_ROLE_SECRET_KEY는 6단계: 장기 액세스 자격 증명을 사용하여 IAM 사용자 생성에서 생성한 IAM 사용자의 액세스 비밀 키입니다.

   • AWS_S3_BUCKET_NAME은 데이터 전송 엔드포인트로 생성된 전송 버킷의 이름입니다.

   • AWS_REGION은 File Transfer 에이전트를 구성하는 리전입니다.

     참고

     여러 환경을 정의하여의 여러 리전 및 계정으로 파일 전송 에이전트 AWS 를 전송할 수 있습니다.

   • (선택 사항). zos.complex-name은 File Transfer 엔드포인트를 생성할 때 생성한 복잡한 이름입니다.

     참고

     이 필드는 File Transfer 엔드포인트를 생성할 때 정의한 것과 동일한 복잡한 이름(기본값은 sysplex 이름)을 사용자 지정하려는 경우에만 필요합니다. 자세한 내용은 File Transfer를 위한 데이터 전송 엔드포인트 생성 섹션을 참조하세요.

   중요

   괄호 안의 인덱스([0])가 각각에 대해 증가하는 한, 이러한 섹션이 여러 개 있을 수 있습니다.

변경 사항을 적용하려면 에이전트를 다시 시작해야 합니다.

요구 사항

1. 파라미터를 추가하거나 제거한 경우 에이전트를 중지하고 시작해야 합니다. CLI에서 다음 명령을 사용하여 File Transfer 에이전트를 시작합니다.

   /S M2AGENT

   M2 에이전트를 중지하려면 CLI에서 다음 명령을 사용합니다.

   /P M2AGENT

2. 환경 항목을 정의하여의 여러 리전 및 계정으로 데이터를 전송하도록 파일 전송 에이전트 AWS 를 구성할 수 있습니다.

   참고

   값을 이전에 만들고 구성한 파라미터 값으로 바꿉니다.

   #Region 1
   agent.environments[0].account-id=AWS_ACCOUNT_ID
   agent.environments[0].agent-role-name=AWS_IAM_ROLE_NAME
   agent.environments[0].access-key-id=AWS_IAM_ROLE_ACCESS_KEY
   agent.environments[0].secret-access-id=AWS_IAM_ROLE_SECRET_KEY
   agent.environments[0].bucket-name=AWS_S3_BUCKET_NAME
   agent.environments[0].environment-name=AWS_REGION
   agent.environments[0].region=AWS_REGION
   
   #Region 2
   agent.environments[1].account-id=AWS_ACCOUNT_ID
   agent.environments[1].agent-role-name=AWS_IAM_ROLE_NAME
   agent.environments[1].access-key-id=AWS_IAM_ROLE_ACCESS_KEY
   agent.environments[1].secret-access-id=AWS_IAM_ROLE_SECRET_KEY
   agent.environments[1].bucket-name=AWS_S3_BUCKET_NAME
   agent.environments[1].environment-name=AWS_REGION
   agent.environments[1].region=AWS_REGION