Configurar um agente de transferência de arquivos - AWS Modernização do mainframe
Etapa 1: Configurar permissões e iniciar o controle de tarefas (STC)Etapa 2: criar buckets do Amazon S3Etapa 3: criar uma chave gerenciada pelo AWS KMS cliente para criptografiaEtapa 4: criar um AWS Secrets Manager segredo para as credenciais do mainframeEtapa 5: criar uma IAM políticaEtapa 6: criar um IAM usuário com credenciais de acesso de longo prazoEtapa 7: criar uma IAM função para o agente assumirEtapa 8: configuração do agente

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurar um agente de transferência de arquivos

Depois de instalar um agente de transferência de arquivos, siga estas etapas para configurar o agente. Se precisar instalar um novo agente, siga as instruções na Instalar um agente do Transferência de Arquivos página.

Etapa 1: Configurar permissões e iniciar o controle de tarefas (STC)

  1. Atualize e envie um dos SYS2.AWS.M2.SAMPLIB(SEC#RACF) (para configurar RACF permissões) ou SYS2.AWS.M2.SAMPLIB(SEC#TSS) (para configurar TSS permissões) de acordo com suas instruções. Esses membros foram criados pela etapa anterior de CPY#PDS.

    nota

    SYS2.AWS.M2é o qualificador de alto nível (HLQ) que foi escolhido durante a instalação.

  2. Atualize a PWD exportação no SYS2.AWS.M2.SAMPLIB(M2AGENT) STCJCL, se o caminho padrão do diretório do agente de transferência de arquivos (/usr/lpp/aws/m2-agent) tiver sido alterado.

  3. Atualize e copie o SYS2.AWS.M2.SAMPLIB(M2AGENT) JCL paraSYS1.PROCLIB.

  4. Adicione SYS2.AWS.M2.LOADLIB à APF lista usando o seguinte comando:

    SETPROG APF ADD DSNAME(SYS2.AWS.M2.LOADLIB) SMS

  5. Defina o grupo e o proprietário do agente logs e diag das pastas como o usuário/grupo do agente (M2/M2). USER GROUP Use o seguinte comando:

    chown -R M2USER:M2GROUP $AGENT_DIR/current-version/logs
chown -R M2USER:M2GROUP $AGENT_DIR/current-version/diag

Etapa 2: criar buckets do Amazon S3

AWSA transferência de arquivos de modernização do mainframe requer um bucket intermediário do Amazon S3 como área de trabalho. Recomendamos criar um bucket especificamente para isso.

Opcionalmente, crie um novo bucket Amazon S3 de destino para os conjuntos de dados transferidos. Caso contrário, você também pode usar seu bucket Amazon S3 existente. Para obter mais informações sobre a criação de buckets do Amazon S3, consulte Criação de um bucket.

Etapa 3: criar uma chave gerenciada pelo AWS KMS cliente para criptografia

Para criar uma chave gerenciada pelo cliente em AWS KMS

  1. Abra o AWS KMS console emhttps://console.aws.amazon.com/kms.

  2. Escolha Chaves gerenciadas pelo cliente no painel de navegação esquerdo.

  3. Escolha Create key (Criar chave).

  4. Em Configurar chave, escolha Tipo de chave como Simétrico e Uso da chave como criptografia e descriptografia. Use outras configurações padrão.

  5. Em Adicionar rótulos, adicione um alias e uma descrição para sua chave.

  6. Escolha Próximo.

  7. Em Definir as principais permissões administrativas, escolha pelo menos um IAM usuário e uma função que administre essa chave.

  8. Escolha Próximo.

  9. Na página Revisar, adicione a seguinte sintaxe à política de chaves. Isso permite que o serviço de modernização do AWS mainframe leia e use essas chaves para criptografia/descriptografia.

    Importante

    Adicione a declaração às declarações existentes. Não substitua o que já está na política.

    {
    "Sid" : "Enable AWS M2 File Transfer Permissions",
    "Effect" : "Allow",
    "Principal" : {
        "Service" : "m2.amazonaws.com"
    },
    "Action" : [
        "kms:Encrypt",
        "kms:Decrypt"
    ],
   "Resource" : "*"
},

Salve ARN a chave gerenciada pelo cliente depois de criada. Ele será usado na política posteriormente.

Etapa 4: criar um AWS Secrets Manager segredo para as credenciais do mainframe

As credenciais do mainframe são necessárias para acessar os conjuntos de dados a serem transferidos e devem ser armazenadas como um AWS Secrets Manager segredo.

Para criar um AWS Secrets Manager segredo

  1. Abra o console do gerenciador Secrets emhttps://console.aws.amazon.com/secretsmanager.

  2. Em Escolher tipo de segredo, escolha Outro tipo de segredo.

  3. Use o valor da chave userId para o mainframe userId que tem acesso aos conjuntos de dados.

  4. Use o valor da chave password para o campo de senha.

  5. Em Chave de criptografia, escolha a chave gerenciada pelo AWS cliente criada anteriormente.

  6. Escolha Próximo.

  7. Na página Configurar segredo, forneça um nome e uma descrição.

  8. Na mesma página, edite as permissões do recurso e use a política de recursos a seguir para que o serviço de modernização do AWS mainframe possa acessá-la.

    {
  "Version" : "2012-10-17",
  "Statement" : [ {
    "Effect" : "Allow",
    "Principal" : {
        "Service" : "m2.amazonaws.com"
    },
    "Action" : [ "secretsmanager:GetSecretValue", 
                 "secretsmanager:DescribeSecret" ],
    "Resource" : "*"
  } ]
}

  9. Escolha Salvar para salvar as permissões atualizadas antes de escolher Avançar.

  10. Passe pela página Configurar rotações e escolha Avançar.

  11. Na página Revisar, verifique todas as configurações e escolha Armazenar para salvar o segredo.

Importante

As userId chaves password secretas fazem distinção entre maiúsculas e minúsculas e devem ser inseridas conforme mostrado.

Etapa 5: criar uma IAM política

Para criar uma nova política com as permissões necessárias para o agente

  1. Alterne do editor visual para o JSON editor e substitua o conteúdo pelo seguinte modelo:

    {
"Version": "2012-10-17",
    "Statement": [
        {
         "Sid": "FileTransferAgentSQSReceive",
            "Effect": "Allow",
            "Action": [
                "sqs:DeleteMessage",
                "sqs:ReceiveMessage"
            ],
            "Resource": "arn:aws:sqs:*:111122223333:m2-*-request-queue.fifo"
        },
        {
         "Sid": "FileTransferAgentSQSSend",
            "Effect": "Allow",
            "Action": "sqs:SendMessage",
            "Resource": "arn:aws:sqs:*:111122223333:m2-*-response-queue.fifo"
        },
        {
         "Sid": "FileTransferWorkingS3",
            "Effect": "Allow",
            "Action": "s3:PutObject",
            "Resource": "<file-transfer-endpoint-intermediate-bucket-arn>/*"
        },
        {
         "Sid": "FileTransferAgentKMSDecrypt",
            "Effect": "Allow",
            "Action": "kms:Decrypt",
            "Resource": "<kms-key-arn>"
        }
    ]
}

  2. Substitua o 111122223333 na fila de solicitações e na fila de respostas pela sua contaARN.

    nota

    Esses são ARN curingas que correspondem às duas SQS filas da Amazon criadas durante a inicialização do endpoint de transferência de dados. Depois de criar um endpoint de transferência de arquivos, substitua-o opcionalmente pelos valores reais da Amazon. ARN SQS

  3. file-transfer-endpoint-intermediate-bucket-arnSubstitua pelo ARN do bucket de transferência criado anteriormente. Deixe o caractere curinga “/*” no final.

  4. kms-key-arnARNSubstitua pela AWS KMS chave criada anteriormente.

Etapa 6: criar um IAM usuário com credenciais de acesso de longo prazo

Crie um IAM usuário que permita que o agente de mainframe se conecte à sua AWS conta. O agente se conectará a esse usuário e, em seguida, assumirá uma função que você define com permissões para usar as filas de SQS resposta e solicitação da Amazon e para salvar conjuntos de dados nos buckets do Amazon S3.

Para criar este IAM usuário

  1. Navegue até o AWS IAM console emhttps://console.aws.amazon.com/iam.

  2. Nas opções de Permissões, escolha a opção Anexar políticas diretamente, mas não anexe nenhuma política de permissões. Essas permissões serão gerenciadas por uma função que será anexada.

  3. Depois que o usuário for criado, escolha o usuário e abra a guia Credenciais de segurança.

  4. Em Criar chave de acesso, escolha Outro quando solicitado para Caso de uso.

  5. Copie e salve com segurança a chave de acesso e a chave de acesso secreta geradas. Eles serão usados posteriormente.

Para obter mais informações sobre a criação de chaves de IAM acesso, consulte Gerenciamento de chaves de acesso para IAM usuários.

Importante

Salve a chave de acesso e a chave de acesso secreta exibidas na última página do assistente de criação da chave de acesso, antes de escolher Concluído. Essas chaves são usadas para configurar o agente de mainframe.

nota

Salve o IAM usuário ARN usado para configurar uma relação de confiança com uma IAM função.

Etapa 7: criar uma IAM função para o agente assumir

Para criar uma nova IAM função para o agente

  1. Escolha Funções no IAM console emhttps://console.aws.amazon.com/iam.

  2. Selecione Criar função.

  3. Na página Selecionar entidade confiável, escolha Política de confiança personalizada para o tipo de entidade confiável.

  4. Substitua a política de confiança personalizada pela seguinte e <iam-user-arn> substitua pela ARN do usuário criada anteriormente.

    {
    "Version": "2012-10-17",
    "Statement": [ {
         "Sid": "FileTransferAgent",
         "Effect": "Allow",
         "Principal": {
            "AWS": "<IAM-User-arn>"
         },
         "Action": "sts:AssumeRole"
    } ]
}

  5. Escolha Próximo.

  6. Em Adicionar permissões, filtre o nome da política que você criou anteriormente e escolha-o.

  7. Escolha Próximo.

  8. Dê um nome à função e escolha Criar função.

nota

Salve o nome da função, que será usado posteriormente para configurar o agente de mainframe.

Etapa 8: configuração do agente

Para configurar o agente de transferência de arquivos

  1. Acesse $AGENT_DIR/current-version/config.

  2. Edite o arquivo de configuração do agente appication.properties para adicionar uma configuração de ambientes usando o seguinte comando:

    oedit $AGENT_DIR/current-version/config/application.properties

    Por exemplo:

    agent.environments[0].account-id=<AWS_ACCOUNT_ID>
agent.environments[0].agent-role-name=<AWS_IAM_ROLE_NAME>
agent.environments[0].access-key-id=<AWS_IAM_ROLE_ACCESS_KEY>
agent.environments[0].secret-access-id=<AWS_IAM_ROLE_SECRET_KEY>
agent.environments[0].bucket-name=<AWS_S3_BUCKET_NAME>
agent.environments[0].environment-name=<AWS_REGION>
agent.environments[0].region=<AWS_REGION>
zos.complex-name=<File_Transfer_Endpoint_Name>

    Em que:

    Importante

    Pode haver várias seções desse tipo, desde que o índice entre colchetes ([0]) seja incrementado para cada uma.

Reinicie o agente para que as alterações entrem em vigor.

Requisitos

  1. Quando um parâmetro é adicionado ou removido, o agente deve ser interrompido e iniciado. Inicie o agente de transferência de arquivos usando o seguinte comando noCLI:

    /S M2AGENT

    Para interromper o agente M2, use o seguinte comando emCLI:

    /P M2AGENT

  2. Você pode fazer com que o agente de transferência de arquivos seja transferido para várias regiões e contas AWS definindo vários ambientes.

    nota

    Substitua os valores pelos valores dos parâmetros que você criou e configurou anteriormente.

    #Region 1
agent.environments[0].account-id=AWS_ACCOUNT_ID
agent.environments[0].agent-role-name=AWS_IAM_ROLE_NAME
agent.environments[0].access-key-id=AWS_IAM_ROLE_ACCESS_KEY
agent.environments[0].secret-access-id=AWS_IAM_ROLE_SECRET_KEY
agent.environments[0].bucket-name=AWS_S3_BUCKET_NAME
agent.environments[0].environment-name=AWS_REGION
agent.environments[0].region=AWS_REGION

#Region 2
agent.environments[1].account-id=AWS_ACCOUNT_ID
agent.environments[1].agent-role-name=AWS_IAM_ROLE_NAME
agent.environments[1].access-key-id=AWS_IAM_ROLE_ACCESS_KEY
agent.environments[1].secret-access-id=AWS_IAM_ROLE_SECRET_KEY
agent.environments[1].bucket-name=AWS_S3_BUCKET_NAME
agent.environments[1].environment-name=AWS_REGION
agent.environments[1].region=AWS_REGION