本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
配置文件传输代理
安装文件传输代理后,请按照以下步骤配置该代理。如果您需要安装新的代理,请按照安装文件传输代理页面上的说明进行操作。
主题
步骤 1:配置权限和启动任务控制 (STC)
-
按照他们的说明更新并提交其中一个
SYS2.AWS.M2.SAMPLIB(SEC#RACF)SYS2.AWS.M2.SAMPLIB(SEC#TSS)(用于设置RACFTSS权限)或(用于设置权限)。这些成员由前面的CPY#PDS步骤创建。注意
SYS2.AWS.M2是在安装过程中选择的高级限定符 (HLQ)。 -
如果默认文件传输代理目录路径 (
/usr/lpp/aws/m2-agent) 已更改,则更新中的PWD导出。SYS2.AWS.M2.SAMPLIB(M2AGENT)STC JCL -
更新并复制
SYS2.AWS.M2.SAMPLIB(M2AGENT)JCL到SYS1.PROCLIB。 -
使用以下命令
SYS2.AWS.M2.LOADLIB添加到APF列表中:SETPROG APF ADD DSNAME(SYS2.AWS.M2.LOADLIB) SMS -
将代理
logs和diag文件夹的组和所有者设置为代理用户/组 (M2 /M2USER)。GROUP使用以下命令:chown -R M2USER:M2GROUP $AGENT_DIR/current-version/logs chown -R M2USER:M2GROUP $AGENT_DIR/current-version/diag
第 2 步:创建 Amazon S3 存储桶
AWS大型机现代化文件传输需要中间的 Amazon S3 存储桶作为工作区。我们建议专门为此创建一个存储桶。
(可选)为传输的数据集创建一个新的目标 Amazon S3 存储桶。否则,您也可以使用现有的 Amazon S3 存储桶。有关创建 Amazon S3 存储桶的更多信息,请参阅创建存储桶。
步骤 3:创建用于加密的 AWS KMS 客户托管密钥
要在中创建客户管理的密钥 AWS KMS
-
打开 AWS KMS 控制台,网址为https://console.aws.amazon.com/kms
。 -
在左侧导航窗格中选择客户管理的密钥。
-
选择 Create key。
-
在配置密钥下,选择密钥类型为对称,将密钥用法选择为加密和解密。使用其他默认配置。
-
在添加标签中,为您的密钥添加别名和描述。
-
选择下一步。
-
在 “定义密钥管理权限” 下,至少选择一个管理此密钥的IAM用户和角色。
-
选择下一步。
-
在 Rev iew 页面上,向密钥策略添加以下语法。这样, AWS 大型机现代化服务就可以读取和使用这些密钥进行加密/解密。
重要
将该语句添加到现有语句中。不要替换保单中已有的内容。
{ "Sid" : "Enable AWS M2 File Transfer Permissions", "Effect" : "Allow", "Principal" : { "Service" : "m2.amazonaws.com" }, "Action" : [ "kms:Encrypt", "kms:Decrypt" ], "Resource" : "*" },
创建客户托管密钥后,将其保存。ARN稍后将在政策中使用。
步骤 4:为大型机凭证创建 AWS Secrets Manager 密钥
访问要传输的数据集需要大型机凭据,并且这些凭据必须作为 AWS Secrets Manager 机密存储。
创建密 AWS Secrets Manager 钥
-
打开密钥管理器控制台,网址为https://console.aws.amazon.com/secretsmanager
。 -
在 “选择密钥类型” 中,选择 “其他密钥类型”。
-
使用有权访问数据集的大型机的 userId 密钥值
userId。 -
使用密码字段
password的密钥值。 -
对于加密密钥,请选择之前创建的 AWS 客户托管密钥。
-
选择下一步。
-
在配置密钥页面上,提供名称和描述。
-
在同一页面上,编辑资源权限并使用以下资源策略,以便 AWS 大型机现代化服务可以对其进行访问。
{ "Version" : "2012-10-17", "Statement" : [ { "Effect" : "Allow", "Principal" : { "Service" : "m2.amazonaws.com" }, "Action" : [ "secretsmanager:GetSecretValue", "secretsmanager:DescribeSecret" ], "Resource" : "*" } ] } -
选择 “保存” 以保存更新的权限,然后再选择 “下一步”。
-
跳过 “配置轮换” 页面,然后选择 “下一步”。
-
在查看页面上,检查所有配置并选择存储以保存密钥。
重要
userId和password密钥区分大小写,必须如图所示输入。
步骤 5:创建IAM策略
创建具有代理所需权限的新策略
-
从可视化编辑器切换到JSON编辑器并将内容替换为以下模板:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "FileTransferAgentSQSReceive", "Effect": "Allow", "Action": [ "sqs:DeleteMessage", "sqs:ReceiveMessage" ], "Resource": "arn:aws:sqs:*:111122223333:m2-*-request-queue.fifo" }, { "Sid": "FileTransferAgentSQSSend", "Effect": "Allow", "Action": "sqs:SendMessage", "Resource": "arn:aws:sqs:*:111122223333:m2-*-response-queue.fifo" }, { "Sid": "FileTransferWorkingS3", "Effect": "Allow", "Action": "s3:PutObject", "Resource": "<file-transfer-endpoint-intermediate-bucket-arn>/*" }, { "Sid": "FileTransferAgentKMSDecrypt", "Effect": "Allow", "Action": "kms:Decrypt", "Resource": "<kms-key-arn>" } ] } -
用您的
111122223333账户替换请求队列和响应ARN队列中的。注意
这些是通配符ARN,与数据传输终端节点初始化期间创建的两个 Amazon SQS 队列相匹配。创建文件传输终端节点后,可以选择将其替换为 Amazon ARN 的实际值SQS。
-
file-transfer-endpoint-intermediate-bucket-arn替换为之前创建ARN的传输存储桶。在末尾保留 “/*” 通配符。 -
kms-key-arn替换为之前创建ARN的 AWS KMS 密钥。
步骤 6:创建具有长期访问凭证的IAM用户
创建一个允许大型机代理连接到您的 AWS 帐户的IAM用户。代理将与该用户建立联系,然后扮演您定义的角色,该角色具有使用 Amazon SQS 响应和请求队列以及将数据集保存到 Amazon S3 存储桶的权限。
创建此IAM用户
-
导航到AWSIAM控制台,网址为https://console.aws.amazon.com/iam
。 -
在权限选项中,选择直接附加策略选项,但不要附加任何权限策略。这些权限将由将要附加的角色管理。
-
创建用户后,选择该用户并打开 “安全证书” 选项卡。
-
在创建访问密钥中,当提示输入用例时,选择其他。
-
复制并安全保存生成的访问密钥和私有访问密钥。这些将在以后使用。
有关创建IAM访问密钥的更多信息,请参阅管理IAM用户的访问密钥。
重要
选择完成之前,保存在访问密钥创建向导的最后一页上显示的访问密钥和秘密访问密钥。这些密钥用于配置大型机代理。
注意
保存ARN用于与IAM角色建立信任关系的IAM用户。
步骤 7:为代理创建要IAM扮演的角色
为代理创建新IAM角色
-
在IAM控制台中选择角色,网址为https://console.aws.amazon.com/iam
。 -
选择 Create role(创建角色)。
-
在选择可信实体页面上,为可信实体类型选择自定义信任策略。
-
将自定义信任策略替换为以下内容,并
<iam-user-arn>替换为之前创建ARN的用户的信任策略。{ "Version": "2012-10-17", "Statement": [ { "Sid": "FileTransferAgent", "Effect": "Allow", "Principal": { "AWS": "<IAM-User-arn>" }, "Action": "sts:AssumeRole" } ] } -
选择下一步。
-
在添加权限中,筛选您之前创建的策略名称并选择它。
-
选择下一步。
-
为角色命名,然后选择创建角色。
注意
保存角色名称,稍后您将使用该名称来配置大型机代理。
步骤 8:代理配置
配置文件传输代理
-
导航到
$AGENT_DIR/current-version/config。 -
使用以下命令编辑代理的配置文件
appication.properties,以添加环境配置:oedit $AGENT_DIR/current-version/config/application.properties例如:
agent.environments[0].account-id=<AWS_ACCOUNT_ID> agent.environments[0].agent-role-name=<AWS_IAM_ROLE_NAME> agent.environments[0].access-key-id=<AWS_IAM_ROLE_ACCESS_KEY> agent.environments[0].secret-access-id=<AWS_IAM_ROLE_SECRET_KEY> agent.environments[0].bucket-name=<AWS_S3_BUCKET_NAME> agent.environments[0].environment-name=<AWS_REGION> agent.environments[0].region=<AWS_REGION> zos.complex-name=<File_Transfer_Endpoint_Name>其中:
-
AWS_ACCOUNT_ID是 AWS 账户的 ID。 -
AWS_IAM_ROLE_NAME是在中创建的IAM角色的名称步骤 7:为代理创建要IAM扮演的角色。 -
AWS_IAM_ROLE_ACCESS_KEY是在中创建的IAM用户的访问密钥步骤 6:创建具有长期访问凭证的IAM用户。 -
AWS_IAM_ROLE_SECRET_KEY是在中创建的IAM用户的访问密钥步骤 6:创建具有长期访问凭证的IAM用户。 -
AWS_S3_BUCKET_NAME是使用数据传输端点创建的传输存储桶的名称。 -
AWS_REGION是您在其中配置文件传输代理的区域。注意
通过定义多个环境,您可以将文件传输代理传输到多个区域和账户。 AWS
-
(可选)。
zos.complex-name是您在创建文件传输端点时创建的复杂名称。注意
只有当您想要自定义与创建文件传输端点时定义的复杂名称(默认为您的 sysplex 名称)相同时,才需要此字段。有关更多信息,请参阅 为文件传输创建数据传输端点。
重要
可以有几个这样的部分,只要括号中的索引 (
[0]) 为每个部分递增。 -
必须重新启动代理才能使更改生效。
要求
-
添加或删除参数时,必须停止并启动代理。使用以下命令启动文件传输代理CLI:
/S M2AGENT要停止 M2 代理,请在中使用以下命令CLI:
/P M2AGENT -
通过定义多个环境,您可以将文件传输代理传输到多个区域和账户。 AWS
注意
将这些值替换为您之前创建和配置的参数值。
#Region 1 agent.environments[0].account-id=AWS_ACCOUNT_ID agent.environments[0].agent-role-name=AWS_IAM_ROLE_NAME agent.environments[0].access-key-id=AWS_IAM_ROLE_ACCESS_KEY agent.environments[0].secret-access-id=AWS_IAM_ROLE_SECRET_KEY agent.environments[0].bucket-name=AWS_S3_BUCKET_NAME agent.environments[0].environment-name=AWS_REGION agent.environments[0].region=AWS_REGION #Region 2 agent.environments[1].account-id=AWS_ACCOUNT_ID agent.environments[1].agent-role-name=AWS_IAM_ROLE_NAME agent.environments[1].access-key-id=AWS_IAM_ROLE_ACCESS_KEY agent.environments[1].secret-access-id=AWS_IAM_ROLE_SECRET_KEY agent.environments[1].bucket-name=AWS_S3_BUCKET_NAME agent.environments[1].environment-name=AWS_REGION agent.environments[1].region=AWS_REGION
