AWS Mainframe Modernization Service (マネージドランタイム環境エクスペリエンス) は、新規のお客様に公開されなくなりました。 AWS Mainframe Modernization Service (マネージドランタイム環境エクスペリエンス) と同様の機能については、 AWS Mainframe Modernization Service (セルフマネージドエクスペリエンス) をご覧ください。既存のお客様は、通常どおりサービスを引き続き使用できます。詳細については、[AWS 「 Mainframe Modernization の可用性の変更](https://docs.aws.amazon.com/m2/latest/userguide/mainframe-modernization-availability-change.html)」を参照してください。
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# ファイル転送エージェントを設定する
ファイル転送エージェントをインストールしたら、次のステップに従ってエージェントを設定します。新しいエージェントをインストールする必要がある場合は、「[ファイル転送エージェントのインストール](m2-agent-installation.md)」ページの手順に従ってください。
**Topics**
+ [ステップ 1: アクセス許可と開始タスクコントロール (STC) を設定する](#configure-permissions)
+ [ステップ 2: Amazon S3 バケットを作成する](#filetransfer-s3-buckets)
+ [ステップ 3: 暗号化用の AWS KMS カスタマーマネージドキーを作成する](#filetransfer-kms-encryption)
+ [ステップ 4: メインフレーム認証情報のシー AWS Secrets Manager クレットを作成する](#filetransfer-secret-manager)
+ [ステップ 5: IAM ポリシーを作成する](#filetransfer-IAM-policy)
+ [ステップ 6: 長期アクセス認証情報を使用して IAM ユーザーを作成する](#filetransfer-create-IAM-user)
+ [ステップ 7: エージェントが引き受ける IAM ロールを作成する](#filetransfer-create-IAM-role)
+ [ステップ 8: エージェントを設定する](#agent-configuration)
## ステップ 1: アクセス許可と開始タスクコントロール (STC) を設定する
1. 指示に従って `SYS2.AWS.M2.SAMPLIB(SEC#RACF)` (RACF アクセス許可の設定用) または `SYS2.AWS.M2.SAMPLIB(SEC#TSS)` (TSS アクセス許可の設定用) のいずれかを更新して送信します。これらのメンバーは前の `CPY#PDS` ステップで作成されたものです。
**注記**
`SYS2.AWS.M2` は、インストール時に選択した高レベル修飾子 (HLQ) に置き換える必要があります。
1. デフォルトのファイル転送エージェントディレクトリパス (`/usr/lpp/aws/m2-agent`) が変更された場合は、`SYS2.AWS.M2.SAMPLIB(M2AGENT)` STC JCL の PWD エクスポートを更新します。
1. サイト標準に従って PROC を更新します。
1. インストール要件に従って PROC カードを更新します。
1. で STEPLIB を更新します`M2 LOADLIB PDSE ALIAS`。
1. PWD を編集して、エージェントのインストールパスをポイントします (これのみが含まれます)。
1. 必要に応じて更新`JAVA_HOME`します。
1. `SYS2.AWS.M2.SAMPLIB(M2AGENT)` JCL を更新して、`PROCLIB`連結内の PROCLIBs`SYS1.PROCLIB`のいずれかにコピーします。
1. 以下のコマンドを使用して、APF リストに `SYS2.AWS.M2.LOADLIB` を追加します。
```
SETPROG APF ADD DSNAME(SYS2.AWS.M2.LOADLIB) SMS
```
1. エージェントのグループと所有者をエージェントユーザー/グループ (M2USER/M2GROUP) に設定します。OMVS で次のコマンドを使用します。
```
chown -R {{M2USER:M2GROUP}} $AGENT_DIR/current-version
```
**注記**
セキュリティ定義ジョブで使用した名前で M2USER と M2GROUP を編集します。
## ステップ 2: Amazon S3 バケットを作成する
AWS Mainframe Modernization File Transfer には、作業領域として中間 Amazon S3 バケットが必要です。これ専用のバケットを作成することをお勧めします。
必要に応じて、転送されたデータセットの新しいターゲット Amazon S3 バケットを作成します。それ以外の場合は、既存の Amazon S3 バケットを使用することもできます。Amazon S3 バケットの作成については、「[バケットを作成する](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html)」を参照してください。
## ステップ 3: 暗号化用の AWS KMS カスタマーマネージドキーを作成する
**でカスタマーマネージドキーを作成するには AWS KMS**
1. で AWS KMS コンソールを開きます[https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms)。
1. 左のナビゲーションペインで、**[カスタマーマネージドキー]** を選択します。
1. **[Create key]** (キーの作成) を選択します。
1. **Configure key** で、**Key type** as **Symmetric** と **Key usage** as **Encrypt and decrypt **を選択します。他のデフォルト設定を使用します。
1. [**次へ**] を選択します。
1. **[ラベルを追加]** で、キーのエイリアスと説明を追加します。
1. [**次へ**] を選択します。
1. **[キー管理アクセス許可の定義]** で、このキーを管理する IAM ユーザーとロールを少なくとも 1 つ選択します。
1. [**次へ**] を選択します。
1. 必要に応じて、**キー管理アクセス許可の定義**で、このキーを使用できる IAM ユーザーとロールを少なくとも 1 人選択します。
1. [**次へ**] を選択します。
1. **「キーポリシーの編集**」セクションで**「編集**」を選択し、**キーポリシー**に次の構文を追加します。これにより、 AWS Mainframe Modernization サービスはこれらのキーを読み取り、暗号化/復号化に使用できます。
**重要**
ステートメントを既存のステートメントに追加します。ポリシーにすでにあるものを置き換えないでください。
```
{
"Sid" : "Enable AWS M2 File Transfer Permissions",
"Effect" : "Allow",
"Principal" : {
"Service" : "m2.amazonaws.com"
},
"Action" : [
"kms:Encrypt",
"kms:Decrypt"
],
"Resource" : "*"
},
```
1. [**次へ**] を選択します。
1. **レビュー**ページで、すべての詳細を確認し、**完了**を選択します。
新しく作成した KMS キーを開いて、カスタマーマネージドキーの ARN をコピーして保存します。これは後でポリシーで使用されます。
## ステップ 4: メインフレーム認証情報のシー AWS Secrets Manager クレットを作成する
転送するデータセットにアクセスするにはメインフレーム認証情報が必要であり、これらは AWS Secrets Manager シークレットとして保存する必要があります。
**AWS Secrets Manager シークレットを作成するには**
1. [https://console.aws.amazon.com/secretsmanager](https://console.aws.amazon.com/secretsmanager) で Secrets Manager コンソールを開きます。
1. **新しいシークレットを保存** を選択します。
1. **[シークレットの種類を選択]** で、**[他の種類のシークレット]** を選択します。
1. データセットにアクセスできる`userId`メインフレーム userId のキー値を使用します。パスワードフィールドにキー値「`password`」を使用します。
1. **暗号化キー** で、前に作成した AWS カスタマーマネージドキーを選択します。
1. [**次へ**] を選択します。
1. **[ルールの設定]** ページで、名前と説明を入力します。
1. 同じページで、**リソースアクセス許可**を編集し、次のリソースポリシーを使用して AWS Mainframe Modernization サービスがアクセスできるようにします。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [ {
"Effect" : "Allow",
"Principal" : {
"Service" : "m2.amazonaws.com"
},
"Action" : [ "secretsmanager:GetSecretValue",
"secretsmanager:DescribeSecret" ],
"Resource" : "*"
} ]
}
```
------
1. **保存** を選択して、更新されたアクセス許可を保存します。
1. [**次へ**] を選択します。
1. **「ローテーションの設定**」ページをスキップし、**次へ**を選択します。
1. **[レビュー]** ページで、すべての設定を確認し、**[ストア]** を選択してシークレットを保存します。
**重要**
`userId` および `password` シークレットキーは大文字と小文字が区別されるため、図のように入力する必要があります。
## ステップ 5: IAM ポリシーを作成する
**エージェントに必要なアクセス許可を持つ新しいポリシーを作成する方法**
1. IAM コンソール ([https://console.aws.amazon.com/iam](https://console.aws.amazon.com/iam)) を開きます。
1. **アクセス管理**で**ポリシー**を選択します。
1. [**Create policy**] (ポリシーの作成) を選択します。
1. アクセス**許可の指定**ページの**ポリシーエディタ**で、ビジュアルエディタから JSON エディタに切り替え、内容を次のテンプレートに置き換えます。
1. request-queue および response-queue ARN の `111122223333` をアカウントに置き換えます。
**注記**
これらは、データ転送エンドポイントの初期化中に作成された 2 つの Amazon SQS キューに一致するワイルドカード ARN です。ファイル転送エンドポイントを作成したら、オプションでこれらの ARN を Amazon SQS の実際の値に置き換えます。
1. `file-transfer-endpoint-intermediate-bucket-arn` を先ほど作成された転送バケットの ARN と置き換えます。最後に「/\*」ワイルドカードを残します。
1. を、前に作成した AWS KMS キーの ARN `kms-key-arn`に置き換えます。
1. [**次へ**] を選択します。
1. **レビューと作成**ページで、ポリシーの名前と説明を追加します。
1. [**Create policy**] (ポリシーの作成) を選択します。
## ステップ 6: 長期アクセス認証情報を使用して IAM ユーザーを作成する
メインフレームエージェントが AWS アカウントに接続できるようにする IAM ユーザーを作成します。エージェントは、このユーザーに接続し、Amazon SQS レスポンスキューとリクエストキューを使用し、データセットを Amazon S3 バケットに保存するためのアクセス許可で定義したロールを引き受けます。
**IAM ユーザーを作成する方法**
1. [https://console.aws.amazon.com/iam](https://console.aws.amazon.com/iam) で IAM コンソールに移動します。
1. **アクセス管理**で**ユーザー**を選択します。
1. **[ユーザーの作成]** を選択します。
1. **ユーザーの詳細**の下に意味のある**ユーザー名**を追加します。例えば、`Configure-ft-agent`。
1. [**次へ**] を選択します。
1. **[許可オプション]** で、**[ポリシーを直接アタッチする]** オプションを選択しますが、許可ポリシーはアタッチしません。これらの許可は、アタッチされるロールによって管理されます。
1. [**次へ**] を選択します。
1. 詳細を確認し、**ユーザーの作成**を選択します。
1. ユーザーを作成したら、ユーザーを選択し、**[セキュリティ認証情報]** タブを開きます。
1. **[アクセスキー]** の下で、**[アクセスキーの作成]** を選択します。
1. 次に、ユースケースの入力を求められたら、**その他**を選択します。
1. [**次へ**] を選択します。
1. 必要に応じて、 などの説明タグを設定できます`Access key for configuring file transfer agent`。
1. **[アクセスキーを作成]** を選択します。
1. 生成された**アクセスキー**と**シークレットアクセスキー**をコピーして安全に保存します。これらは後で使用されます。
IAM アクセスキーの作成に関する詳細については、「[IAM ユーザーのアクセスキーの管理](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html)」を参照してください。
**重要**
**[完了]** をクリックする前に、アクセスキー作成ウィザードの最後のページに表示される**アクセスキー**と**シークレットアクセスキー**を保存します。これらのキーはメインフレームエージェントを設定するために使用され、後で取得することはできません。
**注記**
IAM ロールとの信頼関係を設定するために使用した IAM ユーザー ARN を保存します。
## ステップ 7: エージェントが引き受ける IAM ロールを作成する
**エージェントが引き受ける IAM ロールを作成する方法**
1. [https://console.aws.amazon.com/iam](https://console.aws.amazon.com/iam) の IAM コンソールで、**[ロール]** を選択します。
1. [**ロールの作成**] を選択してください。
1. **[信頼されたエンティティを選択]** ページで、**[信頼されたエンティティタイプ]** に **[カスタム信頼ポリシー]** を選択します。
1. カスタム信頼ポリシーを以下に置き換え、前に作成したユーザーの ARN に `` を置き換えます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [ {
"Sid": "FileTransferAgent",
"Effect": "Allow",
"Principal": {
"AWS": ""
},
"Action": "sts:AssumeRole"
} ]
}
```
------
1. [**次へ**] を選択します。
1. **[許可を追加]** で、前に作成した **[ポリシー名]** でフィルタリングし、選択します。
1. [**次へ**] を選択します。
1. ロールに名前を付け、**[ロールの作成]** を選択します。
**注記**
*ロール名*を保存します。この名前は後でメインフレームエージェントを設定するときに使用します。
## ステップ 8: エージェントを設定する
**ファイル転送エージェントを設定する方法**
1. `$AGENT_DIR/current-version/config` に移動します。
1. 以下のコマンドを使用して、エージェントの設定ファイル `appication.properties` を編集し、環境設定を追加します。
```
oedit $AGENT_DIR/current-version/config/application.properties
```
例えば、次のようになります。
```
agent.environments[0].account-id=
agent.environments[0].agent-role-name=
agent.environments[0].access-key-id=
agent.environments[0].secret-access-id=
agent.environments[0].bucket-name=
agent.environments[0].environment-name=
agent.environments[0].region=
zos.complex-name=
```
コードの説明は以下のとおりです。
+ `AWS_ACCOUNT_ID` は AWS アカウントの ID です。
+ `AWS_IAM_ROLE_NAME` は、[ステップ 7: エージェントが引き受ける IAM ロールを作成する](#filetransfer-create-IAM-role) で作成された IAM ロールの名前です。
+ `AWS_IAM_ROLE_ACCESS_KEY` は、[ステップ 6: 長期アクセス認証情報を使用して IAM ユーザーを作成する](#filetransfer-create-IAM-user) で作成された IAM ユーザーのアクセスキーです。
+ `AWS_IAM_ROLE_SECRET_KEY` は、[ステップ 6: 長期アクセス認証情報を使用して IAM ユーザーを作成する](#filetransfer-create-IAM-user) で作成された IAM ユーザーのアクセスシークレットキーです。
+ `AWS_S3_BUCKET_NAME` は、データ転送エンドポイントで作成された転送バケットの名前です。
+ `AWS_REGION` は、ファイル転送エージェントを設定するリージョンです。
**注記**
複数の環境を定義 AWS することで、ファイル転送エージェントを の複数のリージョンとアカウントに転送できます。
+ (任意) `zos.complex-name` は、ファイル転送エンドポイントの作成時に作成した複雑な名前です。
**注記**
このフィールドは、ファイル転送エンドポイントの作成時に定義したものと同じ複雑な名前 (デフォルトでは sysplex 名) をカスタマイズする場合にのみ必要です。詳細については、「[ファイル転送用のデータ転送エンドポイントを作成する](filetransfer-data-transfer-endpoints.md)」を参照してください。
**重要**
括弧 — `[0]` — 内のインデックスが 1 つずつ増えていれば、このようなセクションが複数あっても構いません。
変更を有効にするには、エージェントを再起動する必要があります。
**要件**
1. パラメータを追加または削除したら、エージェントを停止して起動する必要があります。CLI で以下のコマンドを使用してファイル転送エージェントを起動します。
```
/S M2AGENT
```
M2 エージェントを停止するには、CLI で以下のコマンドを実行します。
```
/P M2AGENT
```
1. 環境エントリを定義 AWS することで、 の複数のリージョンとアカウントにデータを転送するようにファイル転送エージェントを設定できます。
**注記**
値を、以前に作成および設定したパラメータ値に置き換えます。
```
#Region 1
agent.environments[0].account-id=AWS_ACCOUNT_ID
agent.environments[0].agent-role-name=AWS_IAM_ROLE_NAME
agent.environments[0].access-key-id=AWS_IAM_ROLE_ACCESS_KEY
agent.environments[0].secret-access-id=AWS_IAM_ROLE_SECRET_KEY
agent.environments[0].bucket-name=AWS_S3_BUCKET_NAME
agent.environments[0].environment-name=AWS_REGION
agent.environments[0].region=AWS_REGION
#Region 2
agent.environments[1].account-id=AWS_ACCOUNT_ID
agent.environments[1].agent-role-name=AWS_IAM_ROLE_NAME
agent.environments[1].access-key-id=AWS_IAM_ROLE_ACCESS_KEY
agent.environments[1].secret-access-id=AWS_IAM_ROLE_SECRET_KEY
agent.environments[1].bucket-name=AWS_S3_BUCKET_NAME
agent.environments[1].environment-name=AWS_REGION
agent.environments[1].region=AWS_REGION
```