AWS Mainframe Modernization Service (受管執行期環境體驗) 不再向新客戶開放。對於與 AWS Mainframe Modernization Service (受管執行期環境體驗) 類似的功能,探索 AWS Mainframe Modernization Service (自我管理體驗)。現有客戶可以繼續正常使用該服務。如需詳細資訊,請參閱[AWS 大型主機現代化可用性變更](https://docs.aws.amazon.com/m2/latest/userguide/mainframe-modernization-availability-change.html)。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 設定檔案傳輸代理程式
安裝檔案傳輸代理程式後,請依照下列步驟設定代理程式。如果您需要安裝新的代理程式,請遵循[安裝檔案傳輸代理程式](m2-agent-installation.md)頁面上的指示。
**Topics**
+ [步驟 1:設定許可和已啟動的任務控制 (STC)](#configure-permissions)
+ [步驟 2:建立 Amazon S3 儲存貯體](#filetransfer-s3-buckets)
+ [步驟 3:建立用於加密 AWS KMS 的客戶受管金鑰](#filetransfer-kms-encryption)
+ [步驟 4:建立大型主機登入資料的 AWS Secrets Manager 秘密](#filetransfer-secret-manager)
+ [步驟 5:建立 IAM 政策](#filetransfer-IAM-policy)
+ [步驟 6:建立具有長期存取憑證的 IAM 使用者](#filetransfer-create-IAM-user)
+ [步驟 7:為要擔任的代理程式建立 IAM 角色](#filetransfer-create-IAM-role)
+ [步驟 8:客服人員組態](#agent-configuration)
## 步驟 1:設定許可和已啟動的任務控制 (STC)
1. 根據其指示更新並提交其中一個 `SYS2.AWS.M2.SAMPLIB(SEC#RACF)`(用於設定 RACF 許可) 或 `SYS2.AWS.M2.SAMPLIB(SEC#TSS)`(用於設定 TSS 許可)。這些成員是由上一個`CPY#PDS`步驟所建立。
**注意**
`SYS2.AWS.M2` 應該以安裝期間選擇的高階限定詞 (HLQ) 取代。
1. 如果預設檔案傳輸代理程式目錄路徑 (`/usr/lpp/aws/m2-agent`) 已變更,請在 `SYS2.AWS.M2.SAMPLIB(M2AGENT)` STC JCL 中更新 PWD 匯出。
1. 根據您的站點標準更新 PROC:
1. 根據您的安裝需求更新 PROC 卡。
1. 使用 更新 STEPLIB`M2 LOADLIB PDSE ALIAS`。
1. 編輯 PWD 以指向代理程式安裝路徑 (僅包含此項目)。
1. `JAVA_HOME` 視需要更新。
1. 將 `SYS2.AWS.M2.SAMPLIB(M2AGENT)` JCL 更新並複製到 `SYS1.PROCLIB`或`PROCLIB`串連中的其中一個 PROCLIBs。
1. 使用下列命令將 `SYS2.AWS.M2.LOADLIB`新增至 APF 清單:
```
SETPROG APF ADD DSNAME(SYS2.AWS.M2.LOADLIB) SMS
```
1. 將客服人員的群組和擁有者設定為客服人員使用者/群組 (M2USER/M2GROUP)。在 OMVS 中使用下列命令:
```
chown -R {{M2USER:M2GROUP}} $AGENT_DIR/current-version
```
**注意**
使用您在安全定義任務中使用的名稱編輯 M2USER 和 M2GROUP。
## 步驟 2:建立 Amazon S3 儲存貯體
AWS Mainframe Modernization File Transfer 需要中繼 Amazon S3 儲存貯體做為工作區。我們建議您特別為此建立儲存貯體。
或者,為傳輸的資料集建立新的目標 Amazon S3 儲存貯體。否則,您也可以使用現有的 Amazon S3 儲存貯體。如需建立 Amazon S3 儲存貯體的詳細資訊,請參閱[建立儲存貯體](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html)。
## 步驟 3:建立用於加密 AWS KMS 的客戶受管金鑰
**在 中建立客戶受管金鑰 AWS KMS**
1. 在 開啟 AWS KMS 主控台[https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms)。
1. 在左側導覽窗格中選擇**客戶受管金鑰**。
1. 選擇**建立金鑰**。
1. 在**設定金鑰**下,選擇**金鑰類型**做為**對稱**,選擇**金鑰用量**做為**加密和解密**。使用其他預設組態。
1. 選擇**下一步**。
1. 在**新增標籤**中,為您的金鑰新增別名和描述。
1. 選擇**下一步**。
1. 在**定義金鑰管理許可**下,選擇至少一位管理此金鑰的 IAM 使用者和角色。
1. 選擇**下一步**。
1. 或者,在**定義金鑰管理許可**下,選擇至少一個可以使用此金鑰的 IAM 使用者和角色。
1. 選擇**下一步**。
1. 在**編輯金鑰政策**區段中,選擇**編輯**,然後將下列語法新增至**金鑰政策**。這可讓 AWS Mainframe Modernization 服務讀取和使用這些金鑰進行加密/解密。
**重要**
將陳述式新增至現有的陳述式。請勿取代政策中已有的內容。
```
{
"Sid" : "Enable AWS M2 File Transfer Permissions",
"Effect" : "Allow",
"Principal" : {
"Service" : "m2.amazonaws.com"
},
"Action" : [
"kms:Encrypt",
"kms:Decrypt"
],
"Resource" : "*"
},
```
1. 選擇**下一步**。
1. 在**檢閱**頁面上,檢查所有詳細資訊,然後選擇**完成**。
開啟新建立的 KMS 金鑰,複製並儲存客戶受管金鑰的 ARN。稍後將在政策中使用它。
## 步驟 4:建立大型主機登入資料的 AWS Secrets Manager 秘密
需要大型主機登入資料才能存取要傳輸的資料集,而且這些必須儲存為 AWS Secrets Manager 秘密。
**建立 AWS Secrets Manager 秘密**
1. 在 開啟 Secrets Manager 主控台[https://console.aws.amazon.com/secretsmanager](https://console.aws.amazon.com/secretsmanager)。
1. 選擇**儲存新機密**。
1. 在**選擇秘密類型**中,選擇**其他類型的秘密**。
1. 針對可存取資料集`userId`的大型主機 userId,使用金鑰值。使用密碼欄位`password`的金鑰值。
1. 針對**加密金鑰**,選擇先前建立 AWS 的客戶受管金鑰。
1. 選擇**下一步**。
1. 在**設定秘密**頁面上,提供名稱和描述。
1. 在相同頁面上,編輯**資源許可**,並使用下列資源政策,讓 AWS Mainframe Modernization 服務可以存取它。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [ {
"Effect" : "Allow",
"Principal" : {
"Service" : "m2.amazonaws.com"
},
"Action" : [ "secretsmanager:GetSecretValue",
"secretsmanager:DescribeSecret" ],
"Resource" : "*"
} ]
}
```
------
1. 選擇**儲存**以儲存更新的許可。
1. 選擇**下一步**。
1. 略過**設定輪換**頁面,然後選擇**下一步**。
1. 在**檢閱**頁面上,檢查所有組態,然後選擇**儲存**以儲存秘密。
**重要**
`userId` 和 `password`私密金鑰區分大小寫,且必須輸入,如下所示。
## 步驟 5:建立 IAM 政策
**使用代理程式所需的許可建立新的政策**
1. 在 [https://console.aws.amazon.com/iam](https://console.aws.amazon.com/iam) 開啟 IAM 主控台。
1. 在**存取管理**下選擇**政策**。
1. 選擇**建立政策**。
1. 在**指定許可**頁面**的政策編輯器**下,從視覺化編輯器切換至 JSON 編輯器,並以下列範本取代內容:
1. `111122223333` 將 request-queue 和 response-queue ARN 中的 取代為您的帳戶。
**注意**
這些是萬用字元 ARN,符合資料傳輸端點初始化期間建立的兩個 Amazon SQS 佇列。建立檔案傳輸端點後,可選擇將這些 ARN 取代為來自 Amazon SQS 的實際值。
1. `file-transfer-endpoint-intermediate-bucket-arn` 將 取代為先前建立之傳輸儲存貯體的 ARN。將「/\*」萬用字元保留在結尾。
1. `kms-key-arn` 將 取代為先前建立之 AWS KMS 金鑰的 ARN。
1. 選擇**下一步**。
1. 在**檢閱和建立**頁面上,新增政策名稱和描述。
1. 選擇**建立政策**。
## 步驟 6:建立具有長期存取憑證的 IAM 使用者
建立允許大型主機代理程式連線到您 AWS 帳戶的 IAM 使用者。代理程式會與此使用者連線,然後擔任您定義的角色,具有使用 Amazon SQS 回應和請求佇列以及將資料集儲存至 Amazon S3 儲存貯體的許可。
**建立此 IAM 使用者**
1. 導覽至位於 的 IAM 主控台[https://console.aws.amazon.com/iam](https://console.aws.amazon.com/iam)。
1. 在**存取管理**下選擇**使用者**。
1. 選擇 **Create user** (建立使用者)。
1. 在**使用者詳細資訊******下新增有意義的使用者名稱。例如 `Configure-ft-agent`。
1. 選擇**下一步**。
1. 在**許可選項**中,選擇**直接連接政策**選項,但不連接任何許可政策。這些許可將由將連接的角色管理。
1. 選擇**下一步**。
1. 檢閱詳細資訊,然後選擇**建立使用者**。
1. 建立使用者後,請選擇使用者並開啟**安全登入**資料索引標籤。
1. 在**存取金鑰**之下選擇**建立存取金鑰**。
1. 然後,在提示使用案例時選擇**其他**。
1. 選擇**下一步**。
1. 或者,您可以設定描述標籤,例如 `Access key for configuring file transfer agent`。
1. 選擇** Create access key (建立新的存取金鑰)**。
1. 複製並安全地儲存產生的**存取金鑰**和**私密存取金鑰**。這些將在稍後使用。
如需建立 IAM 存取金鑰的詳細資訊,請參閱[管理 IAM 使用者的存取金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html)。
**重要**
在選擇**完成**之前,儲存**存取金鑰**和存取金鑰建立精靈最後一頁上顯示的**私密**存取金鑰。這些金鑰用於設定大型主機代理程式,之後無法擷取。
**注意**
儲存用於設定與 IAM 角色信任關係的 IAM 使用者 ARN。
## 步驟 7:為要擔任的代理程式建立 IAM 角色
**為客服人員建立新的 IAM 角色**
1. 在 IAM 主控台中選擇**角色**[https://console.aws.amazon.com/iam](https://console.aws.amazon.com/iam)。
1. 選擇建**立角色**。
1. 在**選取信任實體**頁面上,選擇信任**實體類型的****自訂信任政策**。
1. 將自訂信任政策取代為下列項目,並將 取代``為先前建立之使用者的 ARN。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [ {
"Sid": "FileTransferAgent",
"Effect": "Allow",
"Principal": {
"AWS": ""
},
"Action": "sts:AssumeRole"
} ]
}
```
------
1. 選擇**下一步**。
1. 在**新增許可**中,篩選您先前建立**的政策名稱**,然後選擇它。
1. 選擇**下一步**。
1. 命名角色,然後選擇**建立角色**。
**注意**
儲存*角色名稱*,稍後將用於設定大型主機代理程式。
## 步驟 8:客服人員組態
**設定檔案傳輸代理程式**
1. 導覽至 `$AGENT_DIR/current-version/config`。
1. 編輯代理程式的組態檔案`appication.properties`,以使用下列命令新增環境組態:
```
oedit $AGENT_DIR/current-version/config/application.properties
```
例如:
```
agent.environments[0].account-id=
agent.environments[0].agent-role-name=
agent.environments[0].access-key-id=
agent.environments[0].secret-access-id=
agent.environments[0].bucket-name=
agent.environments[0].environment-name=
agent.environments[0].region=
zos.complex-name=
```
其中:
+ `AWS_ACCOUNT_ID` 是 AWS 帳戶的 ID。
+ `AWS_IAM_ROLE_NAME` 是在 中建立的 IAM 角色名稱[步驟 7:為要擔任的代理程式建立 IAM 角色](#filetransfer-create-IAM-role)。
+ `AWS_IAM_ROLE_ACCESS_KEY` 是在 中建立之 IAM 使用者的存取金鑰[步驟 6:建立具有長期存取憑證的 IAM 使用者](#filetransfer-create-IAM-user)。
+ `AWS_IAM_ROLE_SECRET_KEY` 是在 中建立之 IAM 使用者的存取私密金鑰[步驟 6:建立具有長期存取憑證的 IAM 使用者](#filetransfer-create-IAM-user)。
+ `AWS_S3_BUCKET_NAME` 是使用資料傳輸端點建立的傳輸儲存貯體名稱。
+ `AWS_REGION` 是您設定檔案傳輸代理程式的區域。
**注意**
您可以定義多個環境, AWS 讓檔案傳輸代理程式傳輸到 中的多個區域和帳戶。
+ (選用)。 `zos.complex-name` 是您在建立檔案傳輸端點時建立的複雜名稱。
**注意**
只有在您想要自訂與建立檔案傳輸端點時所定義相同的複雜名稱 (預設為 sysplex 名稱) 時,才需要此欄位。如需詳細資訊,請參閱[建立用於檔案傳輸的資料傳輸端點](filetransfer-data-transfer-endpoints.md)。
**重要**
只要括號中的索引 `[0]`- 每個區段都會遞增,就可以有數個這類區段。
您必須重新啟動代理程式,變更才會生效。
**需求**
1. 新增或移除參數時,必須停止並啟動代理程式。在 CLI 中使用下列命令啟動檔案傳輸代理程式:
```
/S M2AGENT
```
若要停止 M2 代理程式,請在 CLI 中使用下列命令:
```
/P M2AGENT
```
1. 您可以透過定義環境項目,將檔案傳輸代理程式設定為將資料傳輸到 AWS 中的多個區域和帳戶。
**注意**
將值取代為您先前建立和設定的參數值。
```
#Region 1
agent.environments[0].account-id=AWS_ACCOUNT_ID
agent.environments[0].agent-role-name=AWS_IAM_ROLE_NAME
agent.environments[0].access-key-id=AWS_IAM_ROLE_ACCESS_KEY
agent.environments[0].secret-access-id=AWS_IAM_ROLE_SECRET_KEY
agent.environments[0].bucket-name=AWS_S3_BUCKET_NAME
agent.environments[0].environment-name=AWS_REGION
agent.environments[0].region=AWS_REGION
#Region 2
agent.environments[1].account-id=AWS_ACCOUNT_ID
agent.environments[1].agent-role-name=AWS_IAM_ROLE_NAME
agent.environments[1].access-key-id=AWS_IAM_ROLE_ACCESS_KEY
agent.environments[1].secret-access-id=AWS_IAM_ROLE_SECRET_KEY
agent.environments[1].bucket-name=AWS_S3_BUCKET_NAME
agent.environments[1].environment-name=AWS_REGION
agent.environments[1].region=AWS_REGION
```