AWS 大型机现代化服务（托管运行时环境体验）不再向新客户开放。有关类似于 AWS 大型机现代化服务（托管运行时环境体验）的功能，请浏览 AWS 大型机现代化服务（自我管理体验）。现有客户可以继续正常使用该服务。有关更多信息，请参阅[AWS 大型机现代化可用性变更](https://docs.aws.amazon.com/m2/latest/userguide/mainframe-modernization-availability-change.html)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 为迁移的应用程序创建 AWS 资源
<a name="applications-m2-other-resources"></a>

为了在中运行已迁移的应用程序 AWS，必须与其他 AWS 资源一起创建一些资源 AWS 服务。必须创建的资源包括以下各项：
+ 一个 S3 存储桶，用于存放应用程序代码、配置、数据文件和其他必需的构件。
+ 一个 Amazon RDS 或 Amazon Aurora 数据库，用于保存应用程序所需的数据。
+  AWS KMS key，这是创建和存储密钥 AWS Secrets Manager 所必需的。
+ 一个 Secrets Manager 密钥，用于存放数据库凭证

**注意**  
每个迁移的应用程序均需要自己的一组上述资源。上述资源组是最低要求。您的应用程序可能还需要额外的资源，例如 Amazon Cognito 密钥或 MQ 队列。

## 所需的权限
<a name="applications-m2-other-resources-perms"></a>

请确保您具有以下权限：
+ `s3:CreateBucket`, `s3:PutObject`
+ `rds:CreateDBInstance`
+ `kms:CreateKey`
+ `secretsmanager:CreateSecret`

## 亚马逊 S3 存储桶
<a name="applications-m2-other-resources-bucket"></a>

重构后的应用程序和更换平台后的应用程序都需要一个按如下方式配置的 Amazon S3 存储桶：

```
bucket-name/root-folder-name/application-name
```

**bucket-name**  
符合 Amazon S3 命名约束条件的任何名称。我们建议您将 AWS 区域 名称作为存储桶名称的一部分。请确保在计划部署已迁移应用程序的同一区域中创建存储桶。

**root-folder-name**  
满足应用程序定义中约束条件所需的名称，该定义是作为 AWS Mainframe Modernization 应用程序的一部分创建的。您可以使用 `root-folder-name` 来区分应用程序的不同版本，例如 V1 和 V2。

**application-name**  
迁移后的应用程序的名称，例如， PlanetsDemo 或 BankDemo。

## 数据库
<a name="applications-m2-other-resources-database"></a>

重构后的应用程序和更换平台后的应用程序都可能需要数据库。必须根据每个运行时引擎的特定要求来创建、配置和管理数据库。 AWS Mainframe Modernization 支持在此数据库上进行传输加密。如果在数据库上启用 SSL，请确保在数据库密钥中指定 `sslMode` 以及数据库的连接详细信息。有关更多信息，请参阅 [AWS Secrets Manager 秘密](#applications-m2-other-resources-secret)。

如果您使用大型机 AWS 转换重构模式，并且需要Blusam数据库，则大型机 AWS 转换运行时引擎需要一个 Amazon Aurora PostgreSQL 数据库，您必须创建、配置和管理该数据库。Blusam数据库是可选的。仅在您的应用程序需要时创建此数据库。要创建数据库，请按照**《Amazon Aurora 用户指南》中[创建 Amazon Aurora 数据库集群](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.CreateInstance.html)中的步骤进行操作。

如果你使用的是 Rocket Software 平台重组模式，你可以创建亚马逊 RDS 或亚马逊 Aurora PostgreSQL 数据库。要创建数据库，请按照**《Amazon RDS 用户指南》中[创建 Amazon RDS 数据库实例](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_CreateDBInstance.html)或**《Amazon Aurora 用户指南》中[创建 Amazon Aurora 数据库集群](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.CreateInstance.html)中的步骤进行操作。

对于这两个运行时引擎，您都必须 AWS Secrets Manager 使用存储数据库凭据 AWS KMS key 来对其进行加密。

## AWS Key Management Service 钥匙
<a name="applications-m2-other-resources-key"></a>

您必须将应用程序数据库的凭证安全地存储在 AWS Secrets Manager中。要在 Secrets Manager 中创建密钥，必须创建 AWS KMS key。要创建 KMS 密钥，请参阅**《AWS Key Management Service 开发人员指南》中的[创建密钥](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html)。

创建密钥后，必须更新密钥策略以授予 AWS Mainframe Modernization 解密权限。添加以下策略语句：

```
{
   "Effect" : "Allow",
   "Principal" : {
   "Service" : "m2.amazonaws.com"
   },
   "Action" : "kms:Decrypt",
   "Resource" : "*"
   }
```

## AWS Secrets Manager 秘密
<a name="applications-m2-other-resources-secret"></a>

您必须将应用程序数据库的凭证安全地存储在 AWS Secrets Manager中。要创建密钥，请按**《AWS Secrets Manager 用户指南》中[创建数据库密钥](https://docs.aws.amazon.com/secretsmanager/latest/userguide/create_database_secret.html)的步骤操作。

AWS Mainframe Modernization 支持在此数据库上传输中的加密。如果在数据库上启用 SSL，请确保在数据库密钥中指定 `sslMode` 以及数据库的连接详细信息。可以为 `sslMode` 指定以下值之一：`verify-full`、`verify-ca` 或 `disable`。

 在密钥创建过程中，选择**资源权限 – 可选**，然后选择**编辑权限**。在策略编辑器中，添加基于资源的策略（如下所示）以检索加密字段的内容。

```
{
   "Effect" : "Allow",
   "Principal" : {
   "Service" : "m2.amazonaws.com"
   },
   "Action" : "secretsmanager:GetSecretValue",
   "Resource" : "*"
   }
```